Моделирование угрозы безопасности информационной системы

В общем случае безопасность И С характеризуется множеством (совокупностью) существующих для нее разнородных угроз атак, которые создают угрозу безопасности ИС в целом. При этом, поскольку угроза атаки при оценке надежности И Б может рассматриваться как система с отказами и восстановлениями безопасности, в качестве системы с отказами и восстановлениями безопасности должна рассматриваться и ИС в целом, в том числе и защищенная.

При этом угроза безопасности ИС в целом может быть представлена соответствующим орграфом, вершинами которого уже являются угрозы атак (рис. 6.13, а), которые взвешены значениями вероятностей готовности ИС к безопасной эксплуатации в отношении угрозы атаки, Р0ая, п = 1, ..., N, в предположении о том, что угрозу безопасности ИС составляют N угроз различных атак [19].

В рамках определения надежности ИБ орграф безопасности ИС может интерпретироваться схемой последовательного резервирования создающих ее угроз различных атак (рис. 6.13, б). При этом возникновение любой одной реальной угрозы атаки приводит к отказу безопасности ИС в целом.

Рассмотрим, насколько это корректно.

На практике угрозы атак сильно зависимы по угрозам уязвимостей реализации, в том смысле, что в создании множества различных угроз атак участвуют угрозы уязвимостей реализации одних и тех же типов.

Замечание. Мы здесь говорим нс о зависимости последовательности ДВ на ИС потенциальным нарушителем, которая учитывается с использованием условных вероятностей при моделировании атаки (об этом мы говорили ранее), а о зависимости угроз атак по создаваемым их угрозам уязвимостей, что не позволяет в общем случае рассматривать события возникновения различных реальных угроз атак при моделировании угрозы безопасности ИС в качестве независимых событий.

Сказанное позволяет преобразовать исходный орграф безопасности ИС — построить из исходного орграфа безопасности И С, в которой угрозы атаки представлены совокупностями создаваемых их угроз уязвимостей реализации (рис. 6.14, а), в приведенный орграф (рис. 6.14, б).

Преобразование, показанное на рис. 6.14, состоит в исключении из исходного орграфа угрозы безопасности ИС повторяющихся в различных угрозах атак вершин типов угроз уязвимостей реализации и их связей (соответствующих переходов между состояниями системы). Например, на рис. 6.14, а это вершины первого (повторяются в первой и третьей угрозах атак) и четвертого (повторяются во второй и третьей угрозах атак) типов угроз уязвимостей реализации.

Для моделирования угрозы безопасности ИС может быть применен рассмотренный ранее математический аппарат марковских моделей с дискрет -

Орграф угрозы безопасности ИС и ее интерпретация схемой последовательного резервирования угроз атак

Рис. 6.13. Орграф угрозы безопасности ИС и ее интерпретация схемой последовательного резервирования угроз атак:

а — орграф угрозы безопасности ИС; б — схема последовательного резервирования

угроз атак

Рис. 6.14. Преобразование орграфа угрозы безопасности ИС:

а — исходный орграф; б — приведенный орграф ными состояниями и непрерывным временем и соответствующий подход к оценке надежностных параметров и характеристик безопасности, но уже угрозы безопасности И С в целом. Однако корректность решения задач моделирования угрозы безопасности И С достигается при реализации следующего важного условия.

Утверждение. При моделировании угрозы безопасности ИС, как и в случае моделирования угрозы атаки, состояниями модели должны характеризоваться события присутствия в системе реальных угроз уязвимостей реализации, а не события присутствия в системе реальных угроз атак.

Доказательство. Доказывается данное утверждение тем, что угрозы атак зависимы по угрозам уязвимостей. Как следствие, в системе существуют условия и определенная, в общем случае, не пренебрежимо малая, вероятность одномоментного возникновения (именно одномоментного возникновения, а не одновременного присутствия) нескольких реальных угроз различных атак. Это может быть корректно учтено, только если состояниями модели будут характеризоваться события присутствия в системе реальных угроз уязвимостей реализации, а не события присутствия в системе реальных угроз атак, зависимых по угрозам уязвимостей.

Проиллюстрируем сказанное примером, для чего обратимся к приведенному орграфу угрозы безопасности ИС, представленному на рис. 6.14, б.

Пусть в ИС одновременно присутствуют (реальны) уязвимости третьего и четвертого типов. Тогда при возникновении уязвимости первого типа в системе одномоментно становятся реальными первая и третья угрозы атак, т.е. входной поток случайных событий (в рассматриваемом случае поток возникновения реальных угроз атак) не ординарный.

Таким образом, при моделировании угрозы безопасности ИС должна использоваться полная совокупность угроз уязвимостей реализации, создающих угрозы всех атак, создающих угрозу безопасности И С. Именно с использованием этой совокупности угроз уязвимостей должна строиться соответствующая модель угрозы безопасности ИС в целом.

Проиллюстрируем примером решение задачи моделирования угрозы безопасности (отказа безопасности) ИС в целом.

Пусть угрозу безопасности И С создают угрозы уязвимостей трех типов. Они создают угрозы двух различных атак на ИС. Первая из угроз атаки создается угрозами первого и второго типа уязвимостей, вторая — угрозами первого и третьего типа уязвимостей.

Построим граф системы состояний случайного процесса для искомой модели. Поскольку мы решаем задачу оценки актуальности угрозы безопасности ИС, в качестве всех состояний, кроме начального, используем в модели соответствующие объединенные состояния угроз отказов безопасности. В качестве обслуживающих приборов рассматриваем три (по числу типов угроз уязвимостей) абстрактных обслуживающих прибора. При этом соответствующим образом пересчитываются интенсивности устранения по крайней мере одной уязвимости, следующим образом: р, - Искомая модель представлена на рис. 6.15.

Эта модель полностью аналогична модели, приведенной на рис. 5.16, поскольку вид таких моделей фиксирован и определяется исключительно количеством типов входных потоков случайных событий.

Размеченный граф системы состояний случайного процесса для угрозы безопасности ИС, создаваемый двумя угрозами различных атак

Рис. 6.15. Размеченный граф системы состояний случайного процесса для угрозы безопасности ИС, создаваемый двумя угрозами различных атак

На графе представлены следующие возможные состояния: S0 исходное состояние системы; Si — в системе возникла и не устранена как минимум одна уязвимость одного типа — отказ безопасности в отношении угрозы уязвимости (на тин возникшей уязвимости указывает индекс); Stj - в системе возникли и не устранены как минимум по одной уязвимости двух соответствующих типов; — в системе возникли и не устранены как минимум по одной уязвимости всех трех типов.

Как видим, модели угрозы атаки и угрозы безопасности ИС (угрозы отказа безопасности) полностью аналогичны. Отличия этих моделей состоят лишь в интерпретации отдельных состояний — состояний отказов безопасности в отношении угроз атак.

Если в модели, приведенной на рис. 5.16, только одно состояние Sm характеризует отказ безопасности (возникновение в системе хотя бы одной реальной угрозы атаки), то в модели, приведенной на рис. 6.15, существуют угрозы двух различных атак, переходы системы в состояния S12 и Sl3 связаны с появлением в системе по крайней мере одной реальной угрозы соответствующей атаки, в обоих случаях интерпретируемых как отказ безопасности ИС. Переход же в состояние -5123 соответствует появлению в системе как минимум по одной реальной угрозе обеих атак

Отметим, что переход из состояния 523 в состояние Sm характеризует одномоментное возникновение в системе обеих реальных угроз атак (при возникновении уязвимости первого типа при наличии в системе уязвимостей второго и третьего типов), что, как видим, корректно учитывается в данной модели.

Рассмотрим, как определяются надежностные вероятностные характеристики угрозы безопасности (отказов безопасности) ИС в целом, с учетом того, что угроза безопасности ИС создается несколькими (в рассматриваемом примере двумя) угрозами различных атак.

Вероятность (доля времени) готовности ИС к безопасной эксплуатации, Р0ис, для рассматриваемого примера:

где Р12, Р13, Рт стационарные вероятности нахождения системы соответственно в состояниях 512, 513> Sm.

С учетом того, что в модели используются объединенные состояния и абстрактные обслуживающие приборы, стационарная вероятность возникновения в системе по крайней мере одной уязвимости i -го типа Pi определяется следующим образом:

С учетом же сказанного ранее вероятности Р12, Р13, Р123 на полной группе несовместных событий нахождения системы в различных состояниях системы определяются для рассматриваемой модели следующим образом:

Что же касается моделирования надежностных параметров и временных характеристик безопасности ИС, оно опять же реализуется аналогично тому, как это делалось применительно к угрозе атаки. Есть, правда, одно отличие, состоящее в следующем.

В такой модели уже используются объединенные состояния, т.е. дальнейшее корректное их объединение в модели не представляется возможным. С точки зрения моделирования угрозы отказа безопасности ИС (в системе присутствует хотя бы одна реальная угроза атаки), целесообразно (см. модель на рис. 6.15) было бы объединить в одно состояния системы 512, 5*13, -5123. Однако это невозможно сделать, поскольку для данного объединенного состояния под воздействием одних и тех же потоков восстановлений система должна была бы переходить в различные состояния.

Как следствие, моделирование надежностных параметров и временных характеристик угрозы отказов безопасности ИС требуется выполнять без объединения в модели соответствующих состояний отказов безопасности в отношении угроз атак, что опять же можно сделать по аналогии с тем, как это было рассмотрено ранее.

Проиллюстрируем сказанное на примере рассматриваемой модели. Сначала определим надежностные параметры угрозы отказа безопасности ИС Хопс и цвис — интенсивности возникновения и устранения отказа безопасности ИС соответственно.

Для модели, приведенной на рис. 6.15, ^онс, рассчитывается следующим образом:

Интенсивность восстановлений отказов безопасности ИС

Сформулируем правило определения надежностных параметров угрозы отказов безопасности ИС в общем виде.

Правило. Если отказ безопасности ИС характеризуется некоторым набором состояний, то интенсивность отказов безопасности ИС Хоис определяется как сумма интенсивностей переходов в эти состояния за вычетом интенсивности переходов между ними, а интенсивность возникновения и устранения отказа безопасности ИС рШ|С определяется делением интенсивности отказов безопасности ИС на сумму стационарных вероятностей пребывания системы в состояниях отказов безопасности ИС.

Соответствующим образом рассчитываются и искомые временные характеристики безопасности — среднее время наработки па отказ безопасности ИС Г0оис, среднее время восстановления безопасности ИС (устранения всех одновременно присутствующих в системе реальных угроз атак, в том числе различных) Г0вис:

среднее время между отказами безопасности равно Т0ппс + Т0внс.

Как видим, п при решении задачи моделирования с целью оценки актуальности угрозы безопасности ИС в целом может быть использован изложенный ранее подход к упрощению задачи моделирования, позволяющий производить требуемые расчеты без составления и решения соответствующих систем линейных алгебраических уравнений, которые в этом случае могут характеризоваться повышенной сложностью.

Покажем на этой же модели (см. рис. 6.15), как моделируются ЗИС. Пусть угрозу безопасности ИС создают угрозы уязвимостей двух типов. Они создают угрозы двух различных атак на ИС (одна угроза уязвимостей создает одну угрозу атаки). Первая из угроз атак создается угрозами второго типа уязвимостей, вторая — третьего типа уязвимостей.

Пусть для реализации защиты ИС используется средство ЗИ, нейтрализующее угрозы условных технологических уязвимостей, позволяющих реализовать обе различные реальные угрозы атак — резервирует угрозы уязвимостей реализации ИС обоих типов. Таким образом, угрозу безопасности ЗИС уже создают угрозы уязвимостей трех типов. При этом они опять же создают угрозы двух различных атак на ИС, первая из которых создается угрозами первого (угроза отказа безопасности средства ЗИ) и второго типа уязвимостей, вторая — первого и третьего тина уязвимостей. Таким образом, реальная угроза атаки в системе может возникнуть только при условии возникновения в системе реальной угрозы средству ЗИ - реализуется резервирование по угрозам уязвимостей реализации. Для расчета требуемых параметров и характеристик угрозы отказов безопасности ЗИС могут быть использованы соответствующие формулы, приведенные выше.

Как видим, решение задачи моделирования параметров и характеристик угрозы отказов безопасности СЗИ и ЗИС ничем не отличается от решения задачи моделирования параметров и характеристик угрозы отказов безопасности ИС.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >