Page 1


METHODOLOGY OF SECURITY ASSESSMENT AUTOMATED SYSTEMS AS OBJECTS CRITICAL INFORMATION INFRASTRUCTURE Butusov I.V1., Romanov A.A2. Abstract. The technique of estimation of protection of critically important properties of the automated systems as objects of critical information infrastructure is offered. Privacy, integrity and availability of protected resources with different categories of importance are identified as critical properties. It is shown that the existing models of information security systems as part of automated systems and methods for assessing the security of critical properties do not fully reflect the specifics of information security systems as complex organizational and technical systems, the behavior of which, as a rule, reflects the dynamics of poorly structured processes, characterized by a high degree of uncertainty due to non-stationarity, inaccuracy and insufficiency of observations, fuzzy and unstable trends. The reliability of estimates of resource security of automated systems significantly depends on the selected model of formation of the structure of the information security system. Most effective way to increase the reliability of estimates of security is the distribution model of protection mechanisms in the neutralized threats. The statement and the scientific problem of estimation in the conditions of high uncertainty of protection of resources of the automated systems from violations of its critical properties – confidentiality, integrity and availability of the protected resources with various categories of importance is resulted. Determined ограниче6ния and assumptions for the task. On the basis of the model of formation of structure of information security system of automated systems by distribution of protection mechanisms on neutralizable threats of information security the values of potential risk from realization of actual threats are determined for each level of protection. The technique is used in the design and development of automated systems of state and military administration. Keywords: critical properties, protected resources, protection mechanisms, fuzzy, uncertainty, levels of protection, threats to information security.

DOI: 10.21681/2311-3456-2018-1-2-10 Introduction Automated systems used for the purposes of state administration, defense and security of the country are assigned in accordance with the Federal law No. 187-FZ «on the security of the critical information infrastructure of the Russian Federation», which entered into force on January 1, 2018, to the objects of the critical information infrastructure of Russia. The stability and security of their work are critical to the normal functioning of the state. The law regulates the procedure for preventing computer incidents at the facilities of Russia’s critical information infrastructure and allows us to significantly reduce the negative consequences for our country in the event of computer attacks against it. In most countries requirements for information security critical information infrastructure are mostly of a voluntary nature, but in connection with the increasingly active terrorist groups using cyber-attacks, the nature of these claims is gradually shifting towards mandatory [1] legislation in combating cybercrime and protecting critical infrastructure are becoming tougher all over the world. 1 2

2

Safety in accordance with Federal law No. 187FZ is defined as the state of security of critical information infrastructure to ensure its stable operation when carrying out against its attacks. In automated systems, information security threats are protected by software and hardware environments, implemented on its basis, the applied functionality (business processes) that allows you to accumulate, store and process information, data and information (all together hereinafter-the protected resources) in accordance with the business processes of the system. Security mechanisms as part of information security systems should ensure such critical properties of protected resources as confidentiality, integrity and accessibility. The high level of risk from the impact of information security threats will be determined in such systems by the use of commercial software, including foreign production, including unlicensed and non-certified software [2], the absence of software updates in the form of patches. In such cases, the threat is neutralized partially or completely through the use of additional measures and protection

Igor Butusov, Head of Research Department JSC «Concern SYSTEMPROM», Moscow, Russia. E-mail: butusigor@yandex.ru Aleksandr Romanov, Dr/ Sc., Chief specialist JSC «Concern SYSTEMPROM», Moscow, Russia. E-mail: ralexhome@yandex.ru

Вопросы кибербезопасности №1(25) - 2018


Methodology of security assessment... mechanisms, which, in turn, requires certain financial costs. It should also be noted that the assessment of the security of automated systems as objects of critical information infrastructure significantly depends not only on the number of security mechanisms used as part of information security systems, but also on the degree of confidence in them, as well as on the model of information security system used [3,4]. 1. Methods for assessing the security of automated systems Quantitative estimates of the degrees of security of resources of automated systems due to its strong uncertainty are based, as a rule, on the ratings, which take into account the distribution of protection mechanisms by levels of the hierarchical model of the information security system and the change in the probability (degree) of an attacker achieving the protected resource depending on the level of the model [5]. Two stages can be distinguished in the procedure of evaluating the security of automated systems resources [6,7]. The first stage involves the determination of the effectiveness of potential security provided by individual protection mechanisms, which differ in terms of quality of protection, the presence or absence of FSTEC and/or FSB certificates, the degree of trust, the cost of implementation and operation, etc.in other words, some private performance criteria, on the basis of which protection mechanisms are ranked according to the level of protection that they are able to provide [6.8]. At the second stage, the problem of direct formation of the structure of the information security system is solved. Different sets of mechanisms and methods of protection can be used to neutralize the same threats to information security. The result of solving the problem of forming a rational composition (formation of a rational structure) of the information security system should be an increase in the protection of resources of the automated system. In well-known studies, for example, [3,9], there are selected set, structural and business process models of information security systems with specified sets of security mechanisms. In the set models, the effectiveness of protection of automated systems resources is estimated under the assumption that all protection mechanisms are equivalent and participate in the neutralization of threats. To determine the rating of resource security of the automated system, the ratings of durability of individual protection mechanisms are summed up:

Đ’ĐžĐżŃ€ĐžŃ Ń‹ ĐşĐ¸ĐąĐľŃ€ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ â„–1(25) - 2018

RS

ÂŚ rt k

mz k

, гдо rtmzk- rating of resistance k-th

security mechanism. Structural models of information security systems take into account structural (architectural) features of the system, for example, such as the availability of security tools at 1) hardware level, 2) BIOS level (Basic input-output system), 3) operating system, 4) network level, 5) levels of database management systems and 6) application software. In the presence j of levels in the system of protection of information and the number k various protection mechanisms mzk the matrix of resistance ratings of the following type is formed: M ^rtij ` . Here, each column j of the matrix corresponds to the level of information security system. The matrix element rtij is equal to 0, if the mechanism of protection i is absent at the level j of information security system. It is assumed that the threat with a certain probability p j to be neutralized by some mechanism of protection i at the level j of the information security system. If the  n  – number of threats, i  – number of protection mechanisms, and n  i , the probability that a threat from a variety of known threats will be neutralized by a defense mechanism i will be defined as Pj 

ij

nj

, where i j - the number of protection

mechanisms, and n j – the number of threats that are relevant to system-level j data protection. For each subsequent level of the information security system, the number of actual threats will decrease, as some of them will be neutralized at previous levels of the information security system

n j  n j 1  i j 1 Assuming that at all levels the number of protection mechanisms is the maximum possible and the probability of neutralizing the threat at each subsequent level of the information security system will be greater than at the previous level. The vector of distribution of probability of neutralization of threats on levels of system of protection of information is formed: P  {P1 , P2 , ..., Pj } The protection matrix Z is formed by multiplying the rows of the resistance rating matrix M={trij} on the probability distribution vector P  {P1 , P2 , ..., Pj } :

Z

­rtP  rt P   rt j Pj ½ ° ° °rtP  rt P   rt j Pj ° , ž  Ž     ° ° °rtiP  rti P   rtij Pj ° ¿ ¯

3


Оценка эффективности систем информационной безопасности and the rating of protection of system resources is determined by the sum of the matrix elements of security Z : RS  zi .

 i

The proposed assessment of the security of resources of the automated system allows to present the results of the analysis of security in quantitative form, which ensures the use of the rating indicator as a target function for optimizing the distribution of security mechanisms by levels of the information security system (criterion – maximizing the rating RS). The disadvantages of the considered model are the static nature of the system resource security assessment, which does not take into account such parameters as the damage from the implementation of information security threats and the frequency of attacks. In addition, the assumption of reducing the number of actual threats as they approach the object of protection is not always fair (for example, for internal attempts of unauthorized access [5]. In the work [10] security is estimated on the basis of damage from realization in the automated system of the threats having casual character which is estimated through danger factors of threats. Moreover, the hazard factors are represented by fuzzy values, and the indicator of the system security is determined by the method of expert evaluation of the matrix of fuzzy relations between the hazard coefficient of the set of threats and the degree of protection of the resources of the automated system. The disadvantage of such evaluation is the lack of binding of security indicators to the location of security mechanisms in the structure of the information security system. As in the previous case, there is a static evaluation of the security of resources of the automated system. In [5] is proposed for damage assessment in case of realization of threats to security of information to take into account the expense, in monetary terms, and intangible damage to reputation, competitive advantages of the business entity. In business process models, the target protected resource is the business processes of an automated system to ensure their continuous functioning in terms of information security threats, which makes it possible to consider the organization of system security in a comprehensive manner, taking into account its architectural and functional features, assessing the adequacy of the planned to use protection mechanisms taking into account the structure of the information security system, to determine metrics and the target security level for the protected resource [9.11]. The paper [12] proposes a risk-oriented approach, according to which risk values from loss of confidenti-

4

УДК 004.056

ality, integrity and availability of protected resources are determined separately. The sum of the risk values associated with the loss of certain critical properties will be the total risk: R  Pc  I c  Pi  I i  Pa  I a , where Pc , Pi , Pa – the probability of violation of confidentiality, integrity and availability of protected resources, respectively; I c , I i , I   – he values of the damage that occurs when the privacy, integrity and availability of protected respectively. Usually, risk assessment first determines the list of actual threats, and vulnerabilities only characterize the possibility of their implementation. In the present method, the emphasis is shifting from threats to vulnerabilities. Instead of the probability of threats is determined by the probability of vulnerability exploitation, which takes into account both the probability of a vulnerability and the likelihood of its use at least one of the threats. The fact of realization of information security threat does not necessarily entail violation of critical properties of protected resources. Therefore, for each threat, the probability that its implementation will lead to violation of the critical properties of the protected resources is determined. It is believed that threats to the security of information are independent of each other, so the emergence of one of them does not necessarily lead to the emergence of others. Taking this into account, the following solutions are proposed to calculate the probability of violation of the critical properties of protected resources in [12]:

Pc  (1  1 (1 Pe j  Pc j ) , n

Pi  (1  1 (1 Pe j  Pi j ) , n

Pa  (1  1 (1 Pe j  Pf j ) , n

where Pe j – the probability of occurrence of the j-th information security threat-the number of vulnerabilities. In the proposed approach, the calculated risks of violation of critical properties are determined using the concept of «probability», which, as already mentioned, in conditions of high uncertainty seems problematic, as well as the risks are not distributed across the levels of protection of the automated system, the categories of importance of protected resources are not taken into account. In other words, system security assessments are not tied to the information security system model. Modeling the structure of the system of information security and assessment of the level of security

Вопросы кибербезопасности №1(25) - 2018


Methodology of security assessment... of automated system – a necessary step for automation of procedures for the analysis of vulnerabilities and detection of attacks on a system with the objective of making the protection systems information on the evolutionary properties of adaptability and development [13]. Existing models of information security systems as part of automated systems and methods for assessing their security do not fully reflect the specifics of information security systems as complex organizational and technical systems, the behavior of which, as a rule, reflects the dynamics of poorly structured processes characterized by a high degree of uncertainty due to non-stationarity, inaccuracy and insufficiency of observations, fuzzy and unstable trends [11,14]. These models and methods mainly use statistical interpretation of quantitative estimates, for example, using the concept of «probability», which, with undeniable advantages and wide recognition of the statistical approach, limits the use of the existing conceptual apparatus in the creation of information security systems and resource security assessment of automated systems with designated properties. In addition, statistical models do not provide fuzzy (linguistic) interpretation of data and results, and in modern conditions this quality of models is demanded by experts in the field of information security and it is necessary for systems of intellectual analysis, operating with fuzzy values. Thus, the analysis of the above methods of evaluation of security of automated systems and models of formation of information security systems shows the theoretical and practical relevance of solving the scientific problem of evaluation in conditions of high uncertainty of security of automated systems against violations of its critical properties – confidentiality, integrity and availability of protected resources with different categories of importance. The solution of the problem of assessing the security of automated systems should be made on the selected model of the formation of the structure of the information security system, taking into account the particular criteria for the effectiveness of individual protection mechanisms, the relationship with the integral requirements (criteria) of the security of specific systems in terms of the integrity, availability and confidentiality of protected resources, as well as the indirect relationship of threats to information security neutralizing their protection mechanisms through private performance criteria. 2. The choice of the model of formation of structure of system of protection of information Вопросы кибербезопасности №1(25) - 2018

and the problem statement evaluate the security of automated systems 2.1. The choice of the model of formation of structure of information security system In automated systems, software and hardware environments are protected against threats to information security, as already mentioned, implemented on its basis the applied functionality (business processes), which allows to accumulate, store and process information, data and information in accordance with the business processes of the system [9.11]. Security mechanisms as part of an information security system should provide critical features of protected resources with different categories of importance, such as confidentiality, integrity and accessibility. Neutralization of current threats to information security is carried out at several levels of system protection: BIOS (Basic input-output system), hardware, operating system, network, database management system, functional (applied) software. Known methods, for example, [3], the formation of the structure of the information security system, as a rule, solve the problem of forming optimal sets of protection mechanisms without taking into account the architecture of the automated system, which should correspond to the structure of the information security system. Therefore, the optimality of such sets does not yet indicate the optimality of the sets of protection functions from these levels involved in neutralizing a specific threat to information security. The model of information security system should have the property of adaptation to neutralizable threats or, in other words, the problem of rational distribution of protection mechanisms on neutralizable threats to information security should be solved in the model. From the scientific literature the method of distribution of protection mechanisms on neutralizable threats to information security in the hierarchy of protection levels compared to the architecture of the automated system is known [15]. The distribution of protection mechanisms for neutralized threats in accordance with the methodology is based on multiple partial criteria of efficiency that are applicable to the protection mechanisms, and neutralized threats. Such criteria include, for example, the cost of protection functions/the cost of neutralizing an actual threat (criterion kr1); the weighted average number of threats neutralized by a protection mechanism/ the weighted average number of protection mechanisms neutraliz-

5


Оцонка Ń?Ń„Ń„ĐľĐşŃ‚Đ¸Đ˛Đ˝ĐžŃ Ń‚Đ¸ Ń Đ¸Ń Ń‚ĐľĐź инфОрПациОннОК ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ ing an actual threat (criterion kr2 ); the magnitude of the vaccine-preventable mechanism of protection of risk from the implementation of the actual threat/value of preventing the risk of realization of threat (criterion kr3); the degree of confidence in the mechanism of protection/degree of confidence in the protection mechanism against the escape of threats (criterion kr4) [16]; the degree of compatibility of mechanisms of protection/degree of compatibility of the protection mechanisms against the threats neutralized (criterion kr5). The application of this technique is effective even if updates in the form of software patches are not made in the HS as, and the neutralization of threats is partially or completely carried out through the use of additional measures and protection mechanisms, which, in turn, requires certain financial costs. The results of the application of the method formed subsets M n ^mzku `  protection mechanisms mzku  most effectively neutralizing the threat ug n  at the levels of protection uru Â? UR . Here n  1, N – the number of actual threats to information security, u  1,U – many levels of information security, k  1, K – the number of protection mechanisms. With such a model of building an information security system as a result of solving the problem of assessing the security of automated systems from violations of its critical properties – confidentiality, integrity and availability of protected resources, you can get the most reliable results. And protected resources can have different categories of importance, in particular, particularly important, very important, important or unimportant, reflecting their value in the business processes implemented by the system. 2.2. Problem statement Let Mn={mzk} – subsets formed by the method of distribution of protection mechanisms on neutralizable threats to information security. These subsets include protection mechanisms mzk that most effectively neutralize actual threats ugnďƒŽ UG, n  1, N , N – the number of actual threats to information security; k  1, K – the number of protection mechanisms [15]. Protection mechanisms are divided into levels of protection, uru ďƒŽUR, u  1,U , the number of levels of protection, U –

MZ

U

^mz k ` ‰ MZ u u 

^mz kÂ?Ku u ` ,

where

MZu

– a subset of the mechanisms of protection level uru ďƒŽUR, k ďƒŽ K u – is a subset of the indices of protection mechanisms on this level, ďƒˆ K u  K , u ďƒ‡ Ku  ďƒ† .

УДК 004.056

The threat ugn is represented as a vector [3.15], ug n ^ p ug n  uch ug n  rsk ug n p ug n u uch ug n `  ug n where p – assessment of the possibility of a threat ugn, uchugn – damage from the implementation of the threat ugn, rskugn– the risk from the implementation of the threat ugn. The sets zrzďƒŽZR of protected resources of the information system are defined, z  1, Z , Z – the number of protected resources, and the degrees of value (categories of importance) KV ^kvv ` v  V that can be assigned to protected resources. It is necessary to form assessments of automated system security based on risks from privacy violations, integrity and availability of protected resources with different categories of importance, both individually, including security levels, and for the system as a whole. 2.3. Limitations and assumptions The scientific literature and standards usually consider a three – level approach to risk assessment-the level of information systems, the level of business processes and the organizational level [12]. At the system level, the list of protected resources, vulnerabilities and threats to information security, as well as the measures and mechanisms of protection are determined. This information is sufficient to determine the possibility of damage. The value of the protected resources and, accordingly, the amount of damages to be determined primarily at the level of the business processes and the organizational level with the involvement of the owners of the business processes, management and other stakeholders. In the present paper we do not aim to determine the amount of damage from the violation properties of the protected resource, allowing you to analyze only the level of the automated system with corresponding structure information. Damage is understood as harm, losses, damages caused to the system and may lead to inability to perform or improper performance of its functions and/or not to achieve the objectives of the system without additional costs of material, labor and/or other types of resources [12]. Risk values from loss of confidentiality, integrity and availability of protected resources will be determined separately. Let us also assume that threats to the security of information arise independently of each other and therefore the occurrence of one of them does not necessarily lead to the emergence of others. Implementation of a threat does not always entail a violation of the critical properties of protected resources and therefore for each threat it is necessary to determine the degree of possibility that its

u

6

Đ’ĐžĐżŃ€ĐžŃ Ń‹ ĐşĐ¸ĐąĐľŃ€ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ â„–1(25) - 2018


Methodology of security assessment... implementation will lead to violation of the critical properties of protected resources. Calculation of the degree of the possibility of violation of the critical properties of protected resources will take into account the maximum possible implementation of threats, and the full risk to the automated system will be defined as the maximum risk of violation of the critical properties of protected resources. 3. Evaluate the security of automated systems 3.1. Assessment of the degree of neutralization mechanisms for the protection of actual security threats As you know, the attack potential is estimated according to the same scheme as the degree of risk from the presence of vulnerabilities, but with some differences (for example, from several attack scenarios selected the worst, with the greatest potential). It is believed that it is a function of the level of motivation of the attacker, his skills and available resources. Motivation affects allocated to time attack and possibly attract resources and recruitment of attackers [5]. Then the degree P a mz of neutralization of A kvk i

k

the threat ug i by the protection function mzk can be determined as follows:

Pa

Akvk i

mz

k

­ É&#x;ɍɼɢ r kvk t r kvk  c ɧ ° ° kvk . ÂŽr ° c  É&#x;ɍɼɢ É&#x;ɍɼɢ r kvk  r kvk c ɧ ° r kvk ¯ɧ

Here ríkvk – is the ranking of potential attack, rckvk – rating durability protection features, and kvk  {knf , cls, dst} – many designations of critical criteria for: knf –– confidentiality, cls – integrity ~ and dst – availability. Aikvk – an fuzzy subset of protection mechanisms mzk that can neutralize a threat ug ikvk designed to violate one of the critical criteria, i  1, N – the number of actual security threats. According to the method of distribution of protection mechanisms for the escape threats of a fuzzy ~ ~ set Aikvk can be defined by the matrix MG :

>

a MG

,

ugkvk

ug kvk   

ug Nkvk

@

ª P akvk mz  ugkvk P akvk mz  ug kvk  P akvk mz  ug Nkvk º A AN  ªmz º  A mz   P a mz  ug kvk P a mz  ug kvk  P a mz  ug kvk       N kvk kvk kvk A AN      A                                       mz K Ÿ  P akvk mz K  ugkvk P akvk mz K  ug kvk P akvk mz K  ug Nkvk  A AN Ÿ  A

Đ’ĐžĐżŃ€ĐžŃ Ń‹ ĐşĐ¸ĐąĐľŃ€ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ â„–1(25) - 2018

where kvk n

P a kvk mz ug

An

ÂŚP kr

a MR

mz kr P KGa kr  ug n

ÂŚP kr

a MR

,

mz kr

for all mzk Â? MZ , kr j Â? KR , ug n Â? UG . The sum

ÂŚP kr

a MR

mz  kr is interpreted as the

number of significant criteria kr characterizing the kvk properties mzk , and P Aa kvk mzk  ug n  represents n

a weighted degree of neutralization of the actual threat ug nkvk  by the protection mechanism mzk (the degree of preference when choosing a protection mechanism mzk to neutralize the actual threat ug nkvk ). kvk The calculated values P Aa kvk mzk  ug i  reflect

i

kvk

the degree of neutralization of the threat ug i by the protection mechanism mzk , taking into account the values of the criteria for the effectiveness of protection mechanisms. At the same time, we believe that for any threat there is a mechanism of protection such that kvk kvk rckvk ď‚ł rĂ­kvk : ug ikvk  mzk _ rc t rɧ ¹– any threat is neutralized by at least one mechanism of protection. For each level of protection ur ďƒŽUR using the ~ original matrix MG , it is possible to form fuzzy ma~ trices MGu containing estimates of the degree of neutralization of threats by protection mechanisms from the level of protection ur (for ease of presentation, we will not write indexes indicating critical properties):

ďƒŠ ug1 ug 2 ... ug nu ďƒŤ ďƒŠ mz1 ďƒš ďƒŠ mt11 mt12 ... mt1nu ďƒš ďƒş ďƒŞ mz ďƒş ďƒŞ mt mt ... mt ďƒŞ ďƒş 2 21 22 2 nu ďƒş MG u  ďƒŞ ďƒŞ ďƒş ďƒŞ. ďƒş . . . . ďƒş ďƒŞ ďƒŞ ďƒş ďƒŞďƒŤ mzku ďƒşďƒť ďƒŞ mtk 1 mtk 2 ... mtk n ďƒş u u u ďƒť ďƒŤ u

ďƒš ďƒť ,

where mtij  ď ­ MG (mzk , ug n ) , ku ďƒŽ {K u } ďƒŒ K – u

u

u

the indices of defense mechanisms, included in the protection level uru , nu ďƒŽ {N u } ďƒŒ N – the indices of the security threats relevant to that level. You can create a fuzzy relationship between current threats and the level of protection at which they are neutralized, teij  ď ­URug (ugi , urj )  max ku {ď ­ MG (mzku , ug nu )} – u u the degree of neutralization of the threat ugi at the level of protection urj:

7


Оцонка Ń?Ń„Ń„ĐľĐşŃ‚Đ¸Đ˛Đ˝ĐžŃ Ń‚Đ¸ Ń Đ¸Ń Ń‚ĐľĐź инфОрПациОннОК ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸

ď › ur1

ur2 ... urU

ď ?

z  1, Z , z – the number of protected resources are calculated independently of each other, and the total risk is determined as the maximum risk of violation of critical properties:

ďƒŠug1 ďƒš ďƒŠte11 te12 ... te1U ďƒš ďƒŞug ďƒş ďƒŞte te ... te ďƒş , 21 22 2U ďƒş ug URu  TEur  ďƒŞ 2 ďƒş ďƒŞ ďƒŞ ďƒŞ. ďƒş ..................... ďƒş ďƒş ďƒŞ ďƒşďƒŞ ďƒŤug N ďƒť ďƒŤďƒŞteN 1 te p 2 ... teNU ďƒťďƒş

RSK  max {RSK cnf , RSK cst , RSK dst } .

where i  1, N – the number of actual threats, j  1,U – the number of levels of protection in the structure of the information security system. In other words, at each level of protection, the mechanism of protection with the maximum degree of its neutralization is chosen to neutralize the actual threat. In the structure of the information security system at each level of protection can assess the level of pour tential risk and to form fuzzy relation RSK ug = ET :

ď › ug1

,

ug 2 ... ug N

ď ?

ďƒŠur1 ďƒš ďƒŠet11 et12 ... et1N ďƒš ďƒŞur ďƒş ďƒŞet et ... et ďƒş 2N ďƒş ur RSK ug  ET  ďƒŞ 2 ďƒş ďƒŞ 21 22 ďƒŞ. ďƒş ďƒŞ..................... ďƒş ďƒş ďƒŞ ďƒşďƒŞ ďƒŤurU ďƒť ďƒŤetU 1 etU 2 ... teUN ďƒť

where

ď‚´ max { p ku ďƒŽKu

ug j

etij  ď ­ RSK ur (uri , ug j )  uch

z

ug j

ď‚´

ď‚´ ((1  ď ­ MGu (ug j , mzku ))} , i  1,U

–

the number of levels of protection in the structure of the information security system, j  1, N – the number of actual threats, ku ďƒŽ K u ďƒŒ K – indices of protection mechanisms that neutralize the threat at the level of protection uri. mz Fuzzy attitude RSK ug determines the risk from the implementation of the current threat ugj .

mz2 ... mz K

ďƒŠug1 ďƒš ďƒŠtm11 tm12 ... tm1K ďƒš ďƒŞug ďƒş ďƒŞtm tm ... tm ďƒş 21 22 2K ďƒş mz RSK ug  TM  ďƒŞ 2 ďƒş ďƒŞ ďƒş ďƒŞ. ďƒş ďƒŞ..................... ďƒş ďƒŞ ďƒşďƒŞ ďƒŤug N ďƒť ďƒŞďƒŤtmN 1 tm p 2 ... tmNK ďƒşďƒť

ď ?

,

tmij  ď ­ RSK mz (ugi , mz j )  max uchugø ď‚´ ug

i 1

ď‚´ P ugi ď‚´ ((1  ď ­ MGu (ugi , mz j )) – the degree of risk from the implementation of the actual threat ugj and i  N – the number of known threats-the number of protection mechanisms. 3.2. Assessment of protection of critical properties Taking into account the accepted restrictions and assumptions, we will assume that the risks of breach of confidentiality RSK cnf , integrity RSK cst and availability RSK dst of protected resources zrz ďƒŽ ZR ,

8

ď‚´ (max ď ­ ZM ( zrz , mzk ) min (1  tun ) ď‚´ P ugn )} . ugu

mzk

This and forth tun P MG mzk  ug n – degree u u u of neutralization of threat ug n  by the mechanism of protection mzk at the level of protection uru ,

min (1  tun ) ď‚´ P ugn ) indicates the extent to which the ugu threat ugn is not neutralized by the protection mechanism mzk at the protection level uru. The protection mechanism mzk is designed to protect a resource zrz from threats according to attitude TEur . The expression PD[ P KV zrz  mzk  determines mz kÉ?

N

where

Protected resources are assigned the category of importance ď ­ KV ( zrz , kvv )) , KV  {kvv }, v  1, V , ď ­ KV ( zrz , kvv )) – the degree of correspondence of the protected resource zrz ďƒŽ ZR to the category of importance kvv . We also believe that the mechanisms of information protection in the structure of protection systems are designed to protect certain resources, that is determined by the extent to which they are used to protect these resources ď ­ ZM ( zrz , mzk ) . Since the protection mechanisms are designed to neutralize with a certain degree of actual threats to the security of information, the calculation of the degree of violation of the confidentiality of protected resources at each level of protection can be done by the following formula: u Pcnf  (1  min{1  ď ­ KV ( zrz , kvv ) ď‚´

ug

ď › mz1

УДК 004.056

the choice of the worst-case scenario when exposed to all possible threats to the protected resource when protected by all possible protection mechanisms. u The expression szcnf  min{1  ď ­ KV ( zrz , kvv ) ď‚´ z

ď‚´ (max ď ­ ZM ( zrz , mzk ) min (1  tun ) ď‚´ P ugn ) mzk

ugu

deter-

mines the degree of protection of automated system resources from privacy violations at the level of protection uru ďƒŽ U . In General, for the system, the degree of privacy violation of protected resources is defined as the worst u option of all levels of protection – szcnf  min{szcnf } . u For threats aimed at violating integrity and accessibility, it is necessary to take into account the indicator SÉœÉ¨ÉŤÉŹ zr – the degree of restoring the integrity z the protected resource (if the protect(availability) of ed resource is not affected or its degree of importance is zero, then this degree is identical to 1):

Đ’ĐžĐżŃ€ĐžŃ Ń‹ ĐşĐ¸ĐąĐľŃ€ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ â„–1(25) - 2018


Methodology of security assessment... Pcstu  dst

  PLQ^  P KV zrz  kvv u   SÉœÉ¨ÉŤÉŹ zrz u z

u PD[ P ZM zrz  mzk PLQ   tun u P ug n ` . ug u

mz k

Then the expression u szcst  dst

PLQ^  P KV zrz  kvv u   SÉœÉ¨ÉŤÉŹ zrz u z

u PD[ P ZM zrz  mzk PLQ   tun u P ug n  mz k

ug u

specifies the degree of protection of resources of the automated system from violating the integrity/ availability on the level of protection uru ďƒŽ U . For an automated system as a whole, the degree of violation of integrity/availability of protected resources is defined as the worst case of all levels of protecu tion – szcst / dst  min{szcst / dst } . The degree of protecu tion against violation of all critical properties is logical to determine how szcnf / cst / dst  min{szcnf , szcstt , szdst } . u Conclusions 1. The critical properties of the automated systems as objects of critical information infrastructure can be attributed to the confidentiality, integrity and availability of protected resources with different categories of importance. 2. The reliability of estimates of the security of automated systems depends significantly on the model of formation of the structure of the information security system, which should have the property of adaptability to neutralizable threats to information security. 3. In the known models of formation of the structure of information security systems and methods for assessing the security of resources, mainly used statistical interpretation of quantitative estimates, for example, using the concept of ÂŤprobabilityÂť, which, with the undoubted advantages and wide recognition of the statistical approach, makes it difficult to

solve the problem of assessing the security of automated systems in conditions of strong uncertainty. 4. The theoretical and practical relevance of the scientific problem of evaluation in the conditions of high uncertainty of automated systems protection against violations of its critical properties – confidentiality, integrity and availability of protected resources with different categories of importance. 5. The reliability of estimates of resource security of automated systems significantly depends on the selected model of formation of the structure of the information security system. Most effective way to increase the reliability of estimates of security is the distribution model of protection mechanisms in the neutralized threats. 6. The statement and the scientific problem of estimation in the conditions of high uncertainty of protection of resources of the automated systems from violations of its critical properties – confidentiality, integrity and availability of the protected resources with various categories of importance is resulted. Restrictions and assumptions for the solution of the task are defined. 7. On the basis of the model of formation of structure of information security system of automated systems by distribution of protection mechanisms on neutralizable threats of information security the values of potential risk from realization of actual threats are determined for each level of protection. 8. The technique of estimation of resources security of the automated systems in General and on levels of protection against violations of its critically important properties is offered. 9. The technique is used in the design and development of automated systems of state and military administration.

Reviewer: V.L. Tsirlov, Ph.D., Associate Professor, Information Security Department, Bauman Moscow State Technical University, Moscow, Russia. E-mail: v.tsirlov@bmstu.ru References: 1.

2. 3. 4.

5.

Vorobiev E.G., Petrenko S.A., Kovaleva I.V., Abrosimov I.K. Organization of the entrusted calculations in crucial objects of informatization under uncertainty. In Proceedings of the 20th IEEE International Conference on Soft Computing and Measurements (24-26 May 2017, St. Petersburg, Russia). SCM 2017, 2017, pp. 299 - 300. DOI: 10.1109/SCM.2017.7970566. Kuz’min A.S., Romanov A.A. Importozameshchenie: reaktsiya na ugrozȳ ili osobȳĭ tip gosudarstvennoĭ strategii, BIS Journal [Informatsionnaya Bezopasnost’ Bankov], 2015, No 2, pp. 16-22 Olad`ko V. S. Model’ vȳbora ratsional’nogo sostava sredstv zashchity v sisteme elektronnoĭ kommertsii, Voprosy kiberbezopasnosti [Cybersecurity issues], 2016, No1 (14), pp. 17-23. Yandȳbaeva Ê. Ê., Mashkina I.V. Razrabotka modeli planirovaniya ispol’zuemȳkh sredstv zashchitȳ informatsii dlya informatsionnȳkh system Êlektronnȳkh torgovȳkh ploshchadok, Vestnik Ufimskogo gosudarstvennogo aviatsionnogo tekhnicheskogo universiteta. 2015, V. 19, No 1, pp. 264-269. Osovetskiĭ L., Shevchenko V. Otsenka zashchishchÍnnosti seteĭ I system, Êkspress Êlektronika. 2002, No 2-3, pp. 20-24.

Đ’ĐžĐżŃ€ĐžŃ Ń‹ ĐşĐ¸ĐąĐľŃ€ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ â„–1(25) - 2018

9


Оценка эффективности систем информационной безопасности 6. 7.

8. 9. 10. 11. 12.

13.

14. 15.

16.

10

УДК 004.056

Barabanov A., Markov A., Fadin A., Tsirlov V. Statistics of software vulnerabilities detection during certified testing, Voprosy kiberbezopasnosti [Cybersecurity issues], 2018, No 2(20), pp. 2-8. DOI: DOI: 10.21681/2311-3456-2017-2-2-8. Bibashov S.A. Model’ formirivaniya trebovaniĭ po zashchite informatsii k zozdavaemȳm avtomatizirovannȳm sistemam v zashchishchënnom ispolnenii, Voprosy kiberbezopasnosti [Cybersecurity issues], 2017, No 5(23), pp. 83-90. DOI: 10.21681/23113456-2017-5-83-90. Chabonyan V.A., Shalakhov Yu.I. Analiz I sintez trebovaniĭ k sistemam bezopasnosti ob’ektov kriticheskoĭ informatsionnoĭ infrastrukturȳ, Voprosy kiberbezopasnosti [Cybersecurity issues], 2013, No 1(1), pp. 17-27. Lukinova O.V. Semanticheskoe opisanie faktorov bezopasnosti informatsionnȳkh system pri proektirovanii system zashchity, Sistemȳ vysokoĭ dostupnosti, 2013, No 3, pp. 149-156. Karpȳchëv V.Yu., Minaev V.Yu. Tsena informatsionnoĭ bezopasnosti, Sistemȳ bezopasnosti. 2003, No 5, pp.128-130. Butusov I.,V., Nashchekin P.A., Romanov A.A. Teoretiko-semanticheskie aspekty organizatsii kompleksnoy sisitemy zashchity informatsionnykh system, Voprosy kiberbezopasnosti [Cybersecurity issues]. 2016, No1(14), pp. 9-16. Nurdinov R.A. Opredelenie veroyatnosti narusheniya ktiticheskikh svoĭstv informatsionnogo aktiva na osnove CVSS metric uyazvimosteĭ, Sovremennȳe problemȳ nauki I obrazovaniya. 2014, No 3. Open Access: URL: http://science-education.ru/ru/ article/view?id=13290. Borodaky Yu.V., Mironov A.G., Dobrodeev A.Yu., Boldyna M.N. Problemy i perspektivy sozdaniya evolutsioniruyushchikh intellectual,nykh system zashchity informatsii dly sovremennykh raspredelennykh informatsionno-upravlyayushchikh system i kompleksov spetsial,nogo i obshchego naznacheniy//Nauchnye problem national,noy bezopasnosty Rossiyskoy Federatsii. vyp. 5: K 20-letiyu obrazovaniya Soveta Bezopasnosti Rossiyskoy Federatsii, Moscow, Izd-vo Izveatiya, 2001, pp. 303-307. Shcherbakov E.S., Korchagin P.V. Primenenie metodov teorii vozmozhnosteĭ pri modelirovanii sistem zashchitȳ informatsii, Voprosy kiberbezopasnosti [Cybersecurity issues]. 2017, No 1(19), pp. 2-5. DOI: 10.21681/2311-3456-2017-1-2-5. Murzin A.P., Butusov I.V., Romanov A.A. Adaptatsiya sistemȳ zashchitȳ informatsii avtomatizirovannȳkh system upravlrniya k neĭtralizuemȳm ugrozam, Priborȳ i sistemȳ. Upravlenie, rontrol’, diagnostika. Avtomatizirovannȳe systemȳ upravlrniya. 2017, No 10, pp. 1–7. Zakharenkov A.I., Butusov I.V., Romanov A.A. Method kolichestvennoĭ otsenki stepeni doverennosti programmno-apparatnȳkh sredstv, Priborȳ i sistemȳ. Upravlrnie, control’, diagnostika. Avtomatizirovannȳe sistemȳ upravleniya, 2017, No 8, pp.34-39.

Вопросы кибербезопасности №1(25) - 2018


LAN ABNORMALITIES THREAT DETECTION: AN OUTLOOK AND APPLICABILITY ANALYSIS A.M.Modorskiy1, A.S.Minzov2, O.R.Baronov3, A.Y.Nevskiy4. In this article contemporary LAN threats are considered in scope of signatures, where a pile of polymorphic elements, not applicable for diverse analysis by itself are combining along with preambles, traffic strains and flows, as well as protocols and ports, could be reviewed to tell if there are threats detected. The point is to compile a standalone system, capable of scoping and triaging diversified elements on a LAN Core, giving a system owner an opportunity to early detect, prioritize and workaround threat that standard security systems allow by default. However, it is wrong to consider such mechanism a classic signature-based, where traffic dump is investigated for known issues. Conversely, the system in scope should act proactive, which require shaping of basic, likewise ideal, traffic flow, seeking for abnormalities in an early threat occurrence. For this occasion, the neural network should step in, utilizing the vector comparison for the abnormalities detection process being effective. Keywords: Security, Networks, LAN, Threat Detection, Cisco, Neural Networks, Signature, Firewalling, Traffic dump.

DOI: 10.21681/2311-3456-2018-1-11-18 Introduction A contemporary world of Data Security could seemingly have a whole set of defensive mechanisms: depends on a current need we have firewalls, IDS/IPS, antiviruses, integrated security solutions etc. However, could we suppose this set complete? As Cisco CEO John Chambers recently said: «There are two types of companies: those that have been hacked and those who don’t know they have been hacked». Couldn’t agree with him more; despite constant improvement in data security field, despite a bunch on new technologies, all the researches and product range we still suffer severe attacks and, as a consequence, casualties. Why is this topic a thing? Well, the answer is simple, yet catchy. IT world has no current systems capable of acting fully proactive. The closest to this we have is a signature-based defense systems. The point is once each signature met, the prevention mechanism is triggered, so a full attack is mitigated (or neglected) at the very beginning acting so-called «proactive». In fact, this is not 100% true. The signature is yet to be found, established, processed and spread until it became functional. Suppose we have no defense against not-well-known threats, making a zero-day and system vulnerabilities a thing we may only overcome once recorded and studied. In fact, if a hacker (intruder, attacker) is first to find a weak point, we may only pray our system is sufficiently protected

on access level otherwise attack is predefined successful. What can we do with this state? Obviously, we need a system to have a fully proactive mechanism, meaning, if we are focusing on a network POV and LAN specifically, some sort of traffic flow control, which allowing us to detect any abnormalities, thus decreasing both 1st and 2nd type errors. Chapter 1. Abnormalities thread detection method overview Leading to contemporary world techniques and defense systems, signature threat detection systems are not a newbie to a data security. The most common solution closest to considerate topic is IDS/IPS class systems. IDSs are devices that in promiscuous mode detect malicious activity within the network. IPS devices are capable of detecting all these security threats; however, they are also able to drop noncompliant packets inline. Traditionally, IDS systems have provided excellent application layer attack-detection capabilities; however, they were not able to protect against day-zero attacks using valid packets. The problem is that most attacks today use valid packets. On the other hand, now IPS systems such as the Cisco IPS software Version 6.x and later offer anomaly-based capabilities that help you detect such attacks. This is a big advantage, since it makes the IPS devices less dependent on signature updates for protection against DDoS, worms, and

1  Alexey Modorskiy, Master degree student Information and Economic Security Institute,, CCNA, CCNA Instructor, National research University  «MPEI», Moscow, Russia. E-mail: alexeymodorskiy@gmail.com 2  Anatoliy Minzov, Dr.Sc. Professor, National research University  «MPEI», Moscow, Russia. E-mail: aminzov@mpei.ru 3  Oleg Baronov, Associate Professor, Ph.D., National research University  «MPEI», Moscow, Russia. E-mail: baronovor@mpei.ru 4  Alexander Nevskiy, Associate Professor, Ph.D., National research University  «MPEI», Moscow, Russia. E-mail: nevskyay@mpei.ru

Вопросы кибербезопасности №1(25) - 2018

11


Оценка защищенности информации

УДК 004.056

Figure 1-2. IDS/IPS solution based on MARS example any day-zero threats. Just like any other anomaly detection systems, the sensors need to learn what is «normal.» In other words, they need to create a baseline of legitimate behavior [1]. Looks a rather close to a topic being reviewed, isn’t it? The basics are solid milestone: everything we need to protect our network undercover a convenient and reliable vendor. Let’s dig a little deeper into a underlying mechanism. Turns out, as the most of IDS/IPS, Cisco utilizes a monitoring mechanism – Netflow – as shown on Figure 1. Other vendors often rely on vendor-independent technologies, yet

the outcome is still: monitoring sys tem is a key to work on anomalies. The figures above only gives us a stratified and simplified look to the technology, which is, of course, more complicated and advance. Allow us to have a look at Neflow: Each packet that is forwarded within a router or switch is examined for a set of IP packet attributes. These attributes are the IP packet identity or fingerprint of the packet and determine if the packet is unique or similar to other packets, as presented on Figure 3.

Figure 3. Cisco NetFlow v5 network utilization data report example [3]

12

Вопросы кибербезопасности №1(25) - 2018


LAN abnormalities threat detection...

Figure 4. ARP table overview, as issued on Cisco Router Series 2900 Traditionally, an IP Flow is based on a set of 5 and up to 7 IP packet attributes. IP Packet attributes used by NetFlow: • IP source address; • IP destination address; • Source port; • Destination port; • Layer 3 protocol type; • Class of Service; • Router or switch interface [2]. Away with the Cisco technologies, the rest of network-based IDS/IPS systems are quite alike, for example, Juniper SRX utilizes PCAP Syslog along with Juniper Secure Analytics (JSA) appliance, which basically is the same filtering solution [4]. Same may be found under Checkpoint, PaloAlto and other market leading vendor solutions. Is this really enough? Well, to find out we need again to dive into the underlying principle, which is an OSI packet flow relation and processing ability.

Turns out that mentioned traffic flow control protocols are strictly limited to routing and transport layers of OSI, since classic routers, as well as firewalls or gateways are operating at four below OSI layers (it’s often misunderstood those devices are only operating at layers 3-4, however it’s obviously has a physical layer, and those devices does have a Layer 2 operational units since ARP tables are exists and default routing contains MAC-address changes from one routing device to another – otherwise neighbours could not know each other), as shown on Figure 4 and Table 1. As we can see, such IDS/IPS solutions are limited by design, since they utilize embedded, built-in routing mechanism. The advantages of these solutions are considerable: significant decrease of additional load on active net device, standard architecture and configuration, optimization, topology-independency etc. However there is certainly the flip side of a coin. For the default router, as well as classic firewall, each OSI layer above 4th is just a payload with no considerate

Table 1. OSI standard representation as presented in LAN

Layer

Protocol data unit (PDU)

7. Application 6. Presentation Host layers

Media layers

Data payload

5. Session 4. Transport

Segment (for TCP) or Datagram (for UDP)

3. Network

Packets

2. Datalink

Frames

1. Physical

Bits

Вопросы кибербезопасности №1(25) - 2018

Functions Application internal information, often described as payload. Translation of data from application to network format and vise versa Session control between two endpoints including time sync Reliability control between endpoints, segmentation and fragmentation control. Routing between either endpoints or subnets using routing protocols Switching between two or more endpoints (connected to the same switching infrastructure) and reliability control Transmission of electrical signals 13


Оценка защищенности информации indexes/preambles etc. Hence, it couldn’t be investigated for further decision-making process and is not considerate useful for mentioned IDS/IPS solutions. If we need a solution to scope a whole packet into investigation and filtering, we obviously have to have a Layer 7 device, either a same called firewall or server, capable of running appropriate software and equipped with a set of required hardware/firmware. This is not a new solution to a market, those devices are called host-based IDS/IPS and they utilize a variety of advantages: • Full 7 layer OSI coverage; • Any IP-demanded filtering; • Flexibility of use. As far as we have advantages, disadvantages are also in place: • Dedicated environment demand; • Low speed of filtering; • Network traffic is not counted for host-based solutions; • Costs etc. Those solutions are extremely protective yet expensive, hard to tune and support. Host-based IDS often require a small-cell diversion of LAN, since are only capable of carrying application traffic parameters [5]. Layer 7 Firewalls (as well as Multilayer Firewalls) are way more advanced, yet extremely costly, and often work as a transparent devices (it is recommended to implement transparent firewall mode on a network, if firewall is implemented along router [6]), which means they are routing-insensitive. As a result, there is currently no end-to-end solution to cover a whole scope of LAN network security. Since valid packet threats are a thing we cannot only rely on integrated network IDS/IPS [7], while filtering is a target of networking devices. A complete solution is a more like a compilation of Host-based IDS, Network-based and a Multilayer (7th layer) Firewall. This is a compilation of disadvantages as well: a poor performance, costs and a rather challenging support. Chapter 2. How to perform Clearly, the solution to original agenda should aggregate a whole scope of technologies to perform

УДК 004.056 a complete investigation of traffic. Yet the most efficient way is to have an ideal dump, therefore having the non-standard traffic analyzed separately. There are multiple advantages to this solution: we do not need to have a filtering device working 24/7, inspecting a whole flow of payload, but enabling specifically at the time anomaly detected, improving performance and boosting the routing; the analysis itself becomes more efficient due to a considerate decrease on a data marked to investigate. As a consequence, a LAN may miss a whole set of infrastructure dedicated to act IDS-alike, while bearing specific device, say, a server, performing on-demand with a few recourses allocated at the time. This raises a couple of reasonable questions: 1. How do we have a normal traffic dump idea? 2. How to analyze an ideal dump for abnormalities? 3. Where to have analyzing equipment installed? The first question is basically a matter of modeling. Since only a LAN traffic is in scope, we are able to decrease the area to the data being send and received between local resources. Nevertheless, the problem of modeling this traffic flow is a thing. To solve this task it is better to have original traffic decomposed to several components easier to analyze [8-9]. Firstly, a service traffic – data, required by network devices to communicate between each other and function around dedicated mechanisms (e.g. routing, fail-proof, redundancy etc.) [10]. A formalizing of this traffic could be done by simply listing a used technologies or sniffing traffic in a «silent mode», where no payload is neither sent nor received. It is worth saying such test should be done on an isolated LAN where no suspicious traffic is presented, and there is only one way to have it done: on the network cut-over, when LAN is initially disconnected from unprotected environments such as Internet or adjacent LANs. Having a listed scope of service data circling on a network we may proceed to determining user traffic and at this point we may need to divide payload flow from servicing traffic to have a clear representation of ideal (or normal) dump. How can we have this done? Modeling is the best way to perform in this case.

Figure 5. Iperf relations schema

14

Вопросы кибербезопасности №1(25) - 2018


LAN abnormalities threat detection... Table 2. Iperf general options GENERAL OPTIONS Command line option

Description

-p, --port n

The server port for the server to listen on and the client to connect to. This should be the same in both client and server. Default is 5201.

--cport n

Option to specify the client-side port. (new in iPerf 3.1)

-f, --format [kmKM]

A letter specifying the format to print bandwidth numbers in. Supported formats are     ‹k› = Kbits/sec           ‹K› = KBytes/sec     ‹m› = Mbits/sec           ‹M› = MBytes/sec The adaptive formats choose between kilo- and mega- as appropriate.

-i, --interval n

Sets the interval time in seconds between periodic bandwidth, jitter, and loss reports. If nonzero, a report is made every interval seconds of the bandwidth since the last report. If zero, no periodic reports are printed. Default is zero.

-F, --file name

client-side: read from the file and write to the network, instead of using random data; server-side: read from the network and write to the file, instead of throwing the data away.

-A, --affinity n/n,m-F

Set the CPU affinity, if possible (Linux and FreeBSD only). On both the client and server you can set the local affinity by using the n form of this argument (where n is a CPU number). In addition, on the client side you can override the server’s affinity for just that one test, using the n,m form of argument. Note that when using this feature, a process will only be bound to a single CPU (as opposed to a set containing potentialy multiple CPUs).

-B, --bind host

Bind to host, one of this machine’s addresses. For the client this sets the outbound interface. For a server this sets the incoming interface. This is only useful on multihomed hosts, which have multiple network interfaces.

-V, --verbose

give more detailed output

-J, --json

output in JSON format

--logfile file

send output to a log file. (new in iPerf 3.1)

--d, --debug

emit debugging output. Primarily (perhaps exclusively) of use to developers.

-v, --version

Show version information and quit.

-h, --help

Show a help synopsis and quit.

First of all, we need to exclude service traffic, and there’s only one way to do it with 100% efficiency: getting rid of network device, stratifying a host-server relations. There are several techniques to do it, let’s consider the simplest: a traffic generator [11]. In this example we will use iperf traffic generator as a simple, free-based software available online. For the correct usage we will need to consider a following simple topology presented below on Figure 5: The point is to have a both way relations required to establish a model which is maximum close to a real one, excluding any service-related flow. Syntax is clear and easy to use (refer to Table 2).

Having this utility settled and tune we may proceed to collecting a dump of ideal, or normal, traffic. For this matter we may use either iperf embedded output or Wireshark as a sniffer. To use this application we would need to adjust and convert original topology (Figure 6): This application allows engineer to sniff packets flowing through a networking interfaces while not interrupting the flow itself [12]. Clearly, to built alike topology we will need to have a machine with at least 2 NW cards installed. Original user interface of Wireshark is rather clear and straight-through, which makes sniffing easy. Outcome of sniffing process of-

Figure 6. Iperf realtions schema with sniffer integrated Вопросы кибербезопасности №1(25) - 2018

15


Оценка защищенности информации

УДК 004.056

Figure 7. Example of Wireshark sniffer output ten presented as a combinations of packets tied by some of crucial preambles and service markers, as shown on Figure 7 above. A compilation of iperf and Wireshark is a reasonable way to have a payload traffic flow modeled, since an output is a scalable model considering input data and case-sensitive, yet not the only. For the SOHO and middle Enterprise LAN we may also find heuristic analysis as a suitable form of modeling [13]. For example, a secure environments requiring DMZ are built based on a compilation of ACLs following a traffic audit or predictions [14]. Let’s now switch to the second stated question – how to analyze an ideal dump for abnormalities. This is the main point of research since there are currently no systems capable of determining deviations from a clean dump. The modern systems are working vise versa, looking for known signatures on unknown flow. This brings us to the point where we need to develop such system, yet we require it to be based on standard solutions for the sake of stability and readiness to go for production. As a first step, we need to compile and represent each packet properties to the form appropriate for further analysis. To simplify the input data, we may create a table of listed packet properties, marking each property as «1» if included or «-1» otherwise (bi-polar standard representation [15]). This brings every packet to following view as presented on Table 3. Table 3. Binary algebra issued to a packet

properties VLAN flag QoS tag TCP identifier UDP identifier … 16

index 1 -1 1 -1 …

The main issue following this schema is a non-binary properties such as IP addresses and alike parameters. It is supposed we still may formalize such cases using a number of variables from the left pane. How to fulfill such table? Well, the easiest way is to combine a database table, having those variables sent via simple procedure: a Wireshark converts variables to .CSV format, while a script (supposing we are running WIN workstation or server) inputs it to database: CREATE TABLE packet_prop ( VLAN DECIMAL(10,2) NULL, QoS DECIMAL(10,2) NULL, TCP DECIMAL(10,2) NULL, UDP DECIMAL(10,2) NULL, PRIMARY KEY (id) ); LOAD DATA INFILE ‹c:/tmp/current_packet.csv› INTO TABLE discounts FIELDS TERMINATED BY ‹,› ENCLOSED BY ‹«› LINES TERMINATED BY ‹\n› IGNORE 1 ROWS;

Above is represented only a simplest case, while an adequate datastore should include a variety of parameters depends on a network in scope. Having a main table fulfilled with first packet we may switch over to analysis. Obviously, as valid traffic attacks are already mentioned, we would need more than one sample to compile a full ideal traffic dump. Its size may vary depending on an environment and audit performed. At this moment, we need to decide what component may we use to analyze the dump while comparing it to suspicious traffic. Let’s get input parameters together: having an ideal traffic dump in place we would need to compare any traffic marked as «unusual» to the gold probe, hence desired analyzing tool should have an embedded mechanism to compare every each of current traffic dump to a packet (or a group of packets) from the original dump. There we can use a neuВопросы кибербезопасности №1(25) - 2018


Having Having aa main main table table fulfilled fulfilled with with first first packet packet we we may may switch switch over over to to analysis. analysis. Having a main table fulfilled with first packet we may switch over to Obviously, as valid traffic attacks are already mentioned, we would need more than Having maintraffic tableattacks fulfilled firstmentioned, packet we we may switch over to analysis. analysis. Obviously, as avalid arewith already would need more than one one Obviously, as valid traffic attacks are already mentioned, we would need more than one first packet we may switch over to analysis. sample to compile a full ideal traffic dump. Its size may vary depending on an Obviously, as valid traffic attacks are already mentioned, we would need more than sample to compile a full ideal traffic dump. Its size may vary depending on one an LAN abnormalities threat detection... sample to compile a full ideal traffic dump. Its size may vary depending on an ady mentioned, we would need more than one environment and audit performed. At this moment, need to decide what Having a main with first packet we may switch over tocomponent analysis. sample to compile atable full fulfilled ideal traffic dump. Its we size may vary depending on an environment and audit performed. At this moment, we need to decide what component environment and audit performed. At this moment, we need to decide what component dump.Obviously, Its size may vary depending on an may use analyze the dump while comparing it to traffic. valid traffic are already mentioned, we would need more thanwhile one comparing it to any environment audit performed. At this moment, we need to decide what component point where traffic is clean ral we network adhesive to attacks original issue. Basically may we useasto toand analyze the dump while comparing itwe to suspicious suspicious traffic. may we use to analyze the dump while comparing it to suspicious traffic. moment, we need to decide what component Let’s get input parameters together: having an ideal traffic dump in place we sample to a parameters full ideal while traffic dump. Its maytraffic vary depending onsystem an may we usecompile tothe analyze the dump comparing itto tosize suspicious traffic. need quite same mechanism applied on ATM given moment. Thisinallows administrator to Let’s get input together: having an ideal dump place we Let’s get input parameters together: having an ideal traffic dump in place we mparing it to suspicious traffic. would need to compare any traffic marked as “unusualâ€? to the gold probe, hence desired environment and audit performed. At this moment, we need to decide what component Let’s get input parameters together: having an ideal traffic dump in place we check whether a cash any bill istraffic recognized correctly and to collate a suspicious objectdesired to an ideal data stamp, not would need to compare marked as “unusualâ€? the gold probe, hence would totraffic compare any traffic marked as to the probe, hence desired : having an ideal dump in place wecomparing analyzing should have an embedded mechanism compare every each of current may weneed usetool to analyze the dump while it to suspicious traffic. would need compare any traffic marked as “unusualâ€? “unusualâ€? to the gold gold probe, hence available to use within certain environment. This is to specific state of LAN traffic flow defined formerly. It is analyzing tool should have an embedded mechanism to compare every each of desired current analyzing should have an embedded mechanism to compare every each of current as “unusualâ€? to tool the gold probe, hence desired traffic dump to a packet (or a group of packets) from the original dump. There we Let’s get input parameters together: having an ideal traffic dump in place we components rather analyzing tool should have an embedded mechanism to compare every each of current a Hopfield neural network, or, to be more specific, a also concentrates on a network traffic dump to a packet (or a group of packets) from the original dump. There we can can traffic dump to aa packet (or aaof group of packets) from the original dump. There we can mechanism to compare every each current use a neural network adhesive to original issue. Basically we need quite the same would need to compare any traffic marked as “unusualâ€? to the gold probe, hence desired traffic dump to packet (or group of packets) from the original dump. There we can Little’s neuralnetwork networkadhesive as a derivative to original one. than standard server-client infrastructure. use aa neural to original issue. Basically we need quite the same use neural network adhesive to original issue. Basically we need quite same ckets)analyzing from the original dump. There we mechanism applied on ATM to check whether aa cash is recognized correctly and tool should embedded mechanism to bill compare every each ofthe use aThe neural network adhesive to can original issue. Basically need Implementation quite thecurrent same point of using suchanmethod is having a commechanism applied onhave ATM to check whether cash bill is we recognized correctly and and future develConclusion. mechanism applied on ATM to check whether a cash bill is recognized correctly and al issue. Basically we need quite the same available to use within certain environment. This is a Hopfield neural network, or, to be traffic dump to a packet (or a group of packets) from the original dump. There we can mechanism applied on ATM to check whether a cash bill is recognized correctly plete settoofuse input parameters as it is: a database available within certain environment. Thistable is a Hopfield neural network, or, toand be opment. available to use within certain environment. This is aa Hopfield neural network, or, to be hether use a cash bill is recognized correctly andas a derivative more specific, a Little’s neural network to original one. a neural network adhesive to original issue. Basically we need quite the same available to use within certain environment. This is Hopfield neural network, or, to be described earlier couldneural compile a summary of ideal to original more specific, a Little’s network as a derivative one. Havingone. established an environment and a set of more specific, a Little’s neural network as a derivative to original t. Thismechanism is a Hopfield neural network, or, to be The point of using such method is having a complete set of input parameters as applied on ATM to check whether cash bill is recognized correctly and more specific, Little’s neural network a derivative to original probes for Hopfield network to properly The required pointa of using such method isashaving a complete set ofone. inputwe, parameters as it it not getting a cominstrumentals however, as does The point of using such method is having a complete set of input parameters it a derivative to original one. is: a database table described earlier could compile a summary of ideal probes required available to use within certain environment. This is a Hopfield neural network, or, to be The point of using such method is having a complete set of input parameters as it is:function, a database table described earlier could compile a summary of idealTo probes required as present ed at (1-3): plete product. makerequired it usable and user-friendly is: aaHopfield database table described earlier compile aa summary of ideal probes aving more a complete set of input parameters ascould itas aas for network to properly function, presented at (1-3): specific, a Little’s neural network derivative to original one. is: database table described earlier could compile summary of ideal probes required for Hopfield network to properly function, as presented atwe(1-3): still strive to have a GUI, (1) sufficient modeling confor network to properly function, as presented compile a The summary of ideal required ; (1) at xďż˝ďż˝ďż˝âƒ‘ ďż˝ďż˝ďż˝âƒ‘ [x ‌, xxnprobes ]; of such method is having a complete set of input parameters (1) as it for Hopfield Hopfield to properly function, as presented at (1-3): (1-3): 2 ,, using 1 ,, x x11 = =point [xnetwork x ‌, ]; 2 n structor, plug-and-play database and so on. 1, x 2, ‌, x n]; xďż˝ďż˝ďż˝âƒ‘ ďż˝ďż˝ďż˝âƒ‘ [x (1) as presented (1-3): is: a database described earlier could compile a summary of ideal probes required [x11table (1) xx121at= = [y ,, yyx22 ,, ‌, yyxnn ]; (2) ďż˝ďż˝ďż˝âƒ‘ = [y ‌, ]; (2) ; (2) As a result to this research we offered a new solu2 1, y 2, ‌,to n]; (1) xďż˝ďż˝ďż˝âƒ‘ ďż˝ďż˝ďż˝âƒ‘ [y (2) for Hopfield network function, as presented at (1-3): = [y y222,, ‌, ]; (2) 1, z xx232 = [z zzyynnnproperly ]; (3) 1 ďż˝ďż˝ďż˝âƒ‘ = [z , z ‌, ]; (3) tion, which, if correctly compiled and implement3= 1 , z2 , ‌, x (2) ; (3) xďż˝ďż˝ďż˝âƒ‘ = [z zznn];]; (3) xđ?‘ đ?‘ ďż˝ďż˝ďż˝âƒ‘ ďż˝ďż˝ďż˝âƒ‘ [x (1) 2, ,‌, 11, ,sx xđ?‘ đ?‘ âƒ‘⃑133= = [z z ‌, ]; (3) s (4) [s 2 n 2 n ed, may considerably increase overall LAN security 1 ,1 s , ‌, sn ]; (4) = [s (3) (4) ďż˝ďż˝ďż˝âƒ‘ = [s [y111,, ,ssy222,, ,‌, ‌,ssnyn]; ]; (2) xđ?‘ đ?‘ đ?‘ đ?‘ âƒ‘⃑2 = ‌, ]; (4) = [s ; (4) while sharing existing infrastructure and cutting the 2 n 1 (4) originally captured at the modeling stage, and ďż˝ďż˝ďż˝âƒ‘ ,1z2ďż˝ďż˝ďż˝âƒ‘, ,2‌, z ]; (3) xWhere 3 = [z1ďż˝ďż˝ďż˝âƒ‘, n x x x ďż˝ďż˝ďż˝âƒ‘ – packets being đ?‘ đ?‘  ⃑ costs. A solution offered combines both Network3 – packets being originally captured Where ďż˝ďż˝ďż˝âƒ‘, xx1 ďż˝ďż˝ďż˝âƒ‘, xx2 ďż˝ďż˝ďż˝âƒ‘ xďż˝ďż˝ďż˝âƒ‘ at the modeling stage, and đ?‘ đ?‘ âƒ‘ xx(a33sgroup ––];packets being captured at the the modeling modeling stage, stage, and and Where packets being originally originally capđ?‘ đ?‘ Where ⃑ = [s ,ďż˝ďż˝ďż˝âƒ‘, s112 ,ďż˝ďż˝ďż˝âƒ‘, (4) đ?‘ đ?‘ đ?‘ đ?‘ âƒ‘⃑ 2‌, represents aa 1packet of under n– xďż˝ďż˝ďż˝âƒ‘, packets being originally captured Where xďż˝ďż˝ďż˝âƒ‘, andat Host-based IDS/IPS principles, while having a 2 ďż˝ďż˝ďż˝âƒ‘ represents packet (a3 group of packets) packets) under consideration. consideration. packet (a group packets) consideration. ginallyrepresents captured the modeling stage, andusing đ?‘ đ?‘ âƒ‘ under tured ataatthe modeling stage, and represents a case-sensitive Now may compile aaof standard Little’s network represents packet group ofmatrix packets) under consideration. reaction system at the same time. The Nowawe we may ďż˝(a compile matrix using standard Little’s network principle: principle: ďż˝ Now we may compile a matrix using standard Little’s network principle: der consideration. packet (a we group of packets) under consideration. ∑ ďż˝ ďż˝ đ?‘Šđ?‘Š đ?‘Š (đ?‘Ľđ?‘Ľ ⃑ s ⃑ ) ; (5) Where x ďż˝ďż˝ďż˝âƒ‘, x ďż˝ďż˝ďż˝âƒ‘, x ďż˝ďż˝ďż˝âƒ‘ – packets being originally captured at the modeling stage, solution and Now may compile a matrix using standard Little’s network principle: key advantages to issued 1 (đ?‘Ľđ?‘Ľ 2 âƒ‘ďż˝ đ?‘Šđ?‘Š đ?‘Š âˆ‘ďż˝ďż˝ďż˝ďż˝ s⃑) ; (5)đ?‘ đ?‘ âƒ‘ may vary dependďż˝ 3principle: ��� ďż˝ ∑ standard Little’s network ďż˝ ďż˝ đ?‘Šđ?‘Š đ?‘Š (đ?‘Ľđ?‘Ľ ⃑ s ⃑ ) ; (5) Now we may compile a matrix using standard Lit��� ďż˝ Where W is matrix ‘k’ aa counter for For the represents (a⃑)group ofand packets) consideration. đ?‘Šđ?‘Š đ?‘Ša∑packet (đ?‘Ľđ?‘Ľâƒ‘the ; ing onvector a LANbeing infra,used. scoping data ���is ďż˝s Where W the matrix and ‘k’ is is under counter for current current vector being used. For(5) the processing speed, Where W is the matrix and ‘k’ is aa counter for current vector being used. For the (5) tle’sNow network principle: vector it is easier to use it to avoid original idea’s violation, since, in fact, we need to we may compile a matrix using standard Little’s network principle: Where W is the matrix and ‘k’ is counter for current vector being used. For the self-learning mechanism, simplicity, and, at the end, vector it is easier to use it to avoid original idea’s violation, since, in fact, we need to ďż˝vector ďż˝ being vector it is easier to use it to avoid original idea’s violation, since, in fact, we need to counter for current used. For the compare each parameter with its own baseline. ∑ ; (5) s ⃑ ) (5) đ?‘Šđ?‘Š đ?‘Š (đ?‘Ľđ?‘Ľ ⃑ vector it each is easier to it to its avoid idea’s violation, innew fact,solution we needcompletely to this is since, a brand unknown to ��� ďż˝ use with compare parameter ownoriginal baseline. compare each parameter with its own baseline. al idea’s violation, since, in fact, we need to A comparison happens as each vector marked suspicious is multiplied repeatedly Where W is the matrix and ‘k’ is a counter for current vector being used. For the compare each parameter with its own baseline. modern hacking community. A comparison happens as ‘k’ each vector marked suspicious is multiplied repeatedly Where W is the happens matrix and is a vector countermarked for cur-suspicious comparison each is repeatedly line. vector with aaA whole set of baseline vectors, which outputs as either inverted packet original is easier to used. use itFor to as avoid original idea’s violation, since, in fact, we need to blind spots to this Aitvector comparison happens as each vector marked suspicious is multiplied multiplied repeatedly However there are still some with whole set of baseline vectors, which outputs as either inverted packet original rent being the vector it is easier to with a whole set of baseline vectors, which outputs as either inverted packet original or marked suspicious is multiplied repeatedly packet (from ideal scope, depends on which packet’s variation being considered by compare each parameter with its ownon baseline. with setoriginal of scope, baseline vectors, which eitherthe inverted original system is incomplete packet (from ideal depends which packet’s variation being packet considered byand for this moment useaas itwhole to avoid idea’s violation, since,outputs in fact, astopic: packet (from ideal scope, depends on which packet’s variation being considered by ch outputs either inverted packet original neural network) or a complete unknown vector, which may point out an anomaly. A comparison happens as each vector marked suspicious is multiplied repeatedly packet (from ideal scope, depends on which packet’s variation being considered by a neural network neural network) or a complete unknown vector, which may point out an anomaly. is database-dependent. This means we need to compare each parameter with itswhich own may neural network) or aa complete unknown vector, point out an anomaly. hich packet’s variation being considered bywhich suggested solution is a new direction to Data Security, yet it has some with aThe whole set of baseline vectors, outputs as either inverted packet original neural network) or complete unknown vector, which may point out an anomaly. The suggested solution is aa new direction to Data Security, it has should be usedyet based on asome DB table, using a builtbaseline. The suggested is new direction to Data Security, yet it has some ector, which may point out ansolution anomaly. lookalikes when compared to CM However, it does differ starting from packet (from ideal scope, depends onsystems. which packet’s variation being considered by summation methThe suggested solution is a new direction to Data Security, yet it has some lookalikes when compared to CM systems. However, it does differ starting from in multiplication, transpose and comparison happens as CM each vector marked lookalikes when compared systems. However, it does differ starting from direction toAnetwork) Data Security, yet CM, it to has some underlying concept: unlike it works with a specific modeled ideal dump rather than neural or a complete unknown vector, which may point out an anomaly. lookalikes when compared to CM systems. However, it does differ starting from underlying concept: unlikerepeatedly CM, it works with a specific modeled ideal dumpmay rather than performance and ods. Those factors impact suspicious is multiplied withwith a whole set modeled underlying concept: unlike CM, aa specific ideal dump than ems. However, it does differ starting from assuming point where traffic is clean while comparing it to any given moment. The some suggested solution isit new direction to Data Security, yet it rather has some underlying concept: unlike CM, it aworks works with specific modeled ideal dump rather than the LAN throughassuming some point where traffic is clean while comparing it to any given moment. self-learning abilities, decreasing of baseline vectors, which outputs as clean either while inverted assuming some point where traffic is comparing it to any given moment. with a lookalikes specific modeled ideal dump rather than This allows system administrator to collate a suspicious object to an ideal data stamp, when compared CM systems. However, it ifdoes starting from assuming some point where to traffic iscollate clean awhile comparing it to todiffer anyideal moment. This allows system administrator toscope, suspicious object an data stamp, attached togiven Core layer. packet original packet (from ideal depends on put This allows system administrator to collate aa asuspicious object to an ideal data stamp, an while comparing it to any given moment. not specific state of LAN traffic flow defined formerly. It is also concentrates on underlying concept: unlike CM, it works with specific modeled ideal dump rather thanaa to use programThis allows system administrator to collate suspicious object to an ideal data stamp, notwhich specific statevariation of LANbeing trafficconsidered flow defined formerly. ItIt isis predictably also concentrates on more efficient packet’s by neural not specific state LAN flow defined formerly. It is also concentrates on aa te a suspicious object toof anrather ideal traffic data stamp, network components than standard server-client infrastructure. assuming some point where traffic is clean while comparing it to any given moment. not specific state of LAN traffic flow defined formerly. It is also concentrates on network components ratherunknown than standard server-client infrastructure. ming languages for neural network platform while network) or a complete vector, which may network components rather than infrastructure. efinedThis formerly. Itsystem is alsoadministrator concentrates a server-client allows tooncollate a suspicious object to an ideal data stamp, network components rather than standard standard server-client infrastructure. having a joint with DB, so future development alpoint out an anomaly. erver-client infrastructure. Conclusion. Implementation development. not specific state of LAN traffic and flowfuture defined formerly. It is also concentrates on a Conclusion. Implementation and future development. The suggested solution is a new directiondevelopment. to Data ready has some areas to evolve. Nevertheless, main Conclusion. Implementation and network components rather than standard server-client infrastructure. Conclusion. Implementation and future future development. components should seat still: a neural network, sniffSecurity, yet it has some lookalikes when compared ure development. Having established an environment and a set of instrumentals we, however, does Having established an environment and a set of instrumentals we, however, doeshave to be installed er, modeling tool and database to CM systems. However, it does differ starting from Having established an environment and a set of instrumentals we, however, does not getting aa complete product. To it usable and user-friendly we still strive to Conclusion. Implementation andmake future development. Having established an environment and a set of instrumentals we, however, does notunderlying getting complete product. To make it usable and user-friendly we still strive tomay vary depending proper functioning. The restto concept: unlike CM, constructor, it works with a specif-andfor getting a complete product. To make it usable user-friendly we still strive and a not set of instrumentals we, however, does have a GUI, sufficient modeling plug-and-play database and so on. not getting asufficient completemodeling product. constructor, To make it plug-and-play usable and user-friendly wesostill strive to have a GUI, database and on. on adatabase certain casessoand preferences. ic and modeled ideal dump rather than to assuming some have aaHaving GUI, sufficient modeling constructor, on. it usable user-friendly wean still strive established environment andplug-and-play a set of instrumentals we, so however, does have GUI, sufficient modeling constructor, plug-and-play database and and on. or, plug-and-play andproduct. so on. To make it usable and user-friendly we still strive to not getting database a complete V.L. Tsirlov, Ph.D., constructor, Associate Professor, Information Security Bauman Moscow State have aReviewer: GUI, sufficient modeling plug-and-play database and Department, so on. Technical University, Moscow, Russia. E-mail: v.tsirlov@bmstu.ru References 1. End-to-End Network Security: Defense-in-Depth By Omar Santos. Published Aug 24, 2007 by Cisco Press, pp. 19-22 2. Introduction to Cisco IOS NetFlow - A Technical Overview, Cisco White papers, issued May 29, 2012. [https://www.cisco.com/c/en/ us/products/collateral/ios-nx-os-software/ios-netflow/prod_white_paper0900aecd80406232.html] 3. NetFlow gives Network Managers a Detailed View of Application Flows on the Network, CiscoÂŽ IT Case Study/Cisco Network Management/NetFlow, Case study, issued Š 2004 Cisco Systems, Inc,[http://www.cisco.com/en/US/prod/collateral/iosswrel/ ps6537/ps6555/ps6601/prod_case_study0900aecd80311fc2.pdf ], p. 4.

Đ’ĐžĐżŃ€ĐžŃ Ń‹ ĐşĐ¸ĐąĐľŃ€ĐąĐľĐˇĐžĐżĐ°Ń Đ˝ĐžŃ Ń‚Đ¸ â„–1(25) - 2018

17


Оценка защищенности информации

УДК 004.056

4. Junos® OS IDP Series Appliance to SRX Series Services Gateway Migration Guide. Copyright © 2017 Juniper Networks, Inc, pp. 3-7. 5. Host-based vs Network-base Intrusion detection systems, SANS institute article, [https://cyber-defense.sans.org/resources/ papers/gsec/host-vs-network-based-intrusion-detection-systems-102574], 2005, pp.3-5 6. CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.4, Cisco inc. Issued Dec 4, 2017. 7. K. Scarfone, P. Mell, Special Publication 800-94: Guide to Intrusion Detection and Prevention Systems (IDPS), National Institute of Standards and Technology (NIST) (2007), pp 4-6. 8. Two-layer modeling for local area networks Authors: M. Murata, Comput. Center, Osaka Univ.,Japan, H. Takagi, pp 1-10 9. Modeling and Analysis of Wireless LAN Traffic, JOURNAL OF INFORMATION SCIENCE AND ENGINEERING 25, 1783-1801 (20090, DASHDORJ YAMKHIN AND YOUJIP WON+, Hanyang University, Seoul, 133-791 Korea 10. Enhancing LAN Performance, Gilbert Held, Fourth Edition, CRC Press, 18 March, 2004 , pp 130-140 ISBN 978-0-203-49605-3 11. A Network Traffic Generator Model for Fast Network-on-Chip Simulation, IEEE Article, Shankar Mahadevan, Federico Angiolini, Michael Storgaard, Rasmus Grøndahl, Olsen Jens Sparsø, Jan Madsen, Informatics and Mathematical Modelling (IMM), Technical University of Denmark (DTU), Richard Petersens Plads, 2800 Lyngby, Denmark - Dipartimento di Elettronica, Informatica e Sistemistica (DEIS), University of Bologna, Viale Risorgimento, 2 40136 Bologna, Italy. Proceedings of the Design, Automation and Test in Europe Conference and Exhibition (DATE’05), 1530-1591/05 IEEE, pp 1-6. 12. Wireshark - The best open source network packet analyzer(Part I), Himanshuz.chd | Sep 23 2012, IBM DeveloperWorks Electronic Archive. 13. Traffic inspection for visibility, control and new business opportunities, Ericsson White papers, 284 23-3112 Uen Rev B | September 2010, pp 2-12. 14. The Science DMZ: A Network Design Pattern for Data-Intensive Science, Eli Dart, Lauren Rotman, Brian Tierney, Mary Hester Jason Zurawski, Lawrence Berkeley National Laboratory under Contract No. DE-AC02-05CH11231 with the U.S. Department of Energy. The U.S. SC13 November 17-21, 2013, Denver, CO, USA Copyright 2013 ACM 978-1-4503-2378-9/13/11, page 5 15. Mathematical morphology on bipolar fuzzy sets: general algebraic framework, IsabelleBloch Télécom ParisTech, CNRS LTCI, Paris, France, May, 2012, pp 2-3

18

Вопросы кибербезопасности №1(25) - 2018


МЕТОД ОБНАРУЖЕНИЯ НИЗКОИНТЕНСИВНЫХ РАСПРЕДЕЛЕННЫХ АТАК ОТКАЗА В ОБСЛУЖИВАНИИ СО СЛУЧАЙНОЙ ДИНАМИКОЙ ХАРАКТЕРИСТИК ФРАГМЕНТАЦИИ И ПЕРИОДИЧНОСТИ Слесарчик К.Ф.1 В статье рассматривается подход к обнаружению низкоинтенсивных распределенных атак на отказ в обслуживании, направленных на прикладной уровень инфокоммуникационной сети. Рассмотрены особенности обнаружения низкоинтенсивных DDoS-атак со случайной динамикой характеристик фрагментации и периодичности приема пакетов. Предложен показатель оценивания состояния объекта атаки. Разработан способ обнаружения низкоинтенсивной атаки со случайной динамикой её характеристик. Представлены результаты экспериментальных исследований, характеристики ошибок первого и второго рода. Ключевые слова: низкоинтенсивная атака; анализатор DDoS-атак; деструктивное информационное кибернетическое воздействие; сетевая безопасность; атака малой мощности; инфокоммуникационная сеть; прикладной уровень.

DOI: 10.21681/2311-3456-2018-1-19-27

Введение. Стремительное внедрение инфокоммуникационных технологий в различные сферы человеческой деятельности способствует развитию методов противодействия их функционированию. Для сдерживания предлагаемых ими возможностей со стороны злоумышленников. Причем такое противодействие реализуется на различных уровнях для влияния, как на частных лиц, так и государственные структуры. В результате появляется множество классов деструктивных информационных кибернетических воздействий (ДИКВ). Общий анализ атак показывает, что одним из эффективных способов воздействий на инфокоммуникационную сеть с целью нарушения процессов управления ею является несанкционированное блокирование доступа к информационным ресурсам. Наиболее распространенным методом ДИКВ является распределенная атака отказа в обслуживании (DDoS-атака). Результаты анализа ДИКВ на инфокоммуникационные сети в 3 квартале 2017 года указывают на то, что одной из основных целей ДИКВ является прикладной уровень инфокоммуникационной сети (рис. 1). Статистика атак по количеству запросов в секунду показывает, что более чем в 79,4% случаев атак мощность атаки лежит в пределах 10-1000 тыс. запросов в секунду (RPS) при средней продолжительности от 30 до 60 минут в 41,4% случаев [1]. Если сравнивать с тем же периодом 2016 1 

года, когда мощность атаки находилась в пределах от 80 до 268 тыс. RPS, а её длительность в 52,2% случаев составляла менее 1 часа, то рассмотрение проблемы в аспекте индустрии криминальных киберуслуг, позволяет сделать вывод о том, что технология проведения низкоинтенсивных атак позволит снизить вычислительную нагрузку на средства проведения атак и увеличить их эффективность по временному критерию. Следовательно, рассматривая динамику тенденции проведения распределенных атак отказа в обслуживании прикладного уровня, можно дать прогноз увеличения в ближайшем будущем доли применения низкоинтенсивных атак, что делает необходимым совершенствование методов их обнаружения. Сценарий низкоинтенсивной DDoS-атаки Низкоинтенсивная DDoS-атака характеризуется продолжительными периодами между передачей пакетов для одной сессии и большим значением фрагментации пакетов в данной сессии для передачи контентной информации. Возможность проведения низкоинтенсивной атаки объясняется уязвимостью протокола HTTP и необходимостью обязательного ожидания сервером конца передачи POST-запроса. При реализации низкоинтенсивной DDoS-атаки злоумышленник фрагментирует POST-запрос на пакеты малой длины и отправляет их серверу с периодичностью меньше, чем значение времени ожидания окончания соединения. В результате чего сервер вынужден

Слесарчик Константин Федорович, Академия ФСО России, г. Орёл, interline57@mail.ru.

Вопросы кибербезопасности №1(25) - 2018

19


Мониторинг безопасности объектов

УДК 004.942

а) мощность DDoS-атак на прикладной уровень

б) длительность DDoS-атак на прикладной уровень

Рис. 1. Статистика DDoS атак на прикладной уровень в 3 квартале 2017 года ожидать окончание приема POST-запросов злоумышленника, в тот момент как запросы легитимных пользователей игнорируются ввиду отсутствия свободного ресурса [2]. Существующие методы обнаружения DDoSатак (табл. 1), позволяют эффективно распознавать DDoS-атаки транспортного и сетевого уровней и малоэффективны для обнаружения низкоинтенсивных DDoS-атак прикладного уровня, так как не учитывают особенностей низкоинтенсивной атаки. Исключение составляют методы на основе мягких решений, но и они обладают рядом существенных недостатков, снижающих эффективность их применения, главный из которых – не-

20

обходимость предварительного обучения. Кроме того, точность функционирования методов на основе мягких решений зависит от качества наборов характеристик атаки. Чем больше для обучения анализатора используется значений из пространства характеристик атаки, тем точнее ее определение (меньше ошибок 1 и 2 рода). Однако обучение по всему пространству значений характеристик атаки невозможно ввиду вычислительной и временной сложности реализации такого обучения. В дополнение к этому обучение анализатора атаки становится бесперспективным в случае случайного характера динамики характеристик низкоинтенсивной атаки, так как трафик атаки малой мощВопросы кибербезопасности №1(25) - 2018


Метод обнаружения низкоинтенсивных распределенных атак ... Таблица 1. Методы обнаружения DDoS-атак № п/п

Метод

Достоинства

Недостатки

1.

Статистический

Адаптация к поведению субъекта, не требуется знание о возможных атаках и используемых уязвимостях

1. Возможность манипуляции эталонными профилями параметров трафика. 2.  Нечувствительность к порядку следования событий. 3.  Объективная трудность определения граничных (пороговых) значений отслеживаемых характеристик.

2.

Использование экспертных систем (сигнатурный метод)

Отсутствие ложных тревог

Необходимость постоянного обновления сигнатур (актуализация)

3.

Использование методов на основе мягких решений (нейросетевые анализаторы и генетические алгоритмы)

Способность «изучать» характеристики атак и идентифицировать элементы, которые не похожи на те, что наблюдались ранее.

Точность обнаружения атак зависит от качества обучения нейросети

4.

Использование методов Data Mining и машинного обучения

Малое время обнаружения события атаки

1.  Недостаточно апробирован на практике. 2. Требует достаточно больших вычислительных мощностей

ности становится непериодическим, что является нетипичным её признаком [3-5]. Способ обнаружения низкоинтенсивных распределенных атак отказа в обслуживании со случайной динамикой характеристик фрагментации и периодичности Анализ наличия или отсутствия атаки проводится относительно состояния объекта атаки, которое описывается значением, являющимся точкой, взятой в ортогональном базисе пространства состояний, независимых функций, описывающих признаковые показатели низкоинтенсивной атаки. Точка в пространстве состояний объекта – это показатель тревоги (1), рассчитываемый на основе трех признаковых показателей атаки (2–4): ,

(1)

где – коэффициент фрагментации пакетов определяется выражением: ,

(2)

где – среднее значение размера данных POST запросов к серверу службы во фрагментированных пакетах; – среднее значение размера данных для всех фрагментированных пакетов отправленных к серверу службы. – коэффициент интенсивности приема фрагментированных пакетов вычисляется по формуле:

Вопросы кибербезопасности №1(25) - 2018

,

(3)

– среднее время между приемом для где всех фрагментированных пакетов отправленных к серверу службы; – среднее время между приемом фрагментированных пакетов с данными POST–запросов к серверу службы. Коэффициент доступности службы определяется как: ­­­­­,

(4)

­­­­­ – количество ответов службы сервера с согласием на установление соединения, ­ ­­­­– количество запросов к службе сервера на установку соединения. Блок–схема алгоритма расчета показателя тревоги представлен на рис.2. На первом шаге производится прием пакета, на 2-м и 9-м шагах выявляются пакеты запросов на соединение с сервером и пакеты с его согласием на установку соединений. На 11-м и 12-м шагах выявляются целевые пакеты с признаками содержания фрагментированных данных HTTP–запросов к серверу. На 13-м шаге определяется принадлежность пакета к ранее зарегистрированным соединениям по признаку идентификатора соединения. На шагах 4, 10, 14 и 17–19-м определяются параметры соединения, на основе которых будет рассчитан показатель тревоги (шаги 5–7).

21


Мониторинг безопасности объектов

УДК 004.942

Рис.2. Блок–схема алгоритма расчета показателя тревоги В настоящее время наиболее эффективным способом реализации обнаружения низкоинтенсивной атаки по предлагаемому показателю является анализатор на основе гибридной нейронной сети, состоящей из фильтров запрета и нейронной сети с обратным распространением на основе звезды Гроссберга (рис. 3) [6]. Такая реализация позволяет сузить бесконечное множество возможных значений показателя тревоги на входе нейронной сети до трех четких

состояний: «Атака», «Возможность атаки», «Отсутствие атаки» (рис. 4), однако обладает следующими недостатками: - необходимость предварительного знания характеристик атак для предварительного обучения нейросети; - трудность в точном определении границы областей состояний наличия и отсутствия атаки, что в совокупности определяет значение риска не обнаружения атаки.

Рис. 3. Гибридная нейронная сеть с обратным распространением на основе звезды Гроссберга

22

Вопросы кибербезопасности №1(25) - 2018


Метод обнаружения низкоинтенсивных распределенных атак ...

Рис. 4. Области возможных состояний анализатора атаки

Рис. 5. Динамика градиентного движения показателя тревоги Для устранения указанных недостатков предлагается дополнительно анализировать скорость динамики градиентного движения показателя тревоги , (рис. 5). Полученные расчетные значения показателя проверяются на предмет изменения скорости градиентного движения к нулевому вектору , на основании чего делается вывод о наличии низкоинтенсивной атаки. Однако такой анализ скорости динамики градиентного движения показателя тревоги дает Вопросы кибербезопасности №1(25) - 2018

положительный результат при ограничении согласно которому степень фрагментации пакетов нелегитимного трафика и значение периода получения пакетов нелегитимного трафика являются постоянными величинами. Известные примеры проведенных низкоинтенсивных атак в отношении ресурсов коммерческих и общественных организаций показали, что характеристики фрагментации и период получения пакетов атаки носят случайный характер. В рамках проведенных исследований были выдвинуты и проверены две гипотезы.

23


Мониторинг безопасности объектов

УДК 004.942

Рис. 6. Результаты экспериментальной проверки первой гипотезы Гипотеза 1. Скорость динамики показателя тревоги при появлении в потоке пакетов низкоинтенсивной атаки всегда будет выше, чем при введении в поток дополнительных (искусственно сгенерированных) пакетов атаки, с усредненными характеристиками фрагментации и периодичности регистрации пакетов (рис. 6). На рисунке 6 начальное состояние «Отсутствие атаки», показано жёлтым цветом (область

«1»). При введении в поток искусственно сгенерированных пакетов атаки, с усредненными характеристиками фрагментации и периодичности регистрации пакетов для состояния «отсутствия атаки» показатель перемещается в область показанную зелёным цветом (область «3»). При моделировании низкоинтенсивной атаки, показатель тревоги перемещается в область «атаки», помеченную красным цветом (область «2»).

Рис. 7. Результаты экспериментальной проверки второй гипотезы

24

Вопросы кибербезопасности №1(25) - 2018


Метод обнаружения низкоинтенсивных распределенных атак ... При этом расстояние между точками из областей «1» и «2» будет всегда больше, чем между точками из областей «1» и «3». Гипотеза 2. Если в анализируемом потоке присутствуют пакеты низкоинтенсивной атаки, то при дополнительном введении в поток искусственно сгенерированных пакетов атаки с характеристиками фрагментации и периодичности регистрации пакетов скорость динамики показателя тревоги, будет всегда выше, чем при отсутствии в потоке таких дополнительно сгенерированных искусственных пакетов атаки (рис. 7). На рисунке 7 при начальном состоянии «Атака присутствует» показатель тревоги находится в области «1», показана красным цветом. Если усредненные характеристики атаки не изменяются, то значения показателя тревоги концентрируются в области «1», не превышая значения, определя-

емого дисперсией характеристик фрагментации и периодичности атаки. При введении в поток искусственно сгенерированных пакетов атаки с характеристиками фрагментации и периодичности регистрации пакетов, вычисленных в предыдущем окне анализа, показатель тревоги перемещается в «2», обозначена зелёным цветом. При этом расстояние между точками, рассчитанными с учетом дополнительных пакетов и без них, будет всегда больше, чем флуктуация показателя тревоги в состоянии атаки. Жёлтым цветом показана область значений показателя тревоги после удаления из потока пакетов низкоинтенсивной атаки, область «3». На основе сформулированных гипотез разработан алгоритм обнаружения низкоинтенсивных атак (рис. 8). Согласно предлагаемому алгоритму, по рассчитанному значению показателя тревоги

Рис. 8. Алгоритм работы анализатора низкоинтенсивной DDoS атаки на основе анализа динамики градиента показателя тревоги Вопросы кибербезопасности №1(25) - 2018

25


Мониторинг безопасности объектов

УДК 004.942

определяется направление градиента (рис. 8, шаг 2–3) и в случае его положительного значения (движения к нулевой координате) сравнивается скорость изменения с результатом анализа на предыдущем окне (рис. 8, шаг 4). При увеличении скорости изменения показателя тревоги рассчитывается следующие значение показателя тревоги с учетом характеристик фрагментации и периодичности регистрации искусственно сгенерированных пакетов атаки, определенных для предыдущего окна анализа (рис. 8, шаг 5). Если значение изменения показателя тревоги для текущего окна анализа больше, чем для значения вычисленного на шаге 5 (рис. 8, шаг 6), то формируется сообщение о наличии низкоинтенсивной атаки и определяются характеристики фрагментации и периодичности пакетов атаки (рис. 8, шаг 7–8 ). Полученные значения показателя тревоги для события «Атака» дополнительно могут быть использованы для обучения нейросетевого анализатора. Результаты экспериментальных исследований Целью эксперимента являлась определение значений ошибок 1 и 2 рода для предложенного алгоритма обнаружения низкоинтенсивных DDoS-атак (рис. 8) со случайной динамикой характеристик фрагментации и периодичности, при различных значениях размера окна анализа. Проверка проводилась для трех сценариев: 1) Анализатор функционирует, когда объект не подвергается атаке и обрабатывается легитимный трафик с периодическим увеличением нагрузки (значение коэффициента нагрузки изменяется случайным образом в диапазоне от 1 до 10); 2) Анализатор функционирует, когда объект не подвергается атаке, обрабатывается легитимный трафик с периодическим увеличением нагрузки (значение коэффициента нагрузки изменяется случайным образом в диапазоне от 1 до 10). Затем через 100 окон анализа подключается генератор деструктивных информационно-кибернетических воздействий, реализующий низкоинтенсивную атаку типа «Rudy», со случайными характеристиками фрагментации и периодичности пакетов (закон распределения характеристик атакующего трафика равномерный);

3) Анализатор функционирует, когда объект уже подвергнут атаке и объект обрабатывает смесь легитимного и атакующего трафика. Причём нагрузка легитимного трафика периодически увеличивается (значение коэффициента нагрузки изменяется случайным образом в диапазоне от 1 до 10). При этом генератор атаки имитирует низкоинтенсивную атаку типа «Rudy» со случайными характеристиками фрагментации и периодичности пакетов (закон распределения характеристик атакующего трафика равномерный). При проведении экспериментов значение окна анализа изменялось в диапазоне от 30 до 1500 пакетов. При генерации нормального трафика использовалось случайное количество запросов с случайным тайм-аутом без генерации случайных путей (только к корневой папке WEBсервера). При генерации трафика атаки типа «Rudy» сценарий производил множество запросов к Web-серверу и в дальнейшем поддерживал их. В ходе экспериментов значение максимальной ошибки первого рода (ложное срабатывание) при минимальном значении окна анализа (30 пакетов) не превысило 0,89%, а при максимальной значении окна анализа (1500 пакетов) не превысила 0,0896%. Ошибка второго рода в наихудшем случае (окно анализа 30 пакетов) составляет 1,73%, при окне анализа 1500 пакетов – 0,63%. Заключение Предлагаемый метод обнаружения низкоинтенсивных распределенных атак отказа в обслуживании позволяет решить ряд проблем, основными из которых являются следующие: Эффективное выявление принадлежности трафика к распределённой по времени атаке, при условии перманентного изменения характеристик атаки с меньшим объемом анализируемых данных по сравнению со статистическими методами. Реализация обнаружения низкоинтенсивных распределенных атак отказа в обслуживании непосредственно на серверах служб и/или интегрироваться в ПО маршрутизаторов. Формирование данных для предварительного обучения нейросети с целью уменьшения объема вычислительных операций и снижения времени реакции анализатора низкоинтенсивной DDoSатаки в случае совместного применения с нейросетевым методом.

Рецензент: Иванов Юрий Борисович, кандидат технических наук, доцент, сотрудник Академии ФСО России, г. Орел, Россия. E-mail: 89102697376@yandex.ru

26

Вопросы кибербезопасности №1(25) - 2018


Метод обнаружения низкоинтенсивных распределенных атак ... Литература 1. DDoS Threat Landscape Report Q3 2017. [Электронный ресурс]. – Режим доступа: https://www.incapsula.com/ (дата обращения: 14.01.2018). 2. A. Carlsson, E. Duravkin, A. Loktionova. Analysis of realization and method of detecting low-intensity HTTP-attacks. Part 2. method of detecting slow HTTP attacks. // Problems of the telecommunication. – 2014. – № 1 (13). – С. 96-100. 3. Тарасов Я.В. Исследование применения нейронных сетей для обнаружения низкоинтенсивных DDoS-атак прикладного уровня // Вопросы кибербезопасности. – 2017.-№5 (24).- С.23-29. 4. Абрамов Е.С., Сидоров И.Д. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети // Известия ЮФУ. Технические науки. – 2009. – № 11 (100). – С. 154-164. 5. Тарасов Я. В. Метод обнаружения низкоинтенсивных DDsoS-атак на основе гибридной нейронной сети // Известия ЮФУ. Технические науки. – 2010. – № 1 (13). – С. 47-57. 6. Слесарчик К.Ф., Шульгин Р. Н., Аристархов А.А. Обнаружение «низкоинтенсивной» DDoS атаки методами нейросетевого анализа//сборник трудов научно-практической конференции «Проблемы технического обеспечения войск в современных условиях» Военная Академия связи им. Маршала советского союза С.М. Буденного (09 февраля 2016 г.) – г.Санкт-Петербург: Военная Академия связи им. Маршала советского союза С.М. Буденного , – 2016, С. 22-26.

METHOD FOR THE DETECTION OF LOW INTENSITY ATTACKS DISTRIBUTED DENIAL OF SERVICE WITH A RANDOM DYNAMICS OF CHARACTERISTICS OF FRAGMENTATION AND FREQUENCY Slesarchik K. 2 The article discusses an approach to the detection of low intensity attacks distributed denial of service attacks aimed at application layer network information and communication. The features of detection of lowintensity DDoS-attacks with random dynamics of fragmentation characteristics and frequency of packet reception are considered. The indicator of estimation of the state of the object of attack is offered. A method for detecting a low-intensity attack with random dynamics of its characteristics is developed. The results of experimental studies, characteristics of errors of the first and second kind are presented. Keywords: low-attack; analyzer DDoS attacks; destructive information impact cyber; network security; attack of small capacity; information communication network; the application layer. References 1. DDoS Threat Landscape Report Q3 2017. [https://www.incapsula.com/]. (14.01.2018). 2. A. Carlsson, E. Duravkin, A. Loktionova. Analysis of realization and method of detecting low-intensity HTTP-attacks. Part 2. method of detecting slow HTTP attacks. // Problems of the telecommunication. – 2014. – № 1 (13). – С. 96-100. 3. Tarasov YA.V. Issledovanie primeneniya nejronnyh setej dlya obnaruzheniya nizkointensivnyh DDoS-atak prikladnogo urovnya // Voprosy kiberbezopasnosti. – 2017.-№5 (24).- S.23-29. 4. Abramov E.S., Sidorov I.D. Metod obnaruzheniya raspredelennyh informacionnyh vozdejstvij na osnove gibridnoj nejronnoj seti // Izvestiya YUFU. Tekhnicheskie nauki. – 2009. – № 11 (100). – S. 154-164. 5. Tarasov YA. V. Metod obnaruzheniya nizkointensivnyh DDsoS-atak na osnove gibridnoj nejronnoj seti // Izvestiya YUFU. Tekhnicheskie nauki. – 2010. – № 1 (13). – S. 47-57. 6. Slesarchik K.F., SHul’gin R. N., Aristarhov A.A. Obnaruzhenie «nizkointensivnoj» DDoS ataki metodami nejrosetevogo analiza// sbornik trudov nauchno-prakticheskoj konferencii «Problemy tekhnicheskogo obespecheniya vojsk v sovremennyh usloviyah» Voennaya Akademiya svyazi im. Marshala sovetskogo soyuza S.M. Budennogo (09 fevralya 2016 g.) – g.Sankt-Peterburg: Voennaya Akademiya svyazi im. Marshala sovetskogo soyuza S.M. Budennogo , – 2016, S. 22-26.

2  Konstantin Slesarchik, Academy of Federal security service of Russia, Orel, Russia. E-mail: interline57@mail.ru

Вопросы кибербезопасности №1(25) - 2018

27


УПРАВЛЕНИЕ РИСКОМ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ ЭЛЕКТРОННОГО БАНКИНГА1 Бердюгин А.А.2 Аннотация: Банковский бизнес развивается в условиях, которые носят неопределённый характер. Финансовые организации должны выстраивать целостную систему управления всеми выявляемыми банковскими рисками. Статья посвящена разработке и формализации подсистемы управления риском нарушения информационной безопасности в рамках общей системы управления рисками кредитнофинансовой организации. Даётся определение информационного общества. Приводятся вычисления на основе статистики Росстата и Банка России. Рассматриваются мотивы, движущие нарушителем информационной безопасности коммерческого банка. Проведён динамический анализ количества устройств, предназначенных для осуществления операций с использованием и без использования платёжных карт, расположенных в России. Исследуются виды угроз системе защиты информации коммерческого банка, к которым относятся инсайдерские инциденты, внешние кибератаки и приёмы социальной инженерии. Работа привлекает наше внимание к реализации реинжиниринга бизнес-процессов в банковской информационной безопасности. С учётом современных условий возникновения рисков проанализирована схема древнеримского учёного Квинтиллиана, которая предназначена для описания любой проблемы. Приведён примерный перечень вопросов, позволяющих получить информацию о качестве управления риском нарушения информационной безопасности в коммерческом банке. Делаются соответствующие выводы об оптимизации качества управления риском нарушения защиты информации в банках. Ключевые слова: управление рисками, финансовая организация, информационная безопасность, дистанционное банковское обслуживание, компьютерные инциденты.

DOI: 10.21681/2311-3456-2018-1-28-38 Развитие и регулирование информационного общества Представление «Информационное общество» не закрепилось в современном мире, как «Гражданское общество», для которого важным вопросом остаётся независимость гражданского общества от прямого вмешательства и произвольной регламентации со стороны государственной власти и бизнеса [1]. Тем не менее, образное понимание информационного общества даёт следующая схема (рис. 1): Темпы прогресса электронной коммуникации в обществе приводят к необходимости исследования особенностей развития информационных технологий и их влияния на все жизненные сферы общества и человека. Предоставляя новые возможности, IT-инновации одновременно создают новые проблемы и риски. Информационная безопасность превращается в одну из глобальных проблем человечества, приобретающих психологический, экономический, социологический и политический характер, поскольку возрастает

необходимость защиты человека и общества в информационной сфере. Проблема поддержки информационной безопасности носит междисциплинарный характер и требует совместных усилий специалистов различных научных направлений [2, 3].

Рис.1. Информационное общество. Составлено автором

1  Статья подготовлена по результатам исследований, выполненных за счёт бюджетных средств по государственному заданию Финансового университета на 2017 год. 2  Бердюгин Александр Александрович, аспирант кафедры «Информационная безопасность», Финансовый университет при Правительстве Российской Федерации, Москва. Россия. E-mail: a40546b@gmail.com

28

Вопросы кибербезопасности №1(25) - 2018


Управление риском нарушения информационной безопасности ... Таблица 1. Число персональных компьютеров в организациях. Данные Росстата 2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

2016

4150,5

4558,3

5709,6

6684

7528,4

8267,3

8743,7

9288,1

9972,2

10807,5

11438,0

11740,8

11992,3

12422,1

имевшие доступ к глобальным инфор- 1204,0 мационным сетям

1513,4

2032,0

2606,3

3267,5

3873,5

4313,5

4997,1

5663,2

6508,1

7220,8

8157,5

8362,0

8782,2

в том числе к сети «Интернет»

986,0

1218,8

1686,1

2232,0

2888,4

3411,5

3866,4

4553,3

5198,3

6066,5

6764,4

7277,6

7561,5

8117,9

Поступило персональных компьютеров в отчётном году, тыс. шт.

656,2

743,8

984,2

1170,9

1257,9

1159,2

890,6

999,9

1251,6

1454,1

1351,5

1177,7

952,2

986,7

Число персональных компьютеров на 100 работников – всего, шт.

18

20

23

26

29

32

35

36

39

43

44

47

49

49

в том числе с доступом к сети «Интернет»

4

5

7

9

11

13

15

18

21

24

26

29

31

32

Число персональных компьютеров в обследованных организациях – всего, тыс. шт. из них:

Таблица 2. Потери в финансовой системе России в 2016 году, млрд руб. Похищено

Сохранено

Физ. лица 1,23 1,24 Юр. лица 0,38 1,12 АРМ КБР* 1,20 1,67 Итого: 2,82 4,04 *Автоматизированное рабочее место клиента Банка России

Согласно статистике, предоставленной Росстатом (табл. 1), за 13 лет произошёл прирост количества информационно-коммуникационных технологий (ИКТ) в организациях в раза, что подтверждает темпы прогресса. Интерес представляет процент количества персональных компьютеров, имевших доступ к сети «Интернет» в общем числе персональных компьютеров в обследованных организациях, возросший с в 2003 году до в 2016 году. По подсчётам Банка России из финансовой системы России в 2016 году киберпреступниками было похищено почти 6,7 млрд руб. (табл. 2). Для сравнения: минимальный размер оплаты труда с 1 июля 2016 года составлял 7500 рублей в месяц. Таким образом, в 2016 году в России хакерами было украдено тысяч МРОТов. Кре3

3  ЦБ готовит банки к компьютерным и информационным атакам. URL: http://www.vedomosti.ru/finance/articles/2016/  1 2 / 0 7 / 6 6 8 5 1 2 - t s b - o t r a z h e n i y u - a t a k # / g a l l e r i e s /  140737493044801/normal/1 (дата обращения 16 августа 2017 года).

Вопросы кибербезопасности №1(25) - 2018

Всего 2,48 1,51 2,87 6,86

Эффективность хищений, % 50 26 42 41

дитно-финансовым организациям понадобятся серьёзные технологии защиты от компьютерных атак и непосредственного физического взлома приспособлений. Однако защита информации – это не только прерогатива специалистов, но и задача пользователей дистанционного банковского обслуживания (ДБО). Дистанционное взаимодействие всех систем и участников денежной банковско-финансовой системы – возможность цивилизации. Предоставление ссуд по сети «Интернет» и открытие депозитных счетов без визита в офис, интернет-трейдинг (онлайн-торговля), дистанционные объединённые счета (Omnibus Account), индивидуальные финансовые порталы и др. – не новинка, а необходимость сегодняшнего дня [4-8]. На рис. 2 перечислены основные причины, заставляющие человека нарушить систему защиты информации организации кредитно-финансовой сферы (ОКФС). Единичные компьютерные нарушения хакеров-любителей уходят в прошлое. Настоящие кибернетические войны ведут организации и государства.

29


Анализ рисков информационной безопасности

УДК 336.71:004.056

Рис. 2. Мотивы, движущие нарушителем информационной безопасности банка

Информационные услуги и виды угроз системе защиты информации банка Значение защищённости автоматизированной банковской системы (АБС) представляет собой функцию взаимодействия основных параметров защиты: доступности, целостности и конфиденциальности:

(1)

Доступность информации показывает возможность реализации пользователями информации своих прав доступа. Целостность данных показывает их неизменность4 при выполнении операций с ними, будь то передача, использование или хранение информации. Конфиденциальность информации представляет собой запрет на её разглашение неуполномоченным лицам без предварительного согласия сторон. Информационная безопасность финансовых 4  Примером целостности информации служат «швы» авторучкой на закрывающем клапане почтового конверта с письмом, свидетельствующие об отсутствии нежелательных вмешательств.

30

сведений влияет на стабильность ресурсов и качество предоставляемых услуг. В современном банковском бизнесе именно качество услуг – это один из основных факторов успеха. Низкое качество (в том числе по причине неудовлетворительного обеспечения информационной безопасности) является источником операционных, финансовых и репутационных рисков для банка (возможности потери доверия клиентов). Цифровое взаимодействие между пользователем банковскими услугами и финансовой организацией должно быть безопасным, комфортным и доступным по цене [4]. Проведём динамический анализ количества устройств [9], предназначенных для осуществления операций с использованием и без использования платёжных карт с 2010 по 2017 годы (табл. 3) по данным предоставленным Банком России5. Из отрицательной динамики количества импринтеров следует вывод: импринтеры уходят в прошлое. Ведь посредством импринтера невоз5  Статистика национальной платёжной системы.  URL: https://www.cbr.ru/statistics/?PrtId=psrf (дата обращения 10 октября 2017 года).

Вопросы кибербезопасности №1(25) - 2018


Управление риском нарушения информационной безопасности ... Таблица 3.

Анализ динамики количества платёжных устройств в России. Рассчитано автором Сведения об устройствах, расположенных в стране и предназначенных для осуществления операций с использованием и без использования платёжных карт

На 01.01.10 год, ед.

На 01.07.17 год, ед.

Прирост, %

155 161

203 684

31,27%

всего

92 481

125 813

36,04%

с функцией оплаты товаров и услуг

86 888

123 089

41,66%

всего

82 015

129 806

58,27%

платёжных терминалов

52 961

9 836

– 81,43%

банкоматов

35 497

119 970

237,97%

406 484

1 900 693

367,59%

электронных терминалов удалённого доступа

9 379

17 177

83,14%

в пунктах выдачи наличных

90 019

170 716

89,64%

установленных в организациях торговли (услуг)

31 363

17 441

– 44,39%

в пунктах выдачи наличных

4 387

1 003

– 77,14%

Итого

Количество банкоматов и платёжных терминалов

Количество электронных терминалов Количество импринтеров

банкоматов с функцией выдачи наличных денег

банкоматов и платёжных терминалов с функцией приёма наличных денег

из них

из них

установленных в организациях торговли (услуг)

можно принимать к оплате электронные карты. Значительный рост количества электронных терминалов, установленных в организациях торговли (услуг) свидетельствует о развитии рыночной экономики. То же можно сказать о банкоматах с функцией приёма наличных денег. Хотя банкоматы – это не самый совершенный способ проведения транзакций, но это не только платёжный терминал, а ещё и сейф. Возможно, этим обусловлено снижение количества платёжных терминалов с функцией приёма наличных денег. Аналогичные сведения об устройствах в территориальном разрезе не приводятся из соображений экономии места в статье. Тем не менее, на современном этапе почти все банки оказывают одинаковые услуги (проделывают одни и те же банковские операции) и отличать их может только качество предоставления услуг. Банковская отрасль является одной из отраслей, наиболее уязвимых для инсайдерских инцидентов. Любой клиент кредитно-финансовых организаций внимательно относится к банковской тайне6, и потому утечка информации может не просто серьёзно отразиться, а даже, без преувеличения, разрушить бизнес банка. Рис. 3 иллюстрирует рост количества внутренних утечек, 6  Банковская тайна – это юридический принцип в законодательствах некоторых стран, в соответствии с которым банки не имеют права предоставлять властям информацию о личных счетах своих клиентов при определённых условиях (например, в случае возбуждения уголовного дела).

Вопросы кибербезопасности №1(25) - 2018

не уступающий информационным нарушениям извне7. В 2015 году общая сумма вреда, причиной которого стали ошибочные и злонамеренные действия сотрудников, составила 450 млн рублей, в 2016 году показатель вырос почти вдвое и достиг 850 млн рублей (+89%). По итогам 2017 года ущерб, нанесённый банкам их сотрудниками, составит 900 млн рублей, прогнозирует Zecurion8. За десять лет прирост количества утечек составил . Согласно таблице 1, число персональных компьютеров в организациях за этот период возросло на . При этом в 2009-2011 годах рост инцидентов замедлился (с 2009 на 2011 год прирост ). К наиболее распространённым типам внешних компьютерных атак, влекущие серьёзные угрозы для финансовых организаций, относятся: «Отказ в обслуживании» (Denial of Service, DoS-атака), «Распределённый отказ в обслуживании» (Distributed Denial of Service, DDoS-атака), «Логические бомбы», «Фишинг» (англ. phishing, от fishing – рыбная ловля, выуживание), «Метод фишинга», «Троян7  Глобальное исследование утечек конфиденциальной информации в 2016 году. URL: https://www.infowatch.ru/ analytics/reports/17479 (дата обращения 26 августа 2017 года). 8  Банки недосчитались 420 млн руб. из-за утечки данных. URL: http://www.vestifinance.ru/articles/88315 (дата обращения 23 сентября 2017 года).

31


Анализ рисков информационной безопасности

УДК 336.71:004.056

Рис. 3. Число зарегистрированных утечек информации в мире, 2006-2016 годы. Аналитический центр InfoWatch ские программы», «Вирусы», «Черви» и «Атака нулевого дня» (Zero Day attack). Согласно подсчётам экспертов, в 2016 году критичным был каждый девятый инцидент. В 2017 году серьёзную опасность влечёт каждое шестое происшествие. Такая динамика связана с общим повышением активности массовых и целевых атак на организации. В первом полугодии основными инструментами компьютерных преступников являлись атаки на web-приложения (34,2%), компрометация конфиденциальных данных клиентов сервисных предприятий (23,6%) и вредоносное программное обеспечение (19,2%)9. Пожалуй, в отдельную категорию можно отнести компьютерные нарушения, связанные с социальной инженерией. Социальная инженерия заключается в использовании социальных масок, лингвистических ухищрений и психологических трюков, позволяющих заставить компьютерных пользователей помогать хакерам в их незаконном вторжении или использовании компьютерных систем и сетей [10-15]. Самое уязвимое звено в АБС безопасности – это человек, которому свойственны недостатки, а воображение мошенника, специализирующегося на поиске слабостей человеческого фактора безгранично. Примером социальной инженерии служит следующая уловка. Абоненту на баланс мобильного телефона переводят 200 рублей. После чего звонит бабушка и сообщает, что хотела положить деньги дочери, но ошиблась и просит перевести эти день9  WannaCry и Petya – массовые, но не самые опасные атаки. URL: http://www.banki.ru/news/lenta/?id=10034166 (дата обращения 01 октября 2017 года).

32

ги назад. Может и «дочь» позвонить с номера, похожего на номер жертвы. Вскоре они вернут эти 200 рублей по квитанции об оплате через оператора. Поэтому возвращать самостоятельно не стоит. Таким образом, социальная инженерия – это одно из самых сильных орудий в арсенале злоумышленников. Ведь гораздо проще обмануть когото в том, что он предоставляет свой пароль или деньги для положительного результата, чем тратить усилия на взлом информационной системы. Управление риском нарушения информационной безопасности Согласно Федеральному Закону ФЗ-184 «О техническом регулировании», понятие риска определяется как «вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учётом тяжести этого вреда». Без высокой организации сервиса управления риском нарушения информационной безопасности (РНИБ) коммерческий банк понесёт не только финансовые, но и репутационные убытки. Именно клиенты банка определяют надёжность и устойчивость ресурсной базы финансовой организации [6]. Зачастую сотрудники служб безопасности банков рассчитывают на то, что комфорт и защита клиента не входит в задачи специалистов, безопасное управление информацией должно происходить на уровне Apple, Microsoft, Google, Facebook и PayPal (аутсорсинг). Методы информационной безопасности банков должны включать: • брандмауэр для контроля и фильтрации проходящих через него сетевых пакетов; Вопросы кибербезопасности №1(25) - 2018


Рис. 4. Ренжиниринг бизнес-процессов (англ. Business process reengineering). Составлено автором

Управление риском нарушения информационной безопасности ...

Вопросы кибербезопасности №1(25) - 2018

33


Анализ рисков информационной безопасности

УДК 336.71:004.056

Таблица 4.

Схема Квинтиллиана Признак проблемы

Вопрос

Субъект

1. Кто?

Объект

2. Что?

Время действия

3. Когда?

Место действия

4. Где?

Способ

5. Как?

Средство

6. Чем?

Цель

7. Зачем?

1. Кто?

2. Что?

3. Когда?

4. Где?

5. Как?

6. Чем?

7. Зачем?

Кто – что?

Кто – когда?

Кто – где?

Кто – как?

Кто – чем?

Кто – зачем?

Что – когда?

Что – где?

Что – как?

Что – чем?

Что – зачем?

Когда – где?

Когда – как?

Когда – чем?

Когда – зачем?

Где – как?

Где – чем?

Где – зачем?

Как – чем?

Как – зачем?

• безопасную регистрацию и двухфакторную аутентификацию с возможностью определения местоположения; •  отслеживание и анализ бизнес-процессов в режиме реального времени [16]. Автор статьи, будучи финансистом по образованию, считает нужным уделить внимание реинжинирингу бизнес-процессов, результаты анализа которого представлены на рис. 4. В отличие от управления непрерывностью бизнеса, суть которого заключается в принятии и улучшении имеющихся процессов, реинжиниринг нацелен на перепроектирование существующих процессов в новые. Рассматриваемые ситуации в книге [16] и подобных (например, «Bank 3.0» Бретта Кинга) – это, скорее, реинжиниринг, нежели автоматизация, вызванная научно-техническим прогрессом (НТП). Применение клиентами банковских продуктов НТП замедляет три аспекта: 1. Отсутствие доверия у клиентов к технологиям ДБО; 2. Недостаточная финансовая и цифровая грамотность населения; 3. Низкое качество электронных банковских услуг [4]. Можно предположить, что 1 влияет на 2 и зависит от 3. В свою очередь 2 в целом влияет на развитие 3. Тогда как 2 и 3 становится причиной инцидентов. В своё время древнеримский учёный Квинтиллиан придумал простую схему для описания

34

Чем – зачем?

любой проблемы. Эта схема включает в себя семь ключевых вопросов, а также их возможные сочетания (табл. 4). Применив эту схему к процессу управления информационным риском проекта, можно получить следующие вопросы и ответы на них. Например, задав вопрос: «Кто является бенефициаром10 проекта?», можно ответить так: «Кредиторы, заказчики, поставщики, инвесторы, предприятие в целом». Соответственно, данные бенефициары и будут являться субъектами, в чьих интересах мы управляем риском. Для каждого из них будут актуальны свои методы управления риском. Если зададим вопрос: «Как управлять информационным риском?», то можно ответить так: «Мы можем уклониться от риска, можем его локализовать, распределить, компенсировать, поглотить». Если зададим вопрос: «Кто и когда подвержен риску определённого типа?», то можно ответить: «Кредитор подвержен риску во время инвестиционной и частично эксплуатационной фаз, так как в течение данного периода для него существует риск невозврата кредита». В свою очередь, предприятие подвержено информационному риску в течение всех фаз реализации инвестиционного проекта, так как все риски проекта касаются благосостояния предприятия. 10  Бенефициар (от фр. benefice – прибыль, польза) – физическое или юридическое лицо, которое является владельцем всех или основной части акций компании, и получает все доходы от деятельности компании.

Вопросы кибербезопасности №1(25) - 2018


Управление риском нарушения информационной безопасности ... Таким образом, схема Квинтиллиана позволяет разделить проблему на части, выявить точку зрения, с которой мы смотрим на проблему или субъекта, интересы которого отстаиваем. В дальнейшем это позволит решить задачу гораздо легче [9]. Риск-менеджмент в банковской сфере обеспечивает эффективный подход к управлению безопасностью. Существующие подходы к управлению РНИБ сопряжены с определёнными сложностями, такими как сбор достоверной и очень подробной статистической информации в сфере информационной безопасности компании. Если взаимосвязи могут быть чётко идентифицированы и проанализированы, мы сможем разработать расширенные стратегии управления рисками и принимать более эффективные решения о планировании рисков. Процесс управления РНИБ зарубежные авторы делят на три этапа [17]: 1. Оценка риска; 2. Минимизация риска; 3. Оценка эффективности. В этих процессах нет универсального соответствия, но большинство подходов содержат распространённые элементы оценки и смягчения рисков. Управление РНИБ и безопасностью – очень важные проблемы в банковской системе. Банковская система, включающая большое количество субъектов, подвержена различным опасностям и неопределённостям и представляет собой очень сложную структуру. В такой атмосфере очень сложно инициировать систему оценки и моделирования основных опасностей [18]. В нашей стране общая структура системы управления банковскими рисками включает четыре этапа: 1. Выявление (идентификация) риска; 2. Оценка и определение величины риска; 3. Мониторинг (контроль) изменения риска; 4. Осуществление минимизации риска. Выявление того или иного РНИБ должно быть прописано во внутренних банковских документах [8]. В зависимости от допустимого предела риски делятся на допустимые, критические и катастрофические. Допустимый риск представляет собой средний уровень риска по отношению к другим хозяйственным субъектам и видам деятельности. Если – средний уровень риска, а – его допустимый уровень, то имеет место неравенство . Критический риск – это риск, уровень которого превышает средний уровень, но в пределах максимально допустимых значений риска , Вопросы кибербезопасности №1(25) - 2018

принятых в определённой экономической системе для конкретных видов деятельности. То есть . Катастрофический риск превышает макси. Для этого риска мальный уровень риска [7]. свойственно соотношение Соблюдением должного уровня банковской деятельности, а также контролем за РНИБ и управлением банковскими рисками должны заниматься: - совет директоров банка; - правление банка; - президент банка; - вице-президент банка; -  структурные подразделения банка (соответственно внутренним документам; - служба внутреннего контроля. Компетенции перечисленных органов управления определены уставом банка, его внутренними нормативными документами, а также положениями о подразделениях и должностными инструкциями для сотрудников кредитной организации. Основной принцип системы управления РНИБ заключается в установлении процедур, обеспечивающих оценку риска, контроль и управление риском на том уровне, который соответствует масштабам банковской деятельности компании [8]. Рассмотрим проверку того, насколько хорошо банк выполняет положения внутренних нормативных актов, приведя перечень конкретных вопросов, на которые должен ответить аналитикэксперт, чтобы получить информацию о качестве управления РНИБ в коммерческом банке: - есть ли в банке подразделение (сотрудник), ответственное за оценку РНИБ? -  является ли данное подразделение (сотрудник) независимым от подразделений, осуществляющих банковские операции, сделки? - разработаны ли в банке внутренние нормативные акты (положения, методики) по управлению РНИБ? - утверждены ли акты по управлению РНИБ? - разработаны ли в банке принципы управления РНИБ? - определён ли во внутренних нормативных актах банка порядок проведения оценки РНИБ? - осуществляется ли в банке страхование информационных технологий, информации и её носителей? - способны ли меры, принятые банком, обеспечить сохранность и возможность восстановления информационных систем?

35


Анализ рисков информационной безопасности - способны ли меры, принимаемые банком, обеспечить физическую сохранность помещений? - проводится ли в банке оценка РНИБ? - ведётся ли в банке аналитическая база данных о понесённых убытках вследствие наступления РНИБ в разрезе направлений деятельности и ситуаций возникновения риска, позволяющая выявить наиболее уязвимые с точки зрения РНИБ области? - составляется ли в банке внутренняя отчётность структурных подразделений для сбора сведений об убытках, нанесённых реализацией РНИБ? - создана ли в банке система индикаторов уровня РНИБ, используемых при его мониторинге? - прогнозируется ли в банке наиболее вероятная величина операционных убытков, понесённых компанией вследствие наступления РНИБ? - составляется ли в банке управленческая отчётность о результатах мониторинга РНИБ? - предусмотрен ли в банке порядок проведения самооценки управления РНИБ? Результатом на выходе может стать некий агрегированный показатель, который складывается из отдельных составляющих. Каждому вопросу присваивается определённый балл по пятибалльной шкале, где 1 балл – «да» и 5 баллов – «нет». Кроме того, каждый вопрос имеет свой вес, который аналитик определяет самостоятельно экспертным путём, предварительно согласовав свои действия с руководством банка. Агрегированный показатель качества системы управления РНИБ в банке рассчитывается по формуле

(2)

Чем ниже агрегированное значение показателя, тем выше уровень качества системы управления РНИБ в коммерческом банке и, наоборот, чем выше значение агрегированного показателя, тем данный уровень будет ниже [8]. Перечень приведённых вопросов не является последней инстанцией. Каждая кредитно-финансовая организация вправе разработать собственный образец анкеты. Выводы - соблюдение специалистами и пользователями ISP организации имеет решающее значение для минимизации инцидентов информационной безопасности [19-23], поскольку мошенники постоян-

УДК 336.71:004.056

но используют различные методы и приёмы для компьютерных вторжений. К этим методам можно отнести как создание вредоносных программ и хищение закрытой информации со своего места работы, так и использование человеческого фактора для получения конфиденциальных данных; - доверять собеседнику можно только в том случае, если абонент – активная сторона. Если абоненту позвонили по телефону, представились сотрудником банка и попросили назвать какойнибудь номер или пароль, то он – пассивная сторона. Поэтому ничего, что хотят от абонента делать нельзя. Если абоненту позвонили по телефону, предложили перезвонить по какому-то другому телефону и абонент звонит по этому телефону, то он опять пассивная сторона. В общем, если представились сотрудниками банка, перезвонить следует обязательно, но только по официальному номеру телефона, который есть на банковской карте или официальном сайте; -  информационная безопасность – это непрерывный процесс управления РНИБ. Можно сказать, что управление рисками – это в основном процесс принятия решений. Этап оценки риска – это набор информации, которая подлежит обработке. Стадия снижения риска – это фактическое принятие решений и внедрение результирующего подхода. Оценка эффективности – это постоянная обратная связь в процессе принятия решений; - отечественный банковско-финансовый бизнес не столь развит, как западный, что является причиной невозможности применения зарубежных методов, рецептов и способов в условиях нашей страны. Система подготовки специалистов ОКФС в области ДБО отстаёт от мировых стандартов. Методическое и технологическое обеспечение регулирующих и надзорных подразделений для более эффективного выполнения функций в системах ДБО не отвечает современным требованиям. Накопленный опыт правоохранительных и законодательных органов по борьбе, раскрытию и предупреждению компьютерных преступлений оставляет желать лучшего. Поведение клиентов (доверие к результатам НТП – продуктам ДБО, финансовая и цифровая грамотность) слабо адаптированы к эволюции в цифровом мире.

Рецензент: Ревенков Павел Владимирович, доктор экономических наук, профессор кафедры «Информационная безопасность», Финансовый университет при Правительстве РФ, Москва, Российская Федерация. E-mail: pavel.revenkov@mail.ru

36

Вопросы кибербезопасности №1(25) - 2018


Управление риском нарушения информационной безопасности ... 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23.

Литература: Роговский Е.А. Кибер-Вашингтон: глобальные амбиции. М.: Международные отношения, 2014. 848 с. B.I. Skorodumov, O.B. Skorodumova, L.F. Matronina. Research of Human Factors in Information Security // Modern Applied Science. Vol. 9, No. 5, 2015, pp. 287–294. Шеремет И.А. Направления подготовки специалистов по противодействию киберугрозам в кредитно-финансовой сфере // Вопросы кибербезопасности. 2016. № 5 (18). С. 3-7. DOI: 10.21681/2311-3456-2016-5-3-7. Поспелов А.Л., Ревенков П.В. Что сдерживает использование дистанционных каналов обслуживания? // Расчеты и операционная работа в коммерческом банке. 2015. № 1 (125). С. 70–75. Ревенков П.В., Бердюгин А.А. Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания // Национальные интересы: приоритеты и безопасность. Т. 13, № 9 (354). С. 1747–1760. DOI: 10.24891/ ni.13.9.1747. C. Skinner. Digital bank: Strategies to Launch or Become а Digital Bank. Singapore, Marshall Cavendish International (Asia), 2014, 300 p. K. Subrahmanyam, M. Haritha, V. Tejaswini, Ch. Balaram, C. Dheeraj. Information Security and Risk Management for Banking System. International Journal of Computer Trends and Technology (IJCTT), 2014, Vol. 10, No. 3, pp. 171–176. S. Bauer, E.W.N. Bernroider, K. Chudzikowski. Prevention is better than cure! Designing information security awareness programs to overcome users’ non-compliance with information security policies in banks // Computers & Security, Volume 68, July 2017, Pages 145–159. Жарковская Е.П. Финансовый анализ деятельности коммерческого банка: учебник. М.: Издательство «Омега-Л», 2015. 378 с. F. Mouton, L. Leenen, H.S. Venter. Social engineering attack examples, templates and scenarios. Computers & Security, 2016, vol. 59, pp. 186-209. DOI: https://doi.org/10.1016/j.cose.2016.03.004. K. Krombholz, H. Hobel, M. Huber, E. Weippl. Advanced social engineering attacks. Journal of Information Security and Applications, 2015, vol. 22, pp. 113-122. DOI: https://doi.org/10.1016/j.jisa.2014.09.005. M. Edwards, R. Larson, B. Green, A. Rashid, A. Baron. Panning for gold: Automatically analysing online social engineering attack surfaces. Computers & Security, 2017, vol. 69, pp. 18-34. DOI: https://doi.org/10.1016/j.cose.2016.12.013. S. Rathore, P.K. Sharma, V. Loia, Y.-S. Jeong, J.H. Park. Social network security: Issues, challenges, threats, and solutions. Information Sciences, Volume 421, December 2017, Pp. 43-69.DOI: https://doi.org/10.1016/j.ins.2017.08.063. Sveta K. Berdibayeva, Aiman M. Kalmatayeva, Sholpan A. Tulebayeva. Research of Formation of Personal-Professional Capacities at Higher Education Institutes Students of Pedagogical Specialties. Procedia – Social and Behavioral Sciences, Volume 69, 24 December 2012, Pages 1174-1177. DOI: https://doi.org/10.1016/j.sbspro.2012.12.048. Travis J. Wiltshire, Samantha F. Warta, Daniel Barber, Stephen M. Fiore. Enabling robotic social intelligence by engineering human social-cognitive mechanisms. Cognitive Systems Research, Volume 43, June 2017, pp. 190-207. DOI: https://doi.org/10.1016/j. cogsys.2016.09.005. Исмагилов Р.Х. Риск-менеджмент : конспект лекций. Ростов н/Д.: Феникс, 2015. 198 с. Барабанов А.В., Дорофеев А.В., Марков А.С., Цирлов В.Л. Семь безопасных информационных технологий/Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с. Волков А.А. Управление рисками в коммерческом банке: практическое руководство. М.: Издательство «Омега-Л», 2015. 156 с. C. Hadnagy, P. Wilson. Social Engineering: The Art of Human Hacking. Indianapolis, Wiley Publishing, Inc., 2011, 416 p. David Tayouri. The Human Factor in the Social Media Security – Combining Education and Technology to Reduce Social Engineering Risks and Damages. Procedia Manufacturing. Volume 3, 2015, Pages 1096-1100. DOI: 10.1016/j.promfg.2015.07.181. H. Siadati, T. Nguyen, P. Gupta, M. Jakobsson, N. Memon. Mind your SMSes: Mitigating social engineering in second factor authentication. Computers & Security, Volume 65, March 2017, Pages 14-28. DOI: 10.1016/j.cose.2016.09.009. Joseph M. Hatfield. Social engineering in cybersecurity: The evolution of a concept. Computers & Security, Volume 73, March 2018, Pages 102-113. 10.1016/j.cose.2017.10.008. N. S. Safa, R. von Solms, L. Futcher. Human aspects of information security in organisations. Computer Fraud & Security, 2016, vol. 2016, no. 2, pp. 15-18. DOI: 10.1016/S1361-3723(16)30017-3.

RISK MANAGEMENT OF INFORMATION SECURITY VIOLATION IN CONDITIONS OF ELECTRONIC BANKING11 Berdyugin A.12 Abstract: Banking business is developing in conditions that are uncertain. Financial organizations must build an integrated management system for all identified banking risks. The article deals with development and formalization of risk management subsystem of information security violation within overall risk manage11  The article follows results of researches financed as part of the State Job of the Financial University under the Government of the Russian Federation in 2017. 12  Alexander Berdyugin, post-graduate student of Department «Information Security», Financial University under the Government of the Russian Federation, Moscow, Russia. E-mail: a40546b@gmail.com

Вопросы кибербезопасности №1(25) - 2018

37


Анализ рисков информационной безопасности

УДК 336.71:004.056

ment system of credit and financial institution. The definition of information society is given. Calculations are given about statistics of Russian Statistics Committee and the Central Bank of Russia. It is dealt with motives, that driving by the violator of information security of commercial bank. Dynamic analysis of the number of devices intended for operations with and without the use of payment cards located in Russia is carried out. It is examined types of threats for information protection system of commercial bank, including insider incidents, external cyberattacks and social engineering techniques. Paper draws our attention to the implementation of Business Process Reengineering in banking information security. Taking into account modern conditions of risk occurrence, scheme of the ancient Roman scientist Quintillian, that is intended for describe any problem is analyzed. Enumeration of issues providing information about the quality of information security risk management in a commercial bank is given. Appropriate conclusions are drawn about optimization the quality of risk management of information protection in banks. Keywords: risk management, financial organization, information security, remote banking services, computer incidents.

References: 1. Rogovskij E.A. Kiber-Vashington: global’nye ambicii. M.: Mezhdunarodnye otnosheniya, 2014. 848 s. 2. B.I. Skorodumov, O.B. Skorodumova, L.F. Matronina. Research of Human Factors in Information Security, Modern Applied Science. Vol. 9, No. 5, 2015, pp. 287–294. 3. SHeremet I.A. Napravleniya podgotovki specialistov po protivodejstviyu kiberugrozam v kreditno-finansovoj sfere, Voprosy kiberbezopasnosti [Cybersecurity issues]. 2016, No 5 (18). S. 3-7. DOI: 10.21681/2311-3456-2016-5-3-7. 4. Pospelov A.L., Revenkov P.V. CHto sderzhivaet ispol’zovanie distancionnyh kanalov obsluzhivaniya?, Raschety i operacionnaya rabota v kommercheskom banke. 2015, No 1 (125). S. 70–75. 5. Revenkov P.V., Berdyugin A.A. Social’naya inzheneriya kak istochnik riskov v usloviyah distancionnogo bankovskogo obsluzhivaniya, Nacional’nye interesy: prioritety i bezopasnost’. T. 13, No 9 (354). S. 1747–1760. DOI: 10.24891/ni.13.9.1747. 6. C. Skinner. Digital bank: Strategies to Launch or Become a Digital Bank. Singapore, Marshall Cavendish International (Asia), 2014, 300 p. 7. K. Subrahmanyam, M. Haritha, V. Tejaswini, Ch. Balaram, C. Dheeraj. Information Security and Risk Management for Banking System. International Journal of Computer Trends and Technology (IJCTT), 2014, Vol. 10, No. 3, pp. 171–176. 8. S. Bauer, E.W.N. Bernroider, K. Chudzikowski. Prevention is better than cure! Designing information security awareness programs to overcome users’ non-compliance with information security policies in banks, Computers & Security, Volume 68, July 2017, Pages 145–159. 9. ZHarkovskaya E.P. Finansovyj analiz deyatel’nosti kommercheskogo banka: uchebnik. M.: Izdatel’stvo «Omega-L», 2015. 378 s. 10. F. Mouton, L. Leenen, H.S. Venter. Social engineering attack examples, templates and scenarios. Computers & Security, 2016, vol. 59, pp. 186-209. DOI: https://doi.org/10.1016/j.cose.2016.03.004. 11. K. Krombholz, H. Hobel, M. Huber, E. Weippl. Advanced social engineering attacks. Journal of Information Security and Applications, 2015, vol. 22, pp. 113-122. DOI: https://doi.org/10.1016/j.jisa.2014.09.005. 12. M. Edwards, R. Larson, B. Green, A. Rashid, A. Baron. Panning for gold: Automatically analysing online social engineering attack surfaces. Computers & Security, 2017, vol. 69, pp. 18-34. DOI: https://doi.org/10.1016/j.cose.2016.12.013. 13. S. Rathore, P.K. Sharma, V. Loia, Y.-S. Jeong, J.H. Park. Social network security: Issues, challenges, threats, and solutions. Information Sciences, Volume 421, December 2017, Pp. 43-69.DOI: https://doi.org/10.1016/j.ins.2017.08.063. 14. Sveta K. Berdibayeva, Aiman M. Kalmatayeva, Sholpan A. Tulebayeva. Research of Formation of Personal-Professional Capacities at Higher Education Institutes Students of Pedagogical Specialties. Procedia – Social and Behavioral Sciences, Volume 69, 24 December 2012, Pages 1174-1177. DOI: https://doi.org/10.1016/j.sbspro.2012.12.048. 15. Travis J. Wiltshire, Samantha F. Warta, Daniel Barber, Stephen M. Fiore. Enabling robotic social intelligence by engineering human social-cognitive mechanisms. Cognitive Systems Research, Volume 43, June 2017, pp. 190-207. DOI: https://doi.org/10.1016/j. cogsys.2016.09.005. 16. Ismagilov R.H. Risk-menedzhment : konspekt lekcij. Rostov n/D.: Feniks, 2015. 198 s. 17. Barabanov A.V., Dorofeev A.V., Markov A.S., Cirlov V.L. Sem’ bezopasnyh informacionnyh tekhnologij/Pod. red. A.S.Markova. M.: DMK Press, 2017. 224 s. 18. Volkov A.A. Upravlenie riskami v kommercheskom banke: prakticheskoe rukovodstvo. M.: Izdatel’stvo «Omega-L», 2015. 156 s. 19. C. Hadnagy, P. Wilson. Social Engineering: The Art of Human Hacking. Indianapolis, Wiley Publishing, Inc., 2011, 416 p. 20. David Tayouri. The Human Factor in the Social Media Security – Combining Education and Technology to Reduce Social Engineering Risks and Damages. Procedia Manufacturing. Volume 3, 2015, Pages 1096-1100. DOI: 10.1016/j.promfg.2015.07.181. 21. H. Siadati, T. Nguyen, P. Gupta, M. Jakobsson, N. Memon. Mind your SMSes: Mitigating social engineering in second factor authentication. Computers & Security, Volume 65, March 2017, Pages 14-28. DOI: 10.1016/j.cose.2016.09.009. 22. Joseph M. Hatfield. Social engineering in cybersecurity: The evolution of a concept. Computers & Security, Volume 73, March 2018, Pages 102-113. 10.1016/j.cose.2017.10.008. 23. N. S. Safa, R. von Solms, L. Futcher. Human aspects of information security in organisations. Computer Fraud & Security, 2016, vol. 2016, no. 2, pp. 15-18. DOI: 10.1016/S1361-3723(16)30017-3.

38

Вопросы кибербезопасности №1(25) - 2018


ЭНТРОПИЙНЫЙ ПОДХОД К ОЦЕНКЕ УЩЕРБА ОТ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ БОЛЬШИХ ТЕХНИЧЕСКИХ СИСТЕМ Полищук Ю.В.1 Рассмотрен обобщенный процесс оценки информационных ресурсов предприятия. Выделены сложности реализации количественного подхода к оценке информационных ресурсов предприятия. Отмечены особенности количественного и качественного подхода к оценке информационных ресурсов и приведены примеры методик анализа рисков, реализованных с их применением. Рассмотрена оценка информационных ресурсов больших технических систем (БТС) с позиции информационной энтропии. Предложен подход к оценке ущерба от реализации угроз безопасности информации БТС, основанный на количественной оценке ущерба, выраженной информационной энтропией системы. Приведен практический пример, предлагаемого подхода к оценке ущерба от реализации угроз безопасности информации БТС, который включает описание коллекторно-лучевой системы сбора (КСС) продукции газоконденсатного месторождения, функцию «устаревания» динамических параметров системы и значения весовых коэффициентов для статических и динамических параметров системы сбора продукции, количественную оценку информационной энтропии для КСС в состав которой входят три скважины, два варианта оценки ущерба от реализации угроз безопасности информации КСС. Применение предлагаемого подхода к оценке ущерба позволит повысить точность количественной оценки ценности массива информационных ресурсов БТС, что обеспечит более качественный анализ рисков информационной безопасности и увеличит эффективность политики информационной безопасности БТС. Ключевые слова: оценка информационных ресурсов, ценность информации, информационный ресурс с позиции идентификации состояния и управления системой, сопутствующий эксплуатационный контент.

DOI: 10.21681/2311-3456-2018-1-39-45

Введение В современном мире информация является исходным сырьем или результатом производства, т.е. товаром, предлагаемым конечному потребителю. С рассмотренной позиции информация становится активом компании, который нуждается в оценке и выражении в общепринятых количественных показателях. Последнее необходимо как для анализа рисков информационной безопасности, так и разработки политики информационной безопасности предприятия. Процесс оценки информационных ресурсов предприятия обусловлен рядом сложностей. Рассмотрим их подробнее. При работе предприятия формируется массив информационных ресурсов. В его состав входит большое количество разнообразных информационных ресурсов, имеющих различную ценность для предприятия. Определение ценности конкретного вида информации для организации реализует группа лиц, принимающих решения (ГЛПР), в состав которой входят руководители и

специалисты, способные определить ценность информации для предприятия. Таким образом, эффективность оценки информации будет зависеть от компетентности и профессиональности ГЛПР. В качестве второй проблемы выделим сложность количественной оценки ценности информации и выражения ее в денежном эквиваленте. Данная задача является слабо формализуемой - следовательно, все значения, полученные в результате оценки, будут приближенными. Количественная оценка ценности информации реализуется с помощью различных методов. Наиболее простым методом является определение стоимости путем расчета трудозатрат на получение информации. Например, стоимость гидродинамических исследований газовой скважины пропорциональна объему работ сотрудников, выполняющих исследование, умноженному на оплату их труда. Следует отметить, что данный метод не применим для ранее полученной информации или для информации, полученный другими способами.

1  Полищук Юрий Владимирович, кандидат технических наук, доцент кафедры «Компьютерной безопасности и математического обеспечения информационных систем» ФГБОУ ВО «Оренбургский государственный университет», г. Оренбург, Россия.   E-mail: Youra_Polishuk@bk.ru

Вопросы кибербезопасности №1(25) - 2018

39


Анализ рисков информационной безопасности Рассмотренный подход не учитывает стоимость обработки и хранения информации, а также погрешности при получении информации. Особенностью информационных ресурсов является то, что они представлены динамической структурой и подвержены устареванию. Таким образом, информация может иметь фиксированный срок полезного использования или ее ценность может изменяться со временем. Например, для газовых скважин месторождения хранится полная история эксплуатации. В этом случае информация о характеристиках скважины на текущий момент времени обладает высокой ценностью, а аналогичные данные, полученные по скважине ранее, так же обладают ценностью, но меньшей в сравнении с актуальными данными. Таким образом, потеря более свежих данных принесет газодобывающему предприятию большие убытки. Для оценки информационных ресурсов на практике применяются количественный и качественный подходы [1]. Количественный подход оценки информационных ресурсов применяется в ситуациях, когда исследуемая информация и связанные с ее утратой риски можно сопоставить с конечными количественными величинами, выраженными в денежных средствах, временных ресурсах или трудоемкости ее получения. Метод позволяет получить конкретные значения для каждой составляющей информационных ресурсов предприятия. При использовании данного подхода всем разновидностям информационных ресурсов присваивают конкретные, реальные количественные значения, при этом алгоритм синтеза данных значений должен быть прозрачен. В случаях, когда применение количественного подхода оценки информационных ресурсов предприятия невозможно, например, по причине неопределенности, то применяется качественный подход. Качественный подход использует для оценки информационных ресурсов с помощью шкалы, определенной ГЛПР. Шкала оценок информационных ресурсов может быть, например, трехбалльной (высокий, средний, низкий). В качестве ГЛПР привлекаются сотрудники предприятия, имеющие опыт и компетентность в области, к которой относятся информационные ресурсы предприятия. В настоящий момент рассмотренные подходы широко применяются в методиках анализа рисков, которые можно разделить на группы [2]: - методики оценки риска на качественном уровне (FRAP компании Peltier and Associates) [3];

40

УДК 004.056.5

-  методики количественных оценок (RiskWatch) [4]; -  методики, использующие качественные и количественные оценки (CRAMM, Microsoft) [5]. Перечисленные группы методик не могут быть эффективно использованы для оценки рисков информационной безопасности БТС так как ценность их информационных ресурсов в первую очередь характеризуется значимостью с позиции информационной энтропии, а соблюдение ее минимального порогового уровня для БТС позволяет идентифицировать состояние системы и реализовать ее корректное управление. Как отмечал академик Б.Н. Петров: «Энтропия характеризует неопределенность управления, т.е. его качество» [6]. Таким образом, перспективным направлением исследований в области разработки методик определения ценности информационных ресурсов БТС, является формирование методики на основе энтропийного подхода, учитывающего фактор устаревания информации  [7]. Ее применение на практике позволит повысить точность количественной оценки ценности массива информационных ресурсов БТС, что обеспечит более качественный анализ рисков информационной безопасности и увеличит эффективность политики информационной безопасности БТС. Постановка задачи Процесс эксплуатации БТС сопровождается расхождениями между реальным состоянием системы и ее отображением в сопутствующем эксплуатационном контенте (СЭК)  [8]. Данное расхождение обусловлено высокой сложностью процесса эксплуатации, трудоемкостью получения и обработки фактографических данных, появлением нестандартных эксплуатационных ситуаций, необходимостью адаптации к возмущениям внешней среды, ограниченным финансированием и т.д. Фактографические данные, характеризующие состояние БТС, поступают в СЭК в виде импульсных информационных потоков, которые представлены электронными документами. Информационные импульсы поступают через фиксированный интервал времени – шаг импульса информационного потока (ИП). Дискретность шага ИП может изменяться во время эксплуатации БТС как по требованию ГЛПР, так и в связи с появлением нестандартных эксплуатационных ситуаций (например, внеплановый ремонт, авария или нехватка персонала). Получаемые из СЭК фактографические данные характеризуют состояние различных параметров  БТС в определенный момент времени. Вопросы кибербезопасности №1(25) - 2018


Энтропийный подход к оценке ущерба ... Данные о состоянии условной БТС параметров: поступают в виде число которых мацияИП, о состоянии динамических параметров, Выделяют две основные категории равно N , два из них отображены на верхних диаграммах (рис.1). По первомуфункции и «устаревания» и статические и динамические. Значения статиче- имеющих различные ИП шаги импульсов. Исходные ИП вносят различный ских параметров не меняются зависимости от последнему ИП в СЭК поступает в информация о состоянии динамических суммарную энтропию БТС, которая изовремени их получения от БТС. Динамические – вклади вшаги параметров, имеющих различные функции «устаревания» импульсов. Исходные ИП вносят различный вкладт.е. в суммарную энтропиюнаБТС, которая нижней диаграмме. По остальным характеризуются «устареванием», расхожде- бражена ИП 2, ..., N ип  1 вв СЭК нием хранимого данного ИП поступает информация о изображена на нижнейи реального диаграмме.значений По остальным СЭК параметра в настоящий момент, что обусловлено состоянии статических параметров, которые не поступает информация о состоянии статических параметров, которые не зависимостью времени.и Для каждого динаменяютсяфиксированный с течением времени и поэтому вносят меняются с течениемотвремени поэтому вносят постоянный мического параметра ГЛПР формирует функцию постоянный фиксированный вклад в суммарную вклад в суммарную энтропию БТС. На диаграмме суммарного ИП выделен «устаревания» на основе информации о времени энтропию БТС. На диаграмме суммарного ИП выпороговый уровень допустимой информационной энтропии, который определяет существования. деленэнтропии пороговый уровень допустимой информаГЛПР. его В случаях, когда график суммарной информационной находится На этапе проектирования БТС определяют ционной энтропии, который определяет ГЛПР. В ниже допустимого уровня энтропии ГЛПР, в СЭК хранится достаточное такое актуальной число информационных факто- случаях, когда график информационколичество информации потоков для идентификации состояния БТС суммарной и графических параметров с заданными шагами ной энтропии принятия корректных управленческих решений. В противном случаенаходится требуетсяниже допустимого уровимпульсов, чтобы с учетом их функций «устаре- системы. ня энтропии ГЛПР, в СЭК хранится достаточное дополнительная информация о состоянии управляемой вания» быловозможных достаточно состояний данных длядля принятия количество информации для идентиВероятность БТС снижается приактуальной увеличении корректных управленческих систему решений в любой фикации состояния БТС и принятия корректных числа известных характеризующих параметров.

момент времени. управленческих решений. В противном случае Для примера рассмотрим диаграмму инфор- требуется дополнительная информация о состоямационной энтропии установившегося процесса нии управляемой системы. эксплуатации условной БТС (рис.1). Вероятность возможных состояний для БТС Данные о состоянии условной БТС поступают в виде ИП, число Данные о состоянии условной БТС поступают снижается при увеличении числа известных ха- которых N , два из них отображены на верхних диаграммах (рис.1). По первому и равно в виде ИП, число которых них рактеризующих систему параметров. ИП Информационная энтропияо Hсостоянии отображены на верхних диаграммах определяетэнтропия как логар последнему (рис.1). ИП вПоСЭКИнформационная поступает информация динамических инф определяется первому и последнему ИП впараметров, СЭК поступает инфорся как логарифм отношения всех известных параимеющих «устаревания» и шаги числу импульсов. всехразличные известных функции параметров к их теоретическому с учетом

Исходные ИП вносят различный вкладминус в суммарную энтропию БТС, которая весомости со знаком [8]: изображена на нижней диаграмме. По остальным N ип  1 в СЭК Fст ( Paст , ИП K ст ) 2,F..., дин ( Paдин , Fуст , K дин ) H   log  2 поступает информация о инфсостоянии статических параметров, которые не ст (T'эксп ), K ст )  Fдин (GPaдин (T'эксп ), Fуст , K  Fст (GPa меняются с течением времени и поэтому вносят постоянный фиксированный Fст , Fдин – БТС. функции, суммы произведений мощн вклад в суммарнуюгдеэнтропию На вычисляющие диаграмме суммарного ИП выделен пороговый уровень соответственно допустимой информационной который определяет статических и энтропии, динамических (с учетом функции ГЛПР. В случаях, когда график суммарной информационной энтропии находится параметров на весовые коэффициенты; Paст , Paдин – множе ниже допустимого соответственно уровня энтропии ГЛПР, ви СЭК хранится (cдостаточное статических динамических временем их количество актуальной информации для идентификации состояния БТС и параметров системы; Fуст – функция устаревания БТС; K ст , K принятия корректных управленческих решений. В противном случае требуется весовых коэффициентов, соответствующих статическим и дополнительная информация о состоянии управляемой системы. GPaст , GPa – функции, генерирующие множест параметрам;состояний Вероятность возможных для снижается при увеличении дин БТС числа известных характеризующих систему параметров. возможных соответственно статических и динамических параме указанный период; T' эксп – время эксплуатации системы. Таким образом, CЭК БТС представлен массивом докуме фактографические данные, знание которых характериз информационной энтропии системы. В этом случае каждый из д вносит свой вклад в снижение информационной энтропии Рис. 1. Диаграмма информационной энтропии уничтожении установившегося процесса или хищении документа в первом случае может эксплуатации оценка снижения величины энтропии БТС, а во втором – количе информационной энтропии БТС, полученной злоумышленником. Практическая реализация Рассмотрим в качестве примера БТС коллекторно-лучевую продукции газоконденсатного месторождения [9]. КСС состоит из скважин, которые рассматриваются как отд их контуры влияния могут пересекаться, а движение продукци некоторых случаях приводит к «задавливанию» скважин. Таким о Рис. 1. Диаграмма информационной энтропии установившегося процесса эксплуатации системы – газоносный пласт и блок входных нитей (БВН). Рассмотрим КСС совместно с насосно-компрессорными тр контурами влияния скважин. На рис. 2 41показана сх Вопросы кибербезопасности №1(25) - 2018 распространенной в условиях Оренбургского газоконденсатного (ОГКМ) КСС, обеспечивающей сбор продукции с трех скважин.


АнализИнформационная рисков информационной безопасности УДК 004.056.5 энтропия H инф определяется как логарифм отношения

КСС состоит из скважин, которые рассматриваметров их теоретическому числу скакучетом коэфИнформационная энтропияпараметров определяется логарифм отношения числу H всехHкизвестных к их теоретическому с учетом коэффициентов ционная энтропия инф определяется как логарифм отношения ются как отдельные системы: их контуры влияния фициентов весомости со знаком минус [8]: всех известных параметров к их теоретическому числу с учетом коэффициентов весомости со знаком минус [8]: формационная Информационная энтропия энтропия определяется определяется как как логарифм логарифм отношения отношения H H инф весомости знаком минусинф [8]: х параметров к ихсо теоретическому числу с учетом коэффициентов Информационная энтропия определяется как логарифм отношения H могут пересекаться, а движение продукции по  инф энтропия F ,числу (устPa , с)Kучетом Fдинкоэффициентов ( Pa , K дин )  к теоретическому естных известных параметров параметров к их их Fтеоретическому числу ( Pa F ,сK стучетом ст ) коэффициентов дин , Fуст как логарифм ст ( Paст , K ст )  Fдин динст дин H наком минус [8]: инф определяется H   log H инф   logИнформационная (1) , (1) шлейфу в некоторых случаях приводит к «задавли, (1)    отношения 2 всех известных параметров к их 2теоретическому числу с)  F учетом коэффициентов стF)  F(дин Fинф (GPaдин(T (T'эксп ),), FустK, K дин мости и со знаком со знаком минус минус [8]:[8]: ст (GPaст (T'эксп ), K GPa ) ( GPa ( T ), F , K )  стF , K ст 'эксп ст  дин дин 'эксп уст Таким дин образом,  всех известных параметров к их теоретическому числу с учетом коэффициентов   F ( Pa , K )  F ( Pa , ) ванию» скважин. границы системы ст дин динсуммы уст произведений дин весомостигде соFстзнаком минус [8]: , F ст –Fфункции, вычисляющие мощностей множеств   og , (1) ( Pa F ( Pa , K , ) K  F )  ( F Pa ( Pa , F , , F K , K ) )  2 ст ст ст ст ст ст дин дин дин дин уст уст дин дин со –знаком минус [8]: пласт и блокмножеств входных нитей (БВН). вычисляющие суммы мощностей где Fстатических Flog , K )произведений и функции, динамических (сF), учетом «устаревания») ст , FдинF –( (Tвесомости (функции, GPa Fуст функции ,динK,динFуст )суммы , – газоносный , (1)  соответственно  (1) K ст(T) 'эксп вычисляющие 'эксп), K ст )  F динPa нфHинф 2log 2ст  ст (GPa K известных ст ст , дин дин ( Pa дин   параметров на весовые коэффициенты; Pa , Pa – множества Рассмотрим КСС совместно с насосно-компреспроизведений мощностей множеств соответF ( GPa F ( GPa ( T ( T ), K ), ) K F ) ( F GPa ( GPa ( T ( T ), F ), , F , K ) )     H инф  стlogстсоответственно Fст (идин Pa , Kуст Pa , Fуст K(1)  ,, функции ст 'эксп ст 'эксп ст ст дин дин дин 'эксп устF дин дин статических динамических (с дин «устаревания») 2 учетом ст'эксп ст )  дин ( дин )  функции, вычисляющие суммы произведений мощностей множеств F ( GPa ( T ), K ) F ( GPa ( T ), F , K )  H   log соответственно статических и динамических (c временем их существования) , (1)   трубами (НКТ) и контурами влияния ственно (с учетом ст статических 'эксп2 и динамических ст дин дин 'эксп уст сорными дин  инф ст системы; суммы параметров весовые коэффициенты; Pa , Pa FFстдин, F–динфункции, – функции, вычисляющие вычисляющие суммы произведений произведений мощностей множеств Fст (GPa (T'эксп–), множества Fуст , K дин )  известных – Fмножества параметров функция устаревания БТС; K K , Kст )мощностей стмножеств F –на ст (T 'эксп ), дин (GPa диндин  статических и динамических (с учетом функции «устаревания») скважин. На рис. 2 показана схема наиболее расфункции «устаревания») параметров на весовые – функции, вычисляющие суммы произведений мощностей множеств где Fст , Fдин весовых коэффициентов, соответствующих статическим и динамическим соответственно статических и функции динамических (c временем их существования) ветственно твенно статических статических и ,динамических и динамических (с вычисляющие учетом (с учетом функции «устаревания») «устаревания») где F F – функции, суммы произведений мощностей множеств Pa , Pa – множества известных весовые коэффициенты; пространенной в условиях Оренбургского газокоэффициенты; – множества известст , GPa дин – функции, параметрам; GPa генерирующие теоретически ст дин соответственно статических и динамических (с–множества учетом функции «устаревания») – функция устаревания БТС; K , K – множества параметров системы; F метров ов на на весовые весовые коэффициенты; коэффициенты; Pa Pa , Pa , Pa множества – множества известных известных ст дин уст ст ст дин дин месторождения (ОГКМ) КСС, обевозможных соответственно статических и динамических параметров системы заучетом функции ных соответственно статических динамических статических ии динамических (сконденсатного «устаревания») статических динамических (c временем их существования) параметров наисоответственно весовые Pa множества известных –коэффициенты; время эксплуатации системы. указанный период; ст , Paдиних –их T динамических весовых коэффициентов, соответствующих статическим и динамическим ветственно твенно статических статических и и динамических (c временем (c временем существования) существования) спечивающей сбор продукции с трех (c временем их существования) параметров систеРис. 2. Схема коллекторно-лучевой системы сбора продукции с трех скв параметров на весовые Paст , Paдин – множества известных скважин. стемы; Fуст –Таким функция БТС;коэффициенты; K ст , Kдокументов, – множества дин образом, устаревания CЭК БТС представлен массивом хранящих соответственно статических и динамических (c временем их существования) Рис. 2. Схема коллекторно-лучевой системы сбора продукции с трех скважин параметрам; GPa , GPa – функции, генерирующие множества теоретически метров ов системы; системы; – функция – функция устаревания устаревания БТС; БТС; K , K K , K – множества – множества F F поступает к забою скважины из мы; функция устаревания БТС; –дин (c Продукция ст дин ст стдин величину уст уст фактографические данные, знание которых соответственно статических и характеризует динамических временем их существования) фициентов, соответствующих статическим и из динамическим параметров системы; –соответственно функция устаревания БТС; Kдинамических K Fуст информационной энтропии системы. В этом случае каждый документов ст ,СЭК дин – множества Продукция поступает к забою скважины изза грунтового слоя, где грунтового слоя, где находится под пластовым множества весовых коэффициентов, соответствувозможных статических и параметров системы ых коэффициентов, соответствующих соответствующих статическим исистемы. динамическим и динамическим параметров системы; –статическим функция БТС; из K стгрунтового , K дин – множества Fуст вносит– свой вклад в генерирующие снижение информационной энтропиитеоретически При Paкоэффициентов, функции, множества Продукция поступает кустаревания забою скважины слоя,кгде находится ст , GPaдин давлением ющих статическим и динамическим параметрам; При движении забою скважины весовых коэффициентов, соответствующих статическим и динамическим p . При движении к забою скважины п под пластовым давлением указанный период; – время эксплуатации системы. Tгенерирующие пл уничтожении или хищении документа в первом случаемножества может быть проведена GPaGPa GPa – функции, генерирующие множества теоретически теоретически рам; метрам; ' эксп ст , GPa ст , весовых дин – динфункции, под пластовым давлением p . При движении к забою скважины происходит коэффициентов, соответствующих статическим и динамическим ответственно статических и динамических параметров системы за пл оценка снижения величины энтропии БТС, а во втором – количественная оценка происходит снижение давления до забойного знафункции,CЭК генерирующие мнопараметрам; GPaст , GPa функции, генерирующие множества дин –образом, снижение давления дотеоретически забойного значения pз . Таким образом, в граница Таким БТС представлен массивом документов, хранящих ожных ых соответственно соответственно статических статических и динамических динамических параметров параметров системы системы замножества за энтропии БТС, полученной злоумышленником. GPa ,и GPa функции, генерирующие теоретически параметрам; иод; –информационной время эксплуатации системы. T' эксп p . Таким образом, в границах контура снижение давления до забойного значения ствозможных дин – соответственно чения жества теоретически Таким образом, в границах контура влиз возможных соответственно статических и динамических параметров системы за Практическая реализация фактографические данные, знание которых характеризует величину ый нный период; период; – время эксплуатации эксплуатации системы. системы. влияния скважины образуется депрессионная воронка [10]. Далее п T' экспT'–экспвремя Рассмотрим в качестве примера БТС коллекторно-лучевую сбора возможных соответственно статических ихранящих динамических параметров системы за продукция статических ивремя динамических параметров системы яния скважины образуется депрессионная воронбразом, CЭК БТС представлен массивом документов, влияния скважины образуется депрессионная воронка [10]. Далее указанный период; – эксплуатации системы. T информационной энтропии системы. Всистему этом случае каждый из документов попадает в НКТ, похранящих которым поднимается отСЭК забоя скважины до КС ' эксп продукции газоконденсатного месторождения [9].массивом им Таким образом, образом, CЭК CЭК БТС БТС представлен представлен массивом документов, документов, хранящих указанный период; – время эксплуатации системы. за указанный период; ка [10]. Далее продукция попадает в НКТ, по эксплуатации T кие данные, знание которых характеризует величину попадает врассматриваются повходе которым поднимается от забоя скважины где котона ' эксп свой вклад вНКТ, снижение информационной энтропии системы. КССвносит состоит из скважин, которые как отдельные системы: Таким образом, CЭК БТС представлен массивом документов, хранящих установлены регулирующие задвижкидоПри с КСС, местным сопротивлен ографические фические данные, данные, знание знание которых которых характеризует характеризует величину величину ой энтропии системы. В этом случае каждый из документов СЭК рым поднимается от забоя скважины до КСС, системы. их контуры влияния могут пересекаться, а движение продукции по шлейфу в Таким образом, CЭК БТС представлен массивом документов, хранящих входе установлены регулирующие задвижки с местным сопротивлением p ,где уничтожении или хищении документа в первом случае может быть проведена зд фактографические данные, знание которых характеризует величину некоторых случаях приводит к «задавливанию» скважин. Таким образом, границы ционной рмационной энтропии энтропии системы. системы. В этом В этом случае случае каждый каждый из документов из документов СЭК СЭК . При перемещении про снижающие давление до устьевого значения p вклад в системы снижение информационной энтропии системы. При навтором входе установлены регулирующие задвижки с Таким образом, CЭКвеличины БТС представлен массивом у фактографические данные, знание которых характеризует величину снижения энтропии БТС,системы. а из во – .количественная оценка –оценка газоносный пласт и блок входных нитей информационной энтропии системы. Вдавление этом(БВН). случае каждый документов СЭКперемещении снижающие доэнтропии устьевого значения продукции по pПри ит свой свой вклад вклад в снижение в снижение информационной информационной энтропии системы. При у При или хищении документов, документа всовместно первом случае может быть проведена местным сопротивлением фактографические данные, , СЭК снижающиевыравнивается давлеРассмотрим КСС хранящих сэнтропии насосно-компрессорными трубами (НКТ) КСС давление ви шлейфах падает, а вpздтройниках информационной энтропии системы. В этом случае каждый из документов информационной БТС, полученной злоумышленником. вноситилисвой вклад в документа снижение информационной энтропии системы. При тожении ении или хищении хищении документа в первом в первом случае случае может может быть быть проведена проведена контурами влияния скважин. На рис. 2 показана схема наиболее КСС давление в шлейфах падает, а в тройниках выравнивается по двум ия величины энтропии БТС, а во втором – количественная оценка знание которых характеризует величину инфорние додальнейшем устьевого значения pу. При направлениям. При движении поперемещении шлейфу падение вносит свой документа вклад в вснижение информационной энтропии системы. При Практическая реализация распространенной вэнтропии условиях Оренбургского газоконденсатного месторождения уничтожении или хищении первом случае можетдвижении быть проведена ка нижения величины величины энтропии БТС, БТС, а во а втором во втором – дальнейшем количественная – количественная оценка оценка направлениям. При поКСС шлейфу падение давления ой снижения энтропии БТС, полученной злоумышленником. мационной энтропии системы. В этом случае кажпродукции по давление в шлейфах падает, а в технол позволяет продукции попадать на БВН с давлением, (ОГКМ) КСС, обеспечивающей сбор продукции с трех скважин. уничтожении или хищении документа в первом случае может быть проведена Рассмотрим в качестве примера БТС коллекторно-лучевую систему сбора заданным оценка снижения величины энтропии БТС, а во втором – количественная оценказаданным ционной рмационной энтропии энтропии БТС, БТС, полученной полученной злоумышленником. злоумышленником. позволяет продукции попадать на БВН с давлением, технологическим еская реализация дый из документов СЭК вносит свой вклад в снитройниках выравнивается по двум направлениям. режимом. оценка снижения величины энтропии БТС, а во втором – количественная оценка продукции газоконденсатного месторождения [9]. информационной энтропии БТС, полученной злоумышленником. актическая Практическая реализация реализация режимом. им в качестве примера БТС коллекторно-лучевую систему сбора жение информационной энтропии системы. При При дальнейшем движении по шлейфу падение Границы рассматриваемой системысистемы: определены известными информационной энтропии БТС, полученной злоумышленником. КСС состоит из скважин, которые рассматриваются как отдельные Практическая реализация смотрим Рассмотрим в качестве вуничтожении качестве примера примера БТС БТС коллекторно-лучевую коллекторно-лучевую систему систему сбора сбора Границы рассматриваемой системы определены известными заданными оконденсатного месторождения [9]. или хищении документа в первом давления позволяет продукции попадать на БВН с Практическая реализация p – геологией продуктивного п статическими давлениями газа: пластовое влияния могут пересекаться, а движение продукции по шлейфу в пл Рассмотримихв контуры качестве примера[9]. БТС коллекторно-лучевую систему сбора продуктивного ии укции месторождения месторождения [9]. p – геологией пласта, а на статическими давлениями газа: пластовое оитгазоконденсатного изгазоконденсатного скважин, которые рассматриваются как отдельные системы: пл случае может быть проведена снижения давлением, заданным технологическим режимом. место Рассмотрим в приводит качествеоценка БТС коллекторно-лучевую систему сбора эксплуатации некоторых случаях кпримера «задавливанию» скважин. образом, границы продукции газоконденсатного месторождения [9]. блоке входных нитей pБВН –Таким технологическим режимом С КСС состоит состоит из скважин, из скважин, которые которые рассматриваются рассматриваются как– как отдельные отдельные системы: системы: ияния могут пересекаться, а движение продукции по шлейфу в величины энтропии БТС, а во втором количеГраницы рассматриваемой системы определеблоке входных нитей p – технологическим режимом эксплуатации месторождения. продукции газоконденсатного месторождения [9]. системы – газоносный пласт и блок входных нитей (БВН). БВН КСС состоит изпересекаться, скважин, которые как уры онтуры влияния могут могут пересекаться, а движение а рассматриваются движение продукции продукции поотдельные шлейфу по шлейфу всистемы: в Таким образом, внутренняя характеристика рассматриваемой системы – чаях влияния приводит к «задавливанию» скважин. Таким образом, границы ственная оценка информационной энтропии БТС, ны известными заданными статическими давлеКСС состоит из скважин, которые рассматриваются как отдельные системы: Рассмотрим КСС совместно с насосно-компрессорными трубами (НКТ) и– давление Таким образом, внутренняя характеристика рассматриваемой системы их контуры влияния могут пересекаться, а движение продукции по шлейфу вучастков ых торых случаях случаях приводит приводит к «задавливанию» к «задавливанию» скважин. скважин. Таким Таким образом, образом, границы границы газа [11]. Установив его на границах КСС, найдем все ее параметры носный пласт полученной и их блок входных нитей (БВН). злоумышленником. ниями газа: пластовое –наиболее геологией контуры влияния могут пересекаться, арис. движение продукции поpпл шлейфу в продуктивконтурами влияния скважин. На 2 показана схема газа [11]. Установив его на границах участков КСС, найдем все ее параметры. некоторых случаях приводит к «задавливанию» скважин. Таким образом, границы –мы газоносный – газоносный пласт пласт ис блок и блок входных входных нитей нитей (БВН). (БВН). Основные элементы системы, кроме пласта и БВН: забои скваж им КСС совместно насосно-компрессорными трубами (НКТ) и пласта, Практическая реализация некоторых случаях приводит к «задавливанию» скважин. Таким образом, границы ного а наиблоке входных нитей pБВН НКТ, – технораспространенной ввходных условиях Оренбургского газоконденсатного месторождения Основные элементы системы, кроме пласта БВН: скважин, системы –КСС газоносный пласт инасосно-компрессорными блок нитей (БВН). смотрим Рассмотрим КСС совместно совместно с с насосно-компрессорными трубами трубами (НКТ) (НКТ) и и (нити) соединительные трубопроводы и забои тройники. Пласт, забой скважин лияния скважин. На рис. 2 показана схема наиболее системы – газоносный пласт и блок входных нитей (БВН). Рассмотрим в качестве примерасбор БТС продукции коллеклогическим режимом эксплуатации месторождеКСС, ситрех скважин. соединительные (нити) тройники. Пласт, забой скважины, БВНа трубопровод и Рассмотрим КСС совместно с насосно-компрессорными (НКТ) и статических ми урами влияния(ОГКМ) скважин. скважин. Наобеспечивающей Нарис. рис. 2 2трубопроводы показана показана схема схематрубами наиболее наиболее тройники характеризуются величиной давлений, ной ввлияния условиях Оренбургского газоконденсатного месторождения Рассмотрим КСС совместно с насосно-компрессорными трубами (НКТ) и торно-лучевую систему сбора продукции газоконния. Таким образом, внутренняя характеристика тройники характеризуются величиной статических давлений, а трубопроводы и НКТ – которые о контурами влияния скважин. На газоконденсатного рис. падениями 2 показана схема давлений наиболее ространенной раненной в условиях в условиях Оренбургского Оренбургского месторождения месторождения статических между границами участков, обеспечивающей сбор продукции с трехгазоконденсатного скважин. контурами влияния скважин. На рис. 2рассматриваемой показана схема наиболее денсатного месторождения [9]. системы – давление газа  [11]. падениями статических давлений между границами участков, которые определены распространенной в условиях Оренбургского газоконденсатного месторождения КСС, М) КСС, обеспечивающей обеспечивающей сборсбор продукции продукции с трех с трех скважин. скважин. значениями множества конструктивно-технологических парам постоянными распространенной в условиях Оренбургского газоконденсатного месторождения постоянными значениями множества конструктивно-технологических параметров. (ОГКМ) КСС, обеспечивающей сбор продукции с трех скважин. (ОГКМ) КСС, обеспечивающей сбор продукции с трех скважин. инф

ст

дин

ст

уст

ст

дин

ст

дин

дин

' эксп

Рис. 2. Схема коллекторно-лучевой системы сбора продукции с трех скважин

42

Вопросы кибербезопасности №1(25) - 2018


КСС. Значения пластовых и забойных давлений ГЛПР получа также значения дебитов газа, конденсата и воды для всех скважин из состава гидродинамических скважин проведен КСС. Значения пластовых и забойных исследований давлений ГЛПР получает(ГИС), из результатов понимание состояния скважин. Значения дебитов ус гидродинамических исследований скважин (ГИС), проведение которых и дает принимают по результатам отчета, ко понимание состояния скважин. Значениякгеолого-технологического дебитов ущерба и устьевых Энтропийный подход оценке ... давлений ОГКМ формируется в конце каждого месяца. В качестве функц принимают по результатам геолого-технологического отчета, который в условиях кривые падения главных эксплуатационных поУстановив его на границах участков КСС, найдем дляв всех динамических параметров используем ОГКМ формируется конце каждого месяца. В качестве функцииэкспоненциальн «устаревания» казателей ОГКМ. Масштабна функции «устаревавсе ее параметры. времени их существования, основе которой строятся кривые для всех динамических параметров используем экспоненциальную зависимость от ния» зависит от скорости состояния Основные элементы системы, кромеихпласта иэксплуатационных показателей ОГКМ.кривые Масштаб функции «уст времени существования, на основе которой изменения строятся падения главных конкретной БТС. Для КСС функцию «устаревания» БВН: забои скважин, НКТ, соединительные трубо-от скорости ОГКМ. изменения состояния конкретной БТС. Для эксплуатационных показателей Масштаб функции «устаревания» зависит запишем в виде: проводы (нити) и тройники. Пласт, забой скважи«устаревания» запишем в виде: от скорости изменения состояния конкретной БТС. Для КСС функцию ны, БВН и тройники характеризуются величиной «устаревания» запишем вF виде:exp(  T ) ,, (2) уст статических давлений, а трубопроводы и НКТ – , F exp(  T ) уст – число календарных месяцев с момента получения(2) значен Т – число календарных месяцев с момента падениями статических давлений между грани-где Т где параметра. где Т – число календарных месяцев с момента полученияпараметра. значения динамического получения значения динамического цами участков, которые определены постоянныЕсли значение динамического параметра получено в текущ параметра. Если значение динамического параметра полуми значениями множества конструктивно-техноЕсли значение динамического параметра получено в текущем ( T  0 ), то функция «устаревания» для него Учет снижения Fуст «уста1 . месяце чено в текущем месяце ( T = 0 ), то функция логических параметров. то функция «устаревания» Учетснижения снижения значимости для ревания»для длянего него Fуст  1 .БТС Учет значиПотери статического давления при движении динамических параметров реализован путем умножени мости для динамических параметров БТС реалипотока от газоносного пласта до БВН происходят впараметра БТС на величину функции «устаревания». динамических параметров реализован путем умножения значения веса зован путем умножения значения веса параметра (известное) трех зонах: при забойной зонепараметра скважин, подъеме В условиях эксплуатации БТС фактическое на величину функции «устаревания». на величину функции «устаревания». газа на поверхность и трении его оВстенки ствосистемы, как правило, меньше теоретического. Например, в усл условиях эксплуатации БТС фактическое (известное) число параметров В условиях эксплуатации БТС фактическое ла, в трубопроводе. Для осуществления корректдолжны выполняться не реже одного раза в (изквартал дляГИС каж системы, как правило, меньше теоретического. Например, в условиях ОГКМ вестное) число параметров системы, как правило, ных управляющих воздействий на КСС должны состава КСС,одного но необходимость обеспечения заданного объем должны выполняться не реже раза в квартал для каждой скважины из меньше теоретического. Например, условиях быть установлены все конструктивные месторождении не позволяет проводитьвобъема данные исследования состава параметры КСС, но необходимость обеспечения заданного добычи газа на ОГКМ должны не реже одного скважин и шлейфов из состава системы, наприкак ГИС на проводить время ихвыполняться проведения прекращается выпуск прод месторождении нетак позволяет данные исследования в полном объеме, раза в квартал для каждой скважины из состава КСС, мер, внутренние диаметры труб, рельеф шлейфов КССвыпуск ОГКМ также известны не в по так как на время Конструктивные их проведения параметры прекращается продукции скважины. но Реализовано необходимость обеспечения заданного объема объеме. и т.д. Несмотря на длительныйКонструктивные период эксплуатаопределение текущего состояния информац параметры КСС ОГКМ также известны не в полном добычи газатекущего на месторождении позволяет ции месторождения перечисленные параметрыКСС на основе анализа СЭК. не Для оценки проинформационно Реализовано определение состояния информационной энтропии водить данные исследования в полном объеме, так известны в полном объеме не КСС для всех КСС из со(1) с учетом функции устаревания дл на основе использована анализа СЭК. формула Для оценки информационной энтропии (2) КСС как(1) насвремя ихфункции проведения выпуск става ОГКМ. Рассмотренные параметры относятся параметров. Тогда для КСС спрекращается полностью не известными пара использована формула учетом устаревания (2) для ее динамических продукции скважины. Конструктивные параметры к категории статических и характеризуют энтропии равна «cтартовой энтропии», а для параметров.полноту Тогдаинформационной для КСС с полностью не известными параметрами величина КСС ОГКМ также известны не в полном объеме. знаний о состоянии системы. информационной энтропии известными параметрами «0». Величина «стартовой энтро равна «cтартовой –энтропии», а для КСС с полностью Реализовано определение текущего состояния В качестве динамических параметров теоретического числа параметров описания БТСзависит с учето известнымиданной параметрами – «0». Величина «стартовой энтропии» от информационной энтропии КСС на соснове аналисистемы, определяющих полноту знаний о ней, Предлагаемые значения весовых коэффициентов длявесомости. статически теоретического числа параметров описания БТС учетом их за СЭК. Для оценки информационной рассмотрены пластовые, забойные и устьевые параметров КСС представлены табл.1.энтропии Приивыборе весовы Предлагаемые значения весовых коэффициентов дляв статических динамических КСС использована формула с учетом функции давления, а также значения параметров дебитов газа,КСС кон-представлены учтены значимость при моделировании КСС и трудоемкость их в табл.1. При (1) выборе весовых коэффициентов устаревания (2) для ее динамических параметров. денсата и воды для всех скважин из состава КСС. при учтены значимость моделировании КСС и трудоемкость их получения. Значения пластовых и забойных давлений ГЛПР Тогда для КСС с полностью не известными парамеТабл.1 получает из результатов гидродинамических исследований скважин (ГИС), проведение которых дает понимание состояния скважин. Значения дебитов и устьевых давлений принимают по результатам геолого-технологического отчета, который в условиях ОГКМ формируется в конце каждого месяца. В качестве функции «устаревания» для всех динамических параметров используем экспоненциальную зависимость от времени их существования, на основе которой строятся

трами величина информационной энтропии равна «cтартовой энтропии», а для КСС с полностью известными параметрами – «0». Величина «стартовой энтропии» зависит от теоретического числа параметров описания БТС с учетом их весомости. Предлагаемые значения весовых коэффициентов для статических и динамических параметров КСС представлены в табл.1. При выборе весовых коэффициентов учтены значимость при моделировании КСС и трудоемкость их получения.

Табл.1 Значения весовых коэффициентов КСС Вид параметра Статистический

Динамический

Параметр

Весовой коэффициент

Конструктивные параметры скважин КСС и трубопровода (за исключением его рельефа)

30

Рельеф трубопровода

20

Дебиты газа, конденсата, воды и устьевое давление скважины

1

Пластовое давление скважины

10

Забойное давление скважины

3

Вопросы кибербезопасности №1(25) - 2018

43


Анализ рисков информационной безопасности

УДК 004.056.5

Табл.2 Оценка ущерба от реализации угроз безопасности информации Актуальность информации

Прирост информационной энтропии БТС

первый квартал эксплуатации

0,000000002

последний квартал эксплуатации

0,036548566

Для большинства КСС известны конструктивные параметры скважин за исключением его рельефа. По этой причине они сгруппированы и имеют одно наибольшее значение весового коэффициента, объясняющееся важностью этих параметров. Отсутствие знания величин рассмотренных параметров препятствует моделированию КСС, а влияние рельефа учитывается в случаях эксплуатации обводненных скважин. Значения дебита газа, конденсата, воды и устьевого давления скважин получают ежемесячно из одного документа, поэтому их состояние можно характеризовать одним параметром. В качестве оставшихся динамических параметров для скважин выбраны значения пластовых и забойных давлений. Трудоемкость получения значения пластового давления выше, чем забойного, что обусловлено геологическими особенностями продуктивных пластов ОГКМ. Для получения пластового давления необходимо дождаться полного восстановления давления в забое скважины, что требует более длительной остановки скважины. Выполним количественную оценку информационной энтропии для КСС в состав которой входят три скважины. В обозначенный период конструкция шлейфов и скважин КСС не подвергались модификациям, т.е. система сбора функционировала в установившемся режиме. Задвижки, размещенные на устьях скважин, находились в полностью открытом состоянии. Результат вычисления информационной энтропии КСС на момент вычисления с учетом статических параметров Нинф= 0,164869016. Предположим, что в результате реализации угрозы безопасности информации была уничто-

жена информация геолого-технического отчета за один квартал по одной из скважин КСС. Рассмотрим два варианта ущерба: первый – уничтоженная информация характеризует скважину на начальном этапе эксплуатации, второй – уничтоженная информация соответствует последнему кварталу эксплуатации скважины. В обоих случаях был уничтожен одинаковый объем информации, но с учетом ее «устаревания» во втором случае величина ущерба будет более значимой для БТС, что подтверждается много большим увеличением информационной энтропии. Результаты вычисления приведены в табл.2. Заключение 1. Предложен подход к оценке ущерба от реализации угроз безопасности информации БТС, основанный на количественной оценке ущерба, выраженной информационной энтропией системы. 2. Научная новизна предлагаемой методики заключается в применении энтропийного подхода к оценке информационных ресурсов БТС с позиции идентификации состояния системы и реализации ее управления. 3. Применение предлагаемого подхода на практике к оценке ущерба позволит повысить точность количественной оценки ценности массива информационных ресурсов БТС, что обеспечит более качественный анализ рисков информационной безопасности и увеличит эффективность политики информационной безопасности БТС. 4. Энтропийный подход к оценке ущерба от реализации угроз безопасности информации может быть применен для анализа оценки рисков и синтеза политики информационной безопасности БТС.

Рецензент: Боровский Александр Сергеевич, доктор технических наук, доцент, заведующий кафедрой управления и информатики в технических системах Оренбургского государственного университета, г. Оренбург, Россия E-mail: borovski@mail.ru Литература 1. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия, T-Comm: Телекоммуникации и транспорт, выпуск 6, 2012. С. 54-57. 2. Нестеров С.А. Методика построения и оптимизации комплекса средств защиты на основе результатов анализа рисков // Научно-технические ведомости СПбГПУ. № 6.1 (138) 2011. С. 207-211. 3. Пугин В. В., Губарева О. Ю. Современные экономически эффективные методы оценки рисков информационной безопасности информационных систем предприятий крупного и среднего бизнеса // Вестник Алматинского университета энергетики и связи. 2014. № 3. С. 39-51. 4. Александров В.В., Пономаренко С.А., Ковалева Е.В. Основные подходы к оценке степени риска в сфере информационной безопасности // Вестник Белгородского университета кооперации, экономики и права. – 2012. – № 2. – С. 262-266.

44

Вопросы кибербезопасности №1(25) - 2018


Энтропийный подход к оценке ущерба ... 5. Староверова Н.А., Фадхкал З.Ф. Анализ существующих методов оценки рисков корпоративных информационных систем // Вестн. КТУ. – 2013. – Т. 16, № 9. – С. 282-287. 6. Петров Б.Н. Избранные труды. Том.1. Теория автоматического управления. М.: Наука, 1983. 432 с. 7. Парамонов И.Ю. Модель учета ценности и старения информации при оценивании эффективности функционирования систем информационного обеспечения // Системы управления, связи и безопасности. 2016. № 1. С. 328-334. 8. Полищук Ю.В. Автоматизированный контроль информационной энтропии больших технических систем на основе сопутствующего эксплуатационного контента // Вестник компьютерных и информационных технологий. 2017. № 7. С. 14-21. 9. Ермилов О.М., Ремизов В.В., Ширковский А.И., Чугунов Л. C. Физика пласта, добыча и подземное хранение газа. М.: Наука, 1996. 541 с. 10. Коротаев Ю.П., Тагиев В.Г., Гергедава Ш.К. Системное моделирование оптимальных режимов эксплуатации объектов добычи природного газа – М.: Недра, 1989. 264 с. 11. Закиров С.Н. и др. Новые принципы и технологии разработки месторождений нефти и газа. М.: Недра, 2004. 520 с.

THE ENTROPICAL APPROACH TO EVALUATING DAMAGE FROM IMPLEMENTATION OF THREATS INFORMATION SECURITY FOR LARGE TECHNICAL SYSTEMS Polishuk Yu.2 The generalized process of assessing the information resources of an enterprise is considered. Difficulties in implementing a quantitative approach to the assessment of information resources of the enterprise are identified. The features of the quantitative and qualitative approach to the evaluation of information resources are noted and examples of risk analysis techniques implemented with their application are given. The estimation of information resources of large technical systems (LTS) from the position of information entropy is considered. An approach is proposed to assess the damage from the implementation of threats to the security of LTS information, based on the quantitative assessment of damage, expressed by the information entropy of the system. The practical example of the proposed approach to the assessment of damage from the implementation of threats to the safety of LTS information, which includes the description of the collector-beam collection system (CCS) of the products of the gas condensate field, the function of the «aging» of the dynamic parameters of the system and the weighting factors for the static and dynamic parameters of the product collection system , a quantitative assessment of the information entropy for the CCS, which includes three wells, two options for assessing the damage from implementing security threats deformations of the CCS. The application of the proposed approach to damage assessment will improve the accuracy of the quantitative assessment of the value of the array of LTS information resources, which will provide a better analysis of information security risks and will increase the effectiveness of the LTS information security policy. Keywords: assessment of information resources, the value of information, information resource from the position of state identification and system management, related operational content. References 1. Pugin V.V., Gubareva O.Ju. Obzor metodik analiza riskov informacionnoj bezopasnosti informacionnoj sistemy predprijatija, T-Comm: Telekommunikacii i transport, vypusk 6, 2012. S. 54-57. 2. Nesterov S.A. Metodika postroenija i optimizacii kompleksa sredstv zashhity na osnove rezul’tatov analiza riskov // Nauchnotehnicheskie vedomosti SPbGPU. № 6.1 (138) 2011. S. 207-211. 3. Pugin V. V., Gubareva O. Ju. Sovremennye jekonomicheski jeffektivnye metody ocenki riskov informacionnoj bezopasnosti informacionnyh sistem predprijatij krupnogo i srednego biznesa // Vestnik Almatinskogo universiteta jenergetiki i svjazi. 2014. № 3. S. 39-51. 4. Aleksandrov V.V., Ponomarenko S.A., Kovaleva E.V. Osnovnye podhody k ocenke stepeni riska v sfere informacionnoj bezopasnosti // Vestnik Belgorodskogo universiteta kooperacii, jekonomiki i prava. – 2012. – № 2. – S. 262-266. 5. Staroverova N.A., Fadhkal Z.F. Analiz sushhestvujushhih metodov ocenki riskov korporativnyh informacionnyh sistem // Vestn. KTU. – 2013. – T. 16, № 9. – S. 282-287. 6. Petrov B.N. Izbrannye trudy. Tom.1. Teorija avtomaticheskogo upravlenija. M.: Nauka, 1983. 432 s. 7. Paramonov I.Ju. Model’ucheta cennosti i starenija informacii pri ocenivanii jeffektivnosti funkcionirovanija sistem informacionnogo obespechenija // Sistemy upravlenija, svjazi i bezopasnosti. 2016. № 1. S. 328-334. 8. Polishhuk Ju.V. Avtomatizirovannyj kontrol’ informacionnoj jentropii bol’shih tehnicheskih sistem na osnove soputstvujushhego jekspluatacionnogo kontenta // Vestnik komp’juternyh i informacionnyh tehnologij. 2017. № 7. S. 14-21. 9. Ermilov O.M., Remizov V.V., Shirkovskij A.I., Chugunov L. C. Fizika plasta, dobycha i podzemnoe hranenie gaza. M.: Nauka, 1996. 541 s. 10. Korotaev Ju.P., Tagiev V.G., Gergedava Sh.K. Sistemnoe modelirovanie optimal’nyh rezhimov jekspluatacii ob#ektov dobychi prirodnogo gaza – M.: Nedra, 1989. 264 s. 11. Zakirov S.N. i dr. Novye principy i tehnologii razrabotki mestorozhdenij nefti i gaza. M.: Nedra, 2004. 520 s. 2  Youryi Polishuk, PhD, Associate Professor of Computer Security mathematical software and information systems, Orenburg State University, Orenburg, Russia. E-mail: Youra_Polishuk@bk.ru

Вопросы кибербезопасности №1(25) - 2018

45


РАЗРАБОТКА МОДЕЛЕЙ ОПИСАНИЯ ОБРАБОТКИ ИНФОРМАЦИИ В ЗАДАЧАХ УПРАВЛЕНИЯ СИСТЕМОЙ ЗАЩИТЫ ОБЪЕКТА НА ОСНОВЕ СЕТЕЙ ПЕТРИ Шрейдер М. Ю.1, Боровский А.С.2 Аннотация. В статье рассматривается описание системы защиты объекта как комплекса инженерно-технических и программных средств на основе многоуровневых компьютерных сетей. Основная сложность управления такими системами заключается в обработке большого количества информации о состоянии объекта, возможных угрозах и формирование управляющих воздействий. В данной статье предлагается использование сетей Петри для описания процессов обработки информации при функционировании элементов системы защиты объекта. Структурно-логическая модель системы при этом представляется в виде гиперграфа. Элементы структурно-логической модели системы защиты объекта представлены в виде точек контроля (ТК), которые подразделяются по выполняемым функциям: точка обнаружения (ТО), точка доступа (ТД), точка видеонаблюдения (ТВ), точка задержки (ТЗ) и управляющих элементов, представленных периферийными и магистральными контроллерами (ПК, МК). Разработаны модели обработки информации следующих элементов системы защиты объекта: датчик движения, периферийный контроллер, магистральный контроллер, универсальное устройство управления. Ключевые слова: система защиты объектов, сложная техническая система, многоуровневая интеграция, гиперграф, сети Петри, модель системы, модель обработки информации.

DOI: 10.21681/2311-3456-2018-1-46-53 Введение Система защи­ты объекта (СЗО) представляет собой совокупность организационно - правовых и инженерно-технических ре­шений, направленных на обнаружение, отражение и ликвидацию различных видов угроз объекту [1,2]. Современные системы защиты объектов — это сложные технические системы, включающие подсистемы видеонаблюдения, контроля и управления доступом, пожарно-охранной сигнализации и др. Информационная взаимосвязь отдельных элементов СЗО осуществляется путем построения таких систем на основе локальных многоуровневых компьютерных сетей. Управление такой системой является чрезвычайно сложной задачей, в связи с необходимостью обработки большого количества информации о состоянии объекта и возникающих угрозах, необходимых управляющих воздействиях. Учитывая степень важности и повсеместное распространение систем защиты различных объектов (от коммерческой недвижимости до объектов повышенной потенциальной опасности: атомные электростанции, гидроэлектростанции, железнодорожные узлы и т.п.), необходимо построение такой системы управления, которая даст

максимально быстрое и эффективное обеспечение безопасности объекта. Для решения задач управления необходимо разработать модели обработки информации на основе логических взаимосвязей элементов системы, возникающих в случае той или иной угрозы. В настоящее время не существует математической модели системы защиты объекта, учитывающей многоуровневую интеграцию и оптимальное использование ресурсов в процессе функционирования системы защиты. Для описания процессов взаимодействия элементов предлагается использовать модели на основе сетей Петри. Основная часть Система защиты объекта – это комплекс инженерно-технических и программно-аппаратных средств, включающих: – подсистему охранной и тревожной сигнализации; – подсистему контроля управления доступом; – подсистему телевизионного наблюдения; – подсистему оперативной связи и оповещения; – вспомогательные подсистемы (освещения, аварийного питания и т.д.) [3,4].

1  Шрейдер Марина Юрьевна, кандидат технических наук, доцент кафедры «Управление и информатика в технических системах», ФГБОУ ВО «Оренбургский государственный университет», Оренбург , Россия. E-mail: marshr@mail.ru 2  Боровский Александр Сергеевич, доктор технических наук, доцент, заведующий кафедрой «Управление и информатика в технических системах» ФГБОУ ВО «Оренбургский государственный университет», Оренбург, Россия. E-mail: borovski@mail.ru

46

Вопросы кибербезопасности №1(25) - 2018


Разработка моделей описания обработки информации ...

Рис.1. Фрагмент интегрированного комплекса защиты объекта Современные интегрированные системы защиты строятся на основе локальных многоуровневых компьютерных сетей различного уровня сложности [5] (рис.1) В состав типового интегрированного комплекса защиты, как правило, входят: 1.  Центральное устройство управления, сервер с общим пультом управлении и идентификаторы или автоматическое рабочее место. 2.  Периферийные контроллеры, подключенные в сеть. 3.  Локальные терминалы, подключенные к периферийным контроллерам. 4.  Объединенные в сеть станций различного рода назначения. 5.  Контроллеры связи, маршрутизаторы, интерфейсные модули, платы расширения и так далее [6,7]. Сложность управления такой системой заключается в обработке большого количества входной информации и необходимости формирования управляющих воздействий, наилучших для сложившейся ситуации. Для организации эффективного управления системой необходимо детальное

математическое описание процессов функционирования элементов. Для построения математической модели, необходимо абстрагироваться от физической природы элементов, которые составляют систему защиты объекта. Элементы нижнего уровня в структурнологической модели системы защиты объекта можно представить в виде точек контроля (ТК), которые могут включать в себя несколько инженернотехнических средств защиты, выполняющих одну общую функцию. Точки контроля подразделяются по выполняемым функциям: точка обнаружения (ТО), точка доступа (ТД), точка видеонаблюдения (ТВ), точка задержки (ТЗ) [8]. Управляющие элементы системы представлены периферийными и магистральными контроллерами (ПК, МК). Разрабатываемые модели обработки информации в системе защиты объекта должны учитывать логику взаимодействия элементов различных подсистем. На наш взгляд наиболее полно описать такие модели возможно с использованием аппарата гиперграфов (рис.2), который обладает следующими достоинствами:

ТК- точка контроля, ПК-периферийный контроллер, МК-магистральный контроллер, ЛВС-локальная вычислительная сеть, ПС- периферийная сеть.

Рис.2. Фрагмент структурно-логической модели системы защиты, где показана возможность использования гиперграфов Вопросы кибербезопасности №1(25) - 2018

47


Менеджмент информационной безопасности

УДК 004.056

- отображает отношения «многие ко многим»; - каждая вершина гиперграфа может раскрываться в самостоятельный граф или гиперграф по мере уточнения и усложнения модели; - гиперграфовая модель позволяет строить процедуры оптимизации; - гиперграф можно рассматривать как произвольный набор подмножеств, в дальнейшем применяя к ним возможности теории графов [6,9]. Представим систему защиты объекта как гирперграф (рис.3): (1) где V – множество вершин, представляющих собой отдельные структурно-логические элементы системы защиты ; Е – множество ребер, представляющих информационные взаимосвязи между отдельными элементами системы защиты . Каждое ребро Е графа Н можно описать как подмножество вершин: , (2)

где

При представлении интегрированной системы защиты объекта в виде гиперграфа каждому ребру Е гиперграфа Н соответствует некоторая вложенная схема межсетевых процессов как элемента подсетевой архитектуры. Маршрутом в гиперграфе будет последовательность вершин и ребер вида: , где

, (3)

В результате декомпозиции гиперграфовую модель системы защиты объекта можно представить в виде подпроцессов функционирования отдельных элементов, для описания которых предложено использовать Сети Петри, их особенность заключается в возможности отображения параллелизма, асинхронности процессов в системе и иерархичности ее элементов [6,10-13]. На начальном этапе разработаны модели обработки информации в процессе функционирования таких элементов системы защиты объекта, как: датчик, периферийный контроллер, магистральный контроллер, универсальное устройство управления. Далее представлено описание сети Петри процесса работы датчика (рис.4) с возможностью самостоятельного принятия решения об оповеще-

48

Рис. 3. Фрагмент гиперграфа интегрированной системы безопасности объекта[14] нии и соответствующей передачи данных о срабатывании на пульт управления на сеансовом уровне модели ISO/OSI. Датчик работает исправно. Условиями для существования сети будет: 1.  включение датчика в сеть; 2.  авторизация датчика на устройстве управления; 3.  работа датчика в дежурном режиме; 4.  нарушитель найден; 5.  оповещение о нарушителе; 6.  возвращение к нормальной работе датчика; 7.  исключение датчика из системы физической защиты (выключение системы). Событиями для сети являются: 1.  прием и отсылка пакетов инициализации; 2.  поступил сигнал о нарушителе; 3. оповещение; 4.  оповещение о срабатывании; 5.  датчик возвращается к работе; 6.  завершение сеанса связи. Позиция р1 означает что датчик находится во включенном состоянии. Позиция р2 будет означать что датчик обрабатывает пакет установки сеанса связи. Фишка в позиции р3 означает что датчик работает, то есть принимает данные, а в позиции р4 обрабатывает полученные данные. Фишка в позиции р5 означает, что устройство находится в состоянии оповещения. Позиция р6 будет иметь накопительный характер. Здесь мы будем накапливать количество поступающих сигналов. А сама позиция характери-

Вопросы кибербезопасности №1(25) - 2018


Разработка моделей описания обработки информации ...

Рис. 4. Описание процесса работы датчика в виде сети Петри зуется пультом управления. И последняя фишка в р7 означает, что работа датчика завершена. t1 - принятие пакета от периферийного контроллера; t2 - отсылка пакета обратно; t3 - датчик отсылает данные на периферийный контроллер, а он с свою очередь передает через магистральный контроллер на устройство управления; t4 - нарушитель не найден и переходим к состоянию нормальной работы; t5 - нарушитель найден и происходит передача сигнала; t6 - оповещение прекращается и переходит в нормальную работу; t7 - принятие пакета о завершении сеансового уровня и отключение датчика. Определим расширенную входную функцию I и выходную функцию О. Далее представлена структура сети Петри в виде четверки, которая состоит из множества позиций (Р), множества переходов (Т), входной функции (I : P →T∞), и выходной функции (O: P→T∞) I: P → T∞, O: P→T∞ таким образом, что (tj, I(pj)) = (pj, O(tj)), (tj, O(pj)) = (pj, I(tj)).

I(t1) ={p1} I(t2) ={p2} I(t3) ={p3} I(t4) ={p4} I(t5) ={p4}

O(t1) ={p2} O(t2) ={p3} O(t3) ={p4} O(t4) ={p3} O(t5) ={p5, p6} O(t6) ={p3} O(t7) ={p7}

Проанализируем сеть Петри на основе матричных уравнений. Альтернативным по отношению к определению сети Петри в виде (P, T, I, O) является определение двух матриц D+ и D- , где D = D+ - D- составная матрица изменений. Каждая матрица имеет m строк (по одной на переход) и n столбцов (по одному на позицию). Определим D- [j, i] = (pj, I(tj)), а D+[j, i]= (pj, O(tj)). D- определяет входы в переходы, D+ - выходы.

C = (P, T, I, O), P = {p1, p2, p3, p4, p5, p6, p7}, T = {t1, t2, t3, t4, t5, t6, t7},

I(p1) ={0} I(p2) ={t1} I(p3 )={t2, t6, t4} I(p4) ={t5} I(p5) ={t5} I(p6) ={t5} I(p7) ={t7}

O(p1) ={t1} O(p2) ={t2} O(p3) ={t3} O(p4) ={t4, t5, t7} O(p5) ={t6} O(p6) ={0} O(p7) ={0}

Вопросы кибербезопасности №1(25) - 2018

49


Менеджмент информационной безопасности

В начальной маркировке μ = (1,0,0,0,0,0) переход t1 разрешен и приводит к маркировке μ`, где

=

Далее (рис. 5) представлен фрагмент дерева достижимости имитационной модели датчика

Рис. 5. Фрагмент дерева достижимости имитационной модели датчика Срабатывание перехода t6 ведет к накоплению фишек позиции р6. Данная модель описывает работу датчика в нормальных условиях, когда могут возникать сигнал о нарушителе. Датчик накапливает информацию о количестве срабатываний в цикле своей работы.

50

УДК 004.056

Далее (рис. 6) представлена модель сети Петри функционирования периферийного контроллера на сеансовом уровне модели OSI/ISO. Условиями существования сети будут: 1.  наличие устройства управления; 2. наличие одного или нескольких датчиков, подключенных по структуре «кольцо» или «шина»; 3.  наличие нарушителя; 4. правильное подключение рабочего периферийного контроллера в сеть интегрированной физической защиты; 5.  одинаковый производитель (исключает проблему несовместимости устройств на программном аппаратном уровне). Событиями для такой системы будут являться: 1.  подключение устройство в сеть; 2.  установка сеанса связи и его поддержания; 3.  принятия сигнала о срабатывании датчика; 4.  сигнал о прерывании связи. Вышеописанные условия и события обязательны для моделирования работы периферийного контроллера. В этой модели мы не исключали неисправность устройства управления. Все передающиеся данные для устройства управления осуществляются через магистральный контроллер по умолчанию. Позиция р1 будет означать что периферийный контроллер находиться в выключенном состоянии, но подключен к сети. Позиция р2, соответственно будет состоянием ожидания получения пакетов об установке сеанса связи. Позиция р3 будет характеризовать состояние датчика, как состояние формирования пакета об оповещении отсутствия сеанса связи с датчиком и последующей отправкой его на устройство управления. Позиция р4 будет характеризоваться тем, что периферийный контроллер принимает решение и предпринимает попытку установления сеанса связи (инициализации) с устройством управления. Фишка в позиции р5 будет означать, что периферийный контроллер установил сеанс связи и с датчиком, и с устройством управления. Позиция р6 характеризуется тем, что датчик перешел в состояния нормальной работы и готов принимать пакеты от датчика. Фишка в позиции р7 означает что периферийный контроллер ожидает ответного пакета подтверждения, а по истечению заданного периода ожидания. Позиция р8 будет характеризовать состояние периферийного контроллера как ожидание ответа от датчика и устройства управления. Вопросы кибербезопасности №1(25) - 2018


Разработка моделей описания обработки информации ...

Рис. 6. Описание процесса работы периферийного контроллера в виде сети Петри Фишка в позиции р9 будет означать, что устройство формирует пакет для устройства управления о срабатывании датчика(ов). Позиция р10 характеризуется тем, что периферийный контроллер обрабатывает полученный пакет от устройства управления. Фишка в позиции р11 означает о выключении периферийного контроллера. t1 - отправка пакета для установки сеанса связи для датчика и инициализации на устройстве управления и магистрального контроллера. t2 - принятие пакетов от об успешной установки установки сеанса связи с устройством управления и с датчиками. t3 - принятие пакета от датчика о успешной установке сеанса связи, но не принятие пакета от устройства управления о подтверждении установки связи(инициализации периферийного контроллера). t4 - принятие пакета о успешной установки связи от устройства управления, но не получения пакета от датчика. t5 - успешное установление сеанса связи с устройством управления. t6 - периферийный контроллер переходит в состояние к совей основной работе. t7 - отправка повторного пакета установки сеанса связи на устройство управления. t8 - периферийный контроллер поддерживает сеанс связи с датчиком посылая ему пустой пакет, и принимает пустой пакет от магистрального контроллера. t9 - принимает пустой пакет от датчика и отсылает свой пакет магистральному контроллеру. t10 - принятие пакета от датчика о его срабатывании. t11 - периферийный контроллер отправляет данные на устройство управления и возвращается к своей работе. Вопросы кибербезопасности №1(25) - 2018

t12 - принятие пакета от устройства управления о завершении с ним сеанса связи. t13 - периферийный контроллер отправляет сообщение о прекращении сеанса связи с датчиком. Определение входной и выходной функции, анализ сети на основе матричных уравнений осуществлялись аналогично модели датчика. Также были получены модели магистрального контроллера и универсального устройства управления, схемы процессов работы устройств в виде сетей Петри (рис.7 и рис.8).

Рис. 7. Описание процесса работы магистрального контроллера в виде сети Петри

Рис. 8. Описание процесса работы универсального устройства управления в виде сети Петри

51


Менеджмент информационной безопасности Вывод Несомненным достоинством сетей Петри является математически строгое описание модели. Это позволяет проводить их анализ с помощью современной вычислительной техники и использовать при управлении сложными интегрированными системами. Для этого разработаны модели обработки информации в процессе функционирования таких элементов системы защиты объекта, как: датчик, периферийный контроллер, магистральный контроллер, универсальное устройство управления. В дальнейшем планируется разработать общую гиперграфовую модель взаимодействия элементов системы защиты с учетом возможных угроз.

УДК 004.056

Полученные модели обладают наглядностью и обеспечивают возможность автоматизированного анализа, позволяют переходить от одного уровня детализации описания системы к другому (за счет раскрытия/закрытия переходов) и могут использоваться в дальнейшем для организации интеллектуальной системы защиты объекта. Применение моделей на основе сетей Петри в системе защиты объектов, позволит повысить качество управления, например, более четко координировать взаимодействие элементов в зоне нарушения, с учетом возможных конфликтов между ними, выделять наиболее важные задачи работы системы, в зависимости от сложившейся ситуации.

Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор МГТУ им. Н.Э. Баумана, Москва, Россия. E-mail: a.markov@npo-echelon.ru Литература 1. Мишин Е.Т. Построение систем физической защиты потенциально опасных объектов. М.: Радио и связь, 2005. 200с. 2. Магауенов Р.Г. Системы охранной сигнализации: основы теории и принципы построения. М.: Горячая линия – Телеком, 2004. 367 с. 3. Боровский А.С. Автоматизированное проектирование и оценка систем физической защиты потенциально-опасных (структурно-сложных) объектов. Часть 1. Системный анализ проблемы проектирования и оценки систем физической защиты: монография. Самара: СамГУПС, 2012. 155 с. 4. Гарсиа М. Проектирование и оценка систем физической защиты / пер. с англ. В.И. Воропаева, Е.Е. Зудина и др. – М.: Мир, АСТ, 2002. 386 с. 5. Оленин Ю.А. Системы и средства управления физической защитой объектов. Пенза: Информационно-издательский центр ПГУ, 2002. – Кн.1. – 212 с.; 2003. – Кн.2. – 256 с. 6. Боровский А.С. Автоматизированное проектирование и оценка систем физической защиты потенциально-опасных (структурно-сложных) объектов. В 3-х ч. Ч. 2. Модели нечетких систем принятия решений в задачах проектирования систем физической защиты: монография. М.: Издательство «Омега-л»; Оренбург: Издательский центр ОГАУ, 2013. 248 с. 7. Боровский А.С. Интегрированный подход к построению систем физической защиты объектов // Наука и образование транспорту. 2016. № 2. С. 12-16. 8. Боровский А.С. Обобщенная модель системы физической защиты как объект автоматизированного проектирования // Вестник компьютерных и информационных технологий. 2014. № 10 (124). С. 45-52. 9. Быстров С.Ю. Анализ и оптимизация систем физической защиты особо важных объектов: дис. канд. техн. наук: 05.13.01: Пенза, 2004. 181 с. 10. Корнев Д.А., Логинова Е.Ю. Исследование алгоритмов работы информационной системы с использованием математического аппарата сетей Петри // Cloud of Science. 2014. Т. 1. № 2. С. 318-326. 11. Кудж С.А., Логинова А.С. Моделирование с использованием сетей Петри // Вестник МГТУ МИРЭА. 2015. № 1 (6). С. 10-22. 12. Яковлев А.В., Дидрих В.Е., Шамкин В.Н., Краснянский М.Н. Моделирование распределенных систем с модульной архитектурой на основе сетей Петри // Приборы и системы. Управление, контроль, диагностика. 2012. № 3. С. 34-37. 13. Вороной С.М., Еськов С.С. Применение аппарата сетей Петри для проектирования обобщенной многопользовательской системы // Системы и средства искусственного интеллекта. 2013. Т. 1. С. 51-53. 14. Суховерхов А.С. Методический подход к моделированию функционирования средств защиты информации на основе применения аппарата теории сетей Петри-Маркова // Телекоммуникации. 2012. № 8. С. 41-48.

52

Вопросы кибербезопасности №1(25) - 2018


Разработка моделей описания обработки информации ...

DEVELOPMENT OF MODELS OF DESCRIPTION OF INFORMATION PROCESSING IN PROBLEMS OF MANAGING THE SYSTEM OF PROTECTION OF THE OBJECT BASED ON PETER NETWORKS Shreider M. Yu.3, Borovsky A.S.4 Abstract. The article describes the description of the object protection system as a complex of engineering and software tools based on multi-level computer networks. The main difficulty in managing such systems is the processing of a large amount of information about the state of the object, possible threats and the formation of control actions. In this article, we propose the use of Petri nets for describing information processing processes when the elements of the object protection system function. The structural-logical model of the system is presented in the form of a hypergraph. Elements of structural and logical protection of the system object model presented in the form of points of control , which are divided by function: detection point , access point, surveillance point, the delay period and control elements, represented by peripheral and trunk controllers (PC, MK). The models of information processing of the following elements of the object protection system are developed: motion sensor, peripheral controller, main controller, universal control device. Keywords: object protection system, complex technical system, multi-level integration, hypergraph, Petri nets, system model, information processing model. References 1. Mishin E.T. Postroenie sistem fizicheskoy zashchity potentsial’no opasnykh ob’’ektov. M.: Radio i svyaz’, 2005. 200 P. 2. Magauenov R.G. Sistemy okhrannoy signalizatsii: osnovy teorii i printsipy postroeniya. M.: Goryachaya liniya – Telekom, 2004. 367 P. 3. Borovskiy A.S. Avtomatizirovannoe proektirovanie i otsenka sistem fizicheskoy zashchity potentsial’no-opasnykh (strukturnoslozhnykh) ob’’ektov. Chast’ 1. Sistemnyy analiz problemy proektirovaniya i otsenki sistem fizicheskoy zashchity: monografiya. Samara: SamGUPS, 2012. 155 P. 4. Garsia M. Proektirovanie i otsenka sistem fizicheskoy zashchity / per. s angl. V.I. Voropaeva, E.E. Zudina i dr. – M.: Mir, AST, 2002. 386 P. 5. Olenin Yu.A. Sistemy i sredstva upravleniya fizicheskoy zashchitoy ob’’ektov. Penza: Informatsionno-izdatel’skiy tsentr PGU, 2002. – Kn.1. – 212 P.; 2003. – Kn.2. – 256 P. 6. Borovskiy A.S. Avtomatizirovannoe proektirovanie i otsenka sistem fizicheskoy zashchity potentsial’no-opasnykh (strukturnoslozhnykh) ob’’ektov. V 3-kh ch. Ch. 2. Modeli nechetkikh sistem prinyatiya resheniy v zadachakh proektirovaniya sistem fizicheskoy zashchity: monografiya. M.: Izdatel’stvo «Omega-l»; Orenburg: Izdatel’skiy tsentr OGAU, 2013. 248 P. 7. Borovskiy A.S. Integrirovannyy podkhod k postroeniyu sistem fizicheskoy zashchity ob’’ektov, Nauka i obrazovanie transportu. 2016. No 2, pp. 12-16. 8. Borovskiy A.S. Obobshchennaya model’ sistemy fizicheskoy zashchity kak ob’’ekt avtomatizirovannogo proektirovaniya, Vestnik komp’yuternykh i informatsionnykh tekhnologiy. 2014. No 10 (124), pp. 45-52. 9. Bystrov S.Yu. Analiz i optimizatsiya sistem fizicheskoy zashchity osobo vazhnykh ob’’ektov: dis. kand. tekhn. nauk: 05.13.01: Penza, 2004. 181 P. 10. Kornev D.A., Loginova E.Yu. Issledovanie algoritmov raboty informatsionnoy sistemy s ispol’zovaniem matematicheskogo apparata setey Petri, Cloud of Science. 2014. T. 1. No 2, pp. 318-326. 11. Kudzh S.A., Loginova A.S. Modelirovanie s ispol’zovaniem setey Petri, Vestnik MGTU MIREA. 2015. No 1 (6), pp. 10-22. 12. Yakovlev A.V., Didrikh V.E., Shamkin V.N., Krasnyanskiy M.N. Modelirovanie raspredelennykh sistem s modul’noy arkhitekturoy na osnove setey Petri, Pribory i sistemy. Upravlenie, kontrol’, diagnostika. 2012. No 3, pp. 34-37. 13. Voronoy S.M., Es’kov S.S. Primenenie apparata setey Petri dlya proektirovaniya obobshchennoy mnogopol’zovatel’skoy sistemy, Sistemy i sredstva iskusstvennogo intellekta. 2013. T. 1, pp. 51-53. 14. Sukhoverkhov A.S. Metodicheskiy podkhod k modelirovaniyu funktsionirovaniya sredstv zashchity informatsii na osnove primeneniya apparata teorii setey Petri-Markova, Telekommunikatsii. 2012. No 8, pp. 41-48. 3  Marina Shreyder, Ph.D, Associate Professor of the Department «Сontrol and Informatics in Technical Systems», FGBOU VO «Orenburg State University», Orenburg, Russia. E-mail: marshr@mail.ru 4  Alexander Borovsky, Dr.Sc., Associate Professor, Head of the Department «Сontrol and Informatics in Technical Systems» FGBOU VO «Orenburg State University», Orenburg, Russia. E-mail: borovski@mail.ru

Вопросы кибербезопасности №1(25) - 2018

53


МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ Козьминых С.И.1 Аннотация: В работе представлена методика формирования комплексного подхода к обеспечению информационной безопасности объектов кредитно-финансовой сферы. Рассмотрены основные принципы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы. Отмечено, что при проектировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, необходимо провести выбор направлений и принципов ее реализации. Приведено математическое моделирование уровня комплексной безопасности объектов информатизации кредитно-финансовой сферы с использованием тории вероятностей, целью которого является получение функциональной зависимости для нахождения численного значения коэффициента уязвимости, оценивающего уровень комплексной безопасности объекта кредитно-финансовой сферы. Процесс математического моделирования разбит на пять этапов, в итоге которого получены составляющие и сама формула коэффициента уязвимости объекта информатизации, которые определяются с помощью математической обработки статистических данных и проведения экспертных опросов. В качестве вывода заключается, что разработанный математический аппарат позволяет получить количественную оценку как существующего, так и прогнозируемого уровня уязвимости объекта информатизации. Кроме того отмечена возможность данного математического подхода для оценки уровня комплексной безопасности объекта информатизации кредитно-финансовой сферы. Ключевые слова: формирования комплексного подхода к обеспечению информационной безопасности, угроза информационной безопасности объекту кредитно-финансовой сферы, принципы обеспечения комплексной безопасности объекта информатизации, статистические вероятности, экспертные оценки, единый динамический коэффициент возникновения угрозы, коэффициент ущерба, коэффициента уязвимости. DOI: 10.21681/2311-3456-2018-1-54-63 Введение Для реализации комплексного подхода к решению проблемы обеспечения информационной безопасности объектов кредитно-финансовой сферы необходимо использование таких научных методов, как моделирования систем и процессов защиты информации. Целями такого моделирования являются поиск оптимальных решений по управлению системой защиты информации, оценка эффективности использования различных механизмов защиты, определение свойств системы защиты, установление взаимосвязей между ее характеристиками и показателями. Известно, что модель представляет собой логическое или математическое описание компонентов и функций, отображающих свойства моделируемого объекта или процесса и используется как

условный образ, сконструированный для упрощения их исследования. Моделирование системы защиты информации заключается в ее формализованном отображении в каком-либо виде, адекватном исследуемой системе, и получении с помощью построенной модели необходимых характеристик реальной системы. Таким образом, весь процесс моделирования можно разделить на две составляющие: построение модели и реализацию модели с целью получения необходимых характеристик системы защиты информации. Часто для определения показателей безопасности информации достаточно знать вероятностные характеристики угроз и возможную эффективность механизмов защиты. Получение таких характеристик, хотя и затруднено, тем не менее, не

1  Козьминых Сергей Игоревич доктор технических наук, Финансовый университет при Правительстве Российской Федерации, г. Москва, Россия. E-mail: SIKozminykh@fa.ru

54

Вопросы кибербезопасности №1(25) - 2018


Математическое моделирование обеспечения комплексной безопасности... является неразрешимой задачей. Однако игнорирование взаимовлияния угроз и средств защиты, а также невозможность определения ожидаемого ущерба от воздействия различных факторов и ресурсов, необходимых для обеспечения защиты, дает возможность использовать методы моделирования в основном для общих оценок при определении степени того внимания, которое должно быть уделено проблеме защиты информации на объекте кредитно-финансовой сферы. Прежде чем перейти к описанию математической модели обеспечения комплексной безопасности объекта кредитно-финансовой сферы, следует определить, в чем же заключается комплексный подход к обеспечению информационной безопасности. 1. Комплексный подход к обеспечению информационной безопасности объектов кредитно-финансовой сферы Для того чтобы понять суть комплексного подхода к обеспечению информационной безопасности объектов кредитно-финансовой сферы предлагается перейти к рассмотрению классификации основных направлений обеспечения комплексной безопасности объекта информатизации рис.1. Зарубежный и отечественный опыт обеспечения бе­ зопасности свидетельствует, что для борьбы с потенциально возможными и реально возникающими угрозами необходима стройная и целе­направленная организация процесса противодействия. Причем реализация этого процесса должна включать использование всех возможных сил и средств защиты с целью недопущения, пресечения и оперативной ликвидации последствий нештатных ситуаций и чрезвычайных происшествий. То есть процесс защиты от всевозможных угроз должен иметь комплексный характер. Предлагаемый перечень основных направлений обеспечения комплексной безопасности объектов информатизации кредитно-финансовой сферы наглядно демонстрирует, что если, например, пожарную, охранную, техногенную и другие виды безопасности можно обеспечить независимо друг от друга, то информационную безопасность можно надежно обеспечить только при условии реализации всех указанных на (рис. 1) направлений. Вместе с тем для некоторых объектов информатизации кредитно-финансовой сферы не все направления обеспечения комплексной безопасности могут быть не актуальны. Например, если объект находится благоприятной климатической зоне и не ведет какую-либо производственную деВопросы кибербезопасности №1(25) - 2018

ятельность, то соответствующими направлениями безопасности можно пренебречь. Чаще всего на объектах информатизации кредитно-финансовой сферы, бывают наиболее актуальны такие направления обеспечения безопасности, как: - охранная безопасность; - информационная безопасность; - пожарная безопасность; - экономическая безопасность; - юридическая безопасность; - безопасность трудовой деятельности (охрана труда). При выборе необходимых направлений обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы необходимо руководствоваться результатами анализа рисков, которым он может быть подвержен, а также анализом элементов защиты, представляющими наибольшую ценность для всего объекта. Кроме того, при формировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы необходимо определить, в соответствии с какими принципами она будет создаваться. Основными принципами обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы должны быть: Комплексность. Обеспечение безопасности всех наиболее значимых элементов защиты и объекта в целом от различных видов угроз всеми возможными способами и средствами. Своевременность. Предполагает постановку задач по обеспечению комплексной безопасности объекта информатизации кредитно-финансовой сферы на ранних стадиях проектирования путем разработки системы обеспечения комплексной безопасности на основе анализа и прогнозирования возможных угроз безопасности. Непрерывность. Постоянное соблюдение мер обеспечения комплексной безопасности в процессе функционирования объекта информатизации кредитно-финансовой сферы, а также осуществление контроля по их выполнению. Активность. Меры обеспечения информационной безопасности должны иметь упреждающий характер. Необходимо в первую очередь разрабатывать и внедрять меры обеспечения безопасности, не допускающие возникновения угроз на объекте и пресекающие их в момент возникновения. На объекте должно быть обеспечено маневрирование силами и средствами обеспечения безопасности, использование нестандартных мер защиты.

55


Менеджемент информационной безопасности

УДК 004.056

Рис. 1. Классификация основных направлений обеспечения комплексной безопасности объекта информатизации

56

Вопросы кибербезопасности №1(25) - 2018


Математическое моделирование обеспечения комплексной безопасности... Целенаправленность. Реализация мер обеспечения безопасности, направленных на защиту объекта информатизации кредитно-финансовой сферы от конкретных, наиболее вероятных угроз его безопасности, способных причинить наибольший ущерб. Универсальность. Использование таких мер, которые способны защитить объект от наибольшего количества наиболее вероятных и опасных угроз его безопасности. Надежность. Обеспечивается использование таких мер безопасности, которые способны обеспечить максимально возможное (эффективное) противодействие дестабилизирующим факторам (угрозам); Законность. Предполагает разработку системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы на основе федерального законодательства и других действующих нормативных актов в области обеспечения безопасности. Необходима гармонизация норм, требований и правил обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы с нормами безопасности Российской Федерации и международными нормами. Обеспечение баланса интересов общества, государства, хозяйствующих объектов, потребителей при обеспечении комплексной безопасности объекта информатизации кредитно-финансовой сферы. Обоснованность. Предлагаемые меры и средства защиты объекта информатизации кредитнофинансовой сферы должны реализовываться в соответствии с современным уровнем развития науки и техники, быть обоснованными с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам. Экономическая целесообразность. Обеспечивается сопоставимостью возможного ущерба и затрат на обеспечение безопасности. Необходимо руководствоваться критерием эффективность стоимость. Специализация. Предполагает привлечение к разработке, внедрению мер и средств защиты на объектах информатизации кредитно-финансовой сферы специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами. Вопросы кибербезопасности №1(25) - 2018

Взаимодействие и координация. Предполагает осуществление мер обеспечения безопасности на основе четкого взаимодействия всех заинтересованных подразделений и служб объекта, сторонних специализированных организаций в этой области, а также интеграцию с правоохранительными органами и органами государственного управления. Централизация управления. Предполагает самостоятельное функционирование подсистем безопасности объекта информатизации кредитно-финансовой сферы по единым организационным, функциональным и методологическим принципам с централизованным управлением деятельностью всей системы обеспечения комплексной безопасности. Совершенствование. Предусматривает постоянное совершенствование методов, мер и средств обеспечения безопасности объектов на основе собственного опыта, научных достижений, нормативно-технических требований, накопленного отечественного и зарубежного опыта. Планирование. Предполагает рациональное распределение ресурсов в процессе обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы. Ответственность должностных лиц за выполнение конкретных мер по обеспечению комплексной безопасности объекта информатизации кредитно-финансовой сферы. Приоритет в обеспечении комплексной безопасности объекта информатизации кредитнофинансовой сферы должен отдаваться охране жизни и здоровья людей, защите конфиденциальной информации. Таким образом, при проектировании системы обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, необходимо провести выбор направлений и принципов ее реализации. Эти же направления и принципы необходимо заложить в концепцию обеспечения комплексной безопасности объекта информатизации кредитно-финансовой сферы, которая служит основой создания системы обеспечения комплексной безопасности. 2. Использование тории вероятностей для математического моделирования уровня комплексной безопасности объектов информатизации кредитно-финансовой сферы Существует два варианта создания системы информационной безопасности объектов кредитнофинансовой сферы:

57


Менеджемент информационной безопасности

УДК 004.056

7. Экспертные оценки влияния мер на этапе 1. Объект информатизации только создается – система информационной безопасности форми- ликвидации последствий от реализации угроз. Процесс математического моделирования оберуется «с нуля». 2. Объект информатизации уже функционирует спечения комплексной безопасности объекта кре– система информационной безопасности имеет- дитно-финансовой сферы включает шесть этапов. На первом этапе необходимо определить едися, требуется повысить ее уровень за счет оптиминый динамический коэффициент возникновения зации мер защиты. Для специалистов, работающих в области обе- угрозы. Единый динамический коэффициент возспечения информационной безопасности, проще никновения угрозы - учитывает динамику статисоздавать систему «с нуля» поскольку на первом стического значения, само статистическое значеэтапе исключается анализ существующей систе- ние и вероятность возникновения данной угрозы, мы безопасности. Но, к сожалению, чаще всего полученное экспертным путем. Обозначим его как встречается второй вариант, когда руководители P* ∈ [0 ;1]. объекта информатизации не уделяют должного Введем Введемследующие следующиеобозначения: обозначения: внимания безопасности до тех пор, пока не слуВведем следующие обозначения:вероятность статистическая вероятностьвозникн PСТАТ  0 ;1 –– статистическая чается какое-либо чрезвычайное происшествие Введем следующие обозначения:вероятность возникн – статистическая   P  0 ; 1 возникновения угрозы; СТАТ PЭКСП  0 ;1 – экспертная оценка вероятности возни с серьезными последствиями. Тогда он готов на следующие статистическая вероятность возникн PСТАТ  00;;11–––экспертная Введем обозначения: оценка вероятности возни P  экспертная оценка вероятноn ЭКСП – статистическая вероятность возникновения у любые затраты, лишь бы этого не повторилось. P СТАТ – статистическая вероятность возникновения угроз 0 ;1Введем возникновения PСТАТ  сти – экспертная оценка вероятности возни   P  0 ; 1 n угрозы; ЭКСП – статистическая вероятность возникновения у P следующие обозначения: Самое сложное в данной ситуации найти квалиn–СТАТ 1991,1992 оценка , ... , 2017вероятности год. nэкспертная возникновения угр PЭКСП  0 ;1PP – статистическая вероятность возникновения у – статистическая вероятность возник– статистическая вероятность возникновения  0 ;1 , ... , 2017 год. СТАТ фицированных специалистов, которые смогли бы nСТАТ 1991 - динамическая составляющая.   0 ;1,1992 n угрозы за n го –заэкспертная оценка вероятности возникновен новения гдевозникновения динамическая P ;-1вероятность nЭКСП 1991 ,n...год, , 2017 год. грамотно провести анализ существующейPсистеСТАТ – статистическая составляющая. угрозы 0;10,1992 Тогда: n nPТогда: , ... , 2017 год. мы информационной безопасности, выявить –0 ;статистическая вероятность возникновения угрозы n при1991,1992 ,=... ,2017 - год. динамическая составляющая. СТАТ 1991 1,1992 *  P  P P   , ЭКСП СТАТ чины по которым она дала сбой, разработать nТогда: ∈1991 , ... * , 2017 год. составляющая. составляющая. [0 ;1,1992 ] - динамическая ∆  план  0 ;1 - динамическая  P  P P   , ЭКСП СТАТ где: мероприятий по её совершенствованию, Тогда: прове* составляющая. Тогда:   0 ;1 - динамическая  P  P P   n, ЭКСП СТАТ n 1 где: сти оптимизацию затрат и наладить контроль за   *  P PСТАТ Тогда: n  1P n    , СТАТ (1) P  Pгде: n 1 n ЭКСП СТАТ  P P ,   * её эффективным функционированием. PСТАТ PСТАТ  ; СТАТ n n P 1  PСТАТ n   P   , ЭКСП СТАТ  n  PСТАТ  PСТАТ ,  P n 1PСТАТ  ; n PСТАТ  Для решения первой из перечисленных задачгде: где: n 1 n   где: СТАТ   P  P P , n  1 n СТАТ n  1  n СТАТ n1PСТАТnn  PСТАТ;  n 1   n nСТАТ  - проведения анализа состояния системы инфор P P  1 n СТАТ  Pn ,1  СТАТ  СТАТ  n  . P  n;P1PСТАТ n СТАТ , P СТАТ  PСТАТ  P СТАТ n PСТАТ СТАТ мационной безопасности и в целом комплексной n  1  PСТАТ n n, PPСТАТ   PСТАТ ;  .  P n  1 n  P P ,  n  СТАТ  PСТАТ  СТАТ СТАТ n PСТАТ   n  1 nСТАТ   безопасности объектов кредитно-финансовой СТАТ   n PСТАТ  . (2)    P P ,  n  1  СТАТ СТАТ n 1  вероятностей у nn  значения P PСТАТ  возникновения сферы, был разработан специальный математичеn n  1  PСТАТ  P n 1 Используя СТАТ n СТАТ  . PPугроз СТАТ  значимости,у  вероятностей PСТАТ  производится PСТАТ ,  Используя значения возникновения  P , . угроз, ранжирование по СТАТ СТАТ n   n    ский аппарат определения коэффициента уязвиPСТАТ PСТАТ Используя  вероятностей возникновения  значения  угроз производится ранжирование покоторые значимости,   угроз, пределы значимости, то есть уровень угроз, будуу мости объекта информатизации. угроз, производится ранжирование угроз по значимости, Используя значения вероятностей возникновения угроз, пределы значимости, то есть уровень угроз, которые буду Используя значения вероятностей возникновения угроз, строит Цель: Получить функциональную зависимость 2). угроз, производится ранжирование угроз по значимости, а так пределы значимости, то есть уровень угроз, которые Используя значения вероятностей возникнове2). угроз, производится ранжирование угроз по значимости, а такжебуду опр для нахождения численного значения коэффи- 2). пределы значимости, то есть уровень угроз, которые будут расс * ния угроз, строиться спектр угроз, производится пределы значимости, то есть уровень угроз, которые будут рассматрив P* циента уязвимости, оценивающего уровень ком- 2). ранжирование угроз по значимости, а также опре2). P* плексной безопасности объекта кредитно-финанделяются * пределы значимости, то есть уровень PPкоторые совой сферы. * угроз, будут рассматриваться (рис. 2). P Исходные данные: P На этом рисунке выделены максимальный и 1. Статистические вероятности возникновенияPmax минимальный пределы значимости, соответственугроз с учетом региональной компоненты, пери-Pmax ′ и Pmin ′ , следующим образом: max max но: Pmax одом реализации угроз (данные МВД иМЧС РФ). Pmin * P возникно-Pmin  - если Pn ≥ Pmax ′ , то данная угроза Pn* прини2. Экспертные оценки вероятностиmax  Pmin min мается к рассмотрению и имеет наивысший привения угроз.  P min угро- оритет в плане ее предотвращения; 3. Экспертные оценки подверженности 1 P′2 ≥3P* 4> P5′ ,6то данная 7 8 угроза 9 10 -0если Pn* 11 12 зам элементов защиты. min n max 0 1 2 3 4 5 6 7 8 9 10 11 12 0 1 2 к3 рассмотрению 4 5 6 7 и 8имеет 9 средний 10 11 12 … N к 4. Экспертные оценки возможных последствий принимается 0 1 2 3 4Рис.2. 5 Спектр 6 7 угроз. 8 Пределы 9 10 значимо 11 12 и коэффициента ущерба от реализации каждой приоритет; Рис.2. Спектр угроз. Пределы значимо Рис.2. 8Спектр угроз. значимости угр 0 1 2 -3На 4этом*5 рисунке 9 угрозой 10 Пределы 11 *12 … N кол.угро выделены максимальный миним данной если ′ ,7то Pn > P6min угрозы. n можноизначимо Рис.2. Спектр угроз.PПределы Насоответственно: этомрисунке рисунке выделены и миним На этом выделены минимальны и максимальный , следующим образом:  установить  максимальный Pmax Pmin пренебречь совсем, или низкийи при5. Экспертные оценки влияния мер по предот- мости, Рис.2.рисунке СпектрPугроз. Пределы значимости угроз мости, соответственно: и , следующим образом: На этом выделены максимальный и миним  P мости, соответственно: и , следующим образом:   P P * min min оритет. вращению угроз на этапе предупреждения. - если P тоmax данная угроза к  , max  Pmax Pn* принимается n * * мости, соответственно: и , следующим образом:   Pна Pminугроза * после к рассм этом рисунке выделены максимальный иPnэтапе, минимальный предк -- если то данная угроза принимается P , еще PnP* Pmax max Таким образом, начальном если , то данная принимается P 6. Экспертные оценки влияния мер наНаэтапе n n max в плане ее предотвращения; наивысшийPприоритет мости, соответственно: следующим образом:  * и PPmin угроз наивысший в*,,плане ее предотвращения; - еслииприоритет то данная угроза принимается к анализа оценки можно произвести max P Pn* первопресечения угроз. n max наивысший приоритет в плане ее предотвращения; *   P*Pn P Pmax , то*, данная то данная угроза прини - если еслиPP P * * min n  угроза принимается Pкn рассмотрени * в max - если Pнаивысший , топриоритет принимается  если плане min n  P-max  приоритет;  Pn ,ее топредотвращения; данная угроза Pданная  nPугроза Pn* прини min n*  Pmax ии имеет имеет средний средний приоритет; наивысший приоритет в плане предотвращения;  приоритет;  , то данная угроза - если P ееPВопросы Pn* прини кибербезопасности min n  Pmax * - 2018 и имеет средний * * №1(25) 58 * -- если если , то данной угрозой можно прене  P  P P , то даннойугроза угрозой *Pnпринимается пренебречь , то  Pmin n* min  имеет данная к рас - если Pиmin Pn*средний - если PnPPn*max Pn можно приоритет; , то данной угрозой можно прене  P  P n* min новить низкий новить низкийnприоритет. приоритет. * и имеет средний приоритет; - если ,еще то угрозой прене еще Pn можно  Pmin P n приоритет. новить низкий Таким образом, наданной начальном этапе, после анализа ио Таким образом, на начальном этапе, после анали


Используя значения вероятностей возникновения угроз, строиться спектр угроз, производится ранжирование угроз по значимости, а также определяются пределы значимости, то есть уровень обеспечения угроз, которые будут рассматриваться (рис. Математическое моделирование комплексной безопасности... 2).

P*

 Pmax  Pmin 0

1

2

3

4

5

6

7

8

9

10

11

12 … N кол.угроз

Рис.2. Спектр угроз. Пределы значимости угроз Рис.2. Спектр угроз. Пределы значимости угроз

На этом рисунке выделены максимальный и минимальный пределы значимостьобразом: и транспортные средства; начальную фильтрацию угроз, имеющих мости, соответственно: , следующим  и Pmin  серьёзPmax ное значение для данного объекта или предпри- * - информация; - если Pn*  Pmax  , то данная угроза Pn принимается к рассмотрению и имеет - финансовая деятельность (оказание услуг); нимательской деятельности. наивысший приоритет в плане ее предотвращения; - элементы экономическая деятельность; Наэтапе втором этапе необходимо определить защиты объекта инфорНа втором необходимо определить эле информатизации  , дел, тооргана данная угроза к угроз, рассмотрению Pmin Pn*  Pmax внутренних органа подверженные воздействиям также - юридическая деятельность; Pn* принимается ментыматизации защиты- если объекта определить коэффициент уязвимости объекта и построить гистограмму уязвимоинновационная деятельность. внутренних дел, подверженные воздействиям и имеет средний приоритет; объекта органа внутренних дел. пренебречь как и для вероятностей угроз, сти также определить уязвимо- еслиинформатизации угрозой можно совсем, или уста-возникно , то данной Pn* Аналогично, Pn*  коэффициент Pmin уязвимостью будем уязвимости понимать свойство элемента защиты быть подвервения угроз вводятся пределы значимости уязвисти объекта и построить гистограмму На Под втором этапе необходимо определить элементы защиты объекта инфорновить низкий приоритет. На втором этапе необходимо определить элементы защиты объекта инфорженным воздействию угроз (дестабилизирующим факторам). Количественной которые отображены (рис. 3). объекта информатизации органа внутренних дел. мости, воздействиям матизации органа внутренних дел, подверженные угроз, натакже Таким образом, еще на коэффициент начальном этапе, после анализа и оценки угроз можматизации органа внутренних дел, подверженные воздействиям угроз, также уязвимости уязвимости, который обозначается На третьем этапе необходимо определить поопределить коэффициент уязвимости объекта и построить гистограмму уязвимоПодоценкой уязвимостью будемявляется понимать свойство но коэффициент произвести первоначальную фильтрацию угроз,гистограмму имеющих серьёзное значение определить уязвимости объекта и построить уязвимостикак объекта информатизации органа внутренних дел. следствия угроз и провести расчет коэффициенэлемента защиты подверженным воздейKÓßÇÂm  быть  0,1 , где – количество элементов защиты. m 1, L дляинформатизации данного объекта органа илипредпринимательской деятельности. сти объекта внутренних дел. ПодОпределяется уязвимостью будем понимать свойство элемента защиты быть подвер- органа внута ущерба объекта информатизации ствию угроз (дестабилизирующим факторам). величина KÓßÇÂm экспертным путем. Под уязвимостью будем понимать свойство элемента защиты быть подверженным воздействию угроз (дестабилизирующим факторам). Количественной тренних дел. Количественной оценкой уязвимости является Гистограмм уязвимости строиться по каждому элементу защиты. Рассматженным воздействию угроз (дестабилизирующим факторам). Количественной оценкой уязвимости является коэффициент обозначается В случаях,который когда угроза реализуется, то есть коэффициент уязвимости, который обозначает- уязвимости, риваются следующие элементы защиты: оценкой уязвимости, который наступает та или обозначается иная чрезвычайная ситуация ся как Kуязвимости где m = количество  0,1 ,является количество элементов защиты. коэффициент 1, L ––посетители; ÓßÇÂm персонал организации, как KÓßÇÂm защиты.  0,1 , где m  1, L – количество элементов защиты. организации: грабеж, убийство, в деятельности элементов Определяется величина KÓßÇÂmвключая экспертным путем. и транспортные средства; - материальные ценности, недвижимость кража важной информации, несанкционироОпределяется величина экспертным путем. Определяется величина KÓßÇÂm экспертным информация; Гистограмм уязвимости строиться по каждому элементу защиты. Рассматванный доступ к конфиденциальным данным путем. Гистограмм уязвимости строиться по каждому элементу защиты. Рассмат- следующие финансовая деятельность (оказание услуг); риваются элементы защиты: Гистограмм уязвимости строиться по каждому и т.п., следует рассматривать последствия от риваются элементы защиты: - экономическая деятельность; -следующие персонал организации, посетители; элементу защиты. Рассматриваются следующие реализации угроз, то есть моральные, матери- персонал организации, посетители; - юридическая деятельность; - материальные ценности, включая недвижимость и транспортные средства; альные, физические,средства; информационные и другие элементы защиты: - материальные ценности, включая недвижимость и транспортные - инновационная деятельность. - информация; потери, который несет объектпределы кредитно-финан- персонал организации, посетители; - информация; Аналогично, как и для вероятностей возникновения угроз вводятся - финансовая деятельность (оказание услуг); совой сферы. - -материальные ценности, включая недвижифинансовая (оказание услуг); значимости деятельность уязвимости, которые отображены на (рис. 3).

- экономическая деятельность; - экономическая деятельность; - юридическая деятельность; - юридическая деятельность; - инновационная деятельность. - инновационная деятельность. U Аналогично, как и для вероятностей возникновения угроз вводятся пределы Аналогично, как и для которые вероятностей возникновения угроз вводятся пределы значимости уязвимости, отображены на (рис. 3). значимости уязвимости, которые отображены на (рис. 3).

U U max U  U min U  max U max U  min U min

1

2

3

4

5

6 количество элементов

Рис. 3. Гистограмма уязвимости. Пределы значимости уязвимости Рис. 3. Гистограмма уязвимости. Пределы значимости уязвимости элементы защиты объекта информатизации элементы защиты объекта информатизации 1 2 3 4 5 6 количество элементов 1На третьем 2№1(25)этапе 3 необходимо 4 5 6 последствия количество элементов Вопросы кибербезопасности - 2018 определить угроз и провести

расчет коэффициента ущерба объекта Пределы информатизации органа внутренних дел. Рис. 3. Гистограмма уязвимости. значимости уязвимости Рис. Гистограмма уязвимости. Пределы значимости уязвимости элементы защиты объекта информатизации В 3. случаях, когда угроза реализуется, то есть наступает та или иная чрезвы-

59


Менеджемент информационной безопасности

УДК 004.056

Реализацию системы обеспечения информаОцениваются последствия конкретной i угрозы единым безразмерным параметром - коэффи- ционной безопасности, как было представлено циентом ущерба от реализации соответствующей на модели процесса борьбы с противоправными действиями, на защищаемую угрозы, которую торуюобозначаем обозначаем как как KУЩ ij  0,1, где номер рассматриваемой угро- инi  1, N – направленными где i = 1, N – номер рассматриваемой угрозы, формацию можно поделить на три этапа: зы, j  1, M – номер возможного последствия соответствующей угрозы. 1. Этап предупреждения. Время до возникновозможного последствия соотj = 1, M – номер На четвертом этапе проводится определение риска, связи вероятности угровения угрозы: используются превентивные меры ветствующей зыугрозы. с коэффициентом ущерба, определение уровня риска и построение спектра На четвертом этапе проводится определение безопасности, проводится обучение и тренироврисков. ки персонала объекта кредитно-финансовой сфериска, связи вероятности с коэффициенРиск - этоугрозы вероятностная величина, определяемая в условиях возникновения торую обозначаем как рассматриваемой  0безопасности ,1, где i  1, объекта, N – номер ры,Kслужбы внедряются УЩ ij других том ущерба,ущерба, определение уровня риска и построуменьшения прибыли и возникновения возможных предполагаеинженерно-технические средства защиты объекение спектра рисков. – номер возможного последствия соответствующей угрозы. реализации на объекте. j рассматриваемой 1, M угроз обозначаем как KУЩ ij  мых где i в 1случае номер угро0,1, потерь , N –зы, та, такие как охранно-пожарная сигнализация, виРиск - это вероятностная определяПод рискомвеличина, понимается производное выражение от двух величин: вероНа четвертом этапе проводится определение риска, связи вероятности возможного последствия соответствующей угрозы. деонаблюдение, системы уровня контроля и управления 1, M – номеремая в условиях возникновения уменьятности возникновения угрозы и коэффициента ущерба. зы ущерба, с коэффициентом ущерба, определение риска и построение сп доступом и другие. Количественное значение риска называется уровнем риска и обозначается шения прибыли иопределение возникновения других возможа четвертом этапе проводится риска, связи вероятности угрорисков. 2. Этап пресечения. Время реализация угрозы: эффициентомных ущерба, определение уровня риска и построение предполагаемых всоответственно случае реализации , где – номер рассматриваемой угрозы,  1, Nспектра Риск - этоi вероятностная величина, определяемая в условиях возникно R ij  0,1потерь используются меры по пресечению дестабилизиугроз на объекте. ущерба, уменьшения прибыли и возникновения других возможных предпо j  1, M – номер возможного последствия соответствующей угрозы. иск - это вероятностная величина, определяемая в условиях возникновения рующих факторов, как правило, это меры операПод риском понимается производное вырамых потерь в случае реализации угроз на объекте. уменьшения жение прибыли и возникновения других R возможных (3)от двух величин: риском Pi*  Kпредполагаетивного реагирования. Под понимается производное выражение от двух величин: вероятности ijвозникноУЩ ij терь в случае реализации угроз на объекте. ятности возникновения угрозы и коэффициента ущерба. 3. Этап ликвидации Время повения угрозы и коэффициента ущерба. После получения количественного значения уровней рискапоследствий. строиться спектр од риском понимается производное выражение от двух величин: вероКоличественное значение риска называется уровнем риска и обознач сле реализации угрозы: осуществляется операКоличественное значение риска называется рисков для элементов защиты объекта кредитно-финансовой сферы. Определяютти возникновения угрозы и коэффициента ущерба. где – номер рассматриваемой уг тивные действия следам», i  «по N горячим 0,1 ,, где со-соответственно уровнем риска и обозначается ся уровни значений,Rпо каждый риск соотносят с1,лингвистическими пе-провоij которым оличественноеответственно значение риска называется уровнем риска и обозначается дятся аварийно-спасательные работы, используременными, опасно, достаточно опасно, и соответствующей тому подобное, есномерочень рассматриваемой i = 1, N – типа: возможного последствия угрозы. j  рассматриваемой 1,опасно, M – номер – номер угрозы,  1 , N ,1 , где соответственно рисков проводится экспертами. ются оперативные планы выхода из кризисных – номер возможного последугрозы, j =ли1i,оценка M (3 R ij допустимого  подключаются Pi*  KУЩ ij(приемлемого) Это делается ситуаций, резервныериска. источники последствия соответствующей угрозы. пределов ствия соответствующей угрозы. для определения M – номер возможного Под которых сохраняют работоспособность электропитания, восстанавливается Послепоследствия получения количественного значения уровнейпотерянная риска строиться с * ним понимаются угрозы, (3) R ij  Pобъекта (3) и не приводят i  KУЩ кредитно-финансовой ij рисков для сферы к серьезным потерям. элементов защиты объекта информация и т.п. кредитно-финансовой сферы. Опреде Назначения четвертом проводится оценка организационных и технических осле получения количественного уровней риска строиться спектр ся этапе уровни значений, по которым каждый соотносят с лингвистическим Учитывается то, чториск каждое мероприятие моПосле получения количественного значения мероприятий по защите информации, расчет весовых коэффициентов защитных для элементовуровней защитыриска объекта кредитно-финансовой сферы. Определяютременными, типа: очень опасно, опасно, достаточно опасно, и тому строиться спектр рисков для эле- жет воздействовать не только на одну конкрет-подобно мероприятий, этапы ихпроводится проведения. ни значений, по которым каждый рископределяются соотносят с лингвистическими пе-экспертами. ли оценка рисков ную угрозу, а также то, что каждую угрозу может ментов защиты объекта кредитно-финансовой Противодействие угрозам, как уже было отмечено ранее, допустимого осуществляется ыми, типа: очень опасно, опасно, достаточно опасно, иделается тому подобное, есЭто для определения пределов (приемлемого) р набор мероприятий. сферы. Определяются уровни значений, по кото- блокировать только комплексом организационных и технических мероприятий. Ккоторых ним относятся все работоспособ ка рисков проводится экспертами. Под ним понимаются угрозы, последствия сохраняют Также учитывается, что каждое мероприятие рым каждый риск соотносят с лингвистическими действия объекта кредитно-финансовой на предупреждео делается для определения пределов допустимого (приемлемого)сферы, риска. направленные объекта кредитно-финансовой сферы ипреимущества не приводят к на серьезным потерям. имеет различные конкретном очень опасно, опасно, работоспособность достание,типа: пресечение и ликвидацию последствий различного рода угроз. м понимаютсяпеременными, угрозы, последствия которых сохраняют На четвертом этапе проводится оценка организационных и технич например, охранная сигнализация точно опасно, и тому подобное, оценка ри- этапе, системы обеспечения информационной было игракредитно-финансовой сферы иРеализацию не приводят к если серьезным потерям. мероприятий по защите информации, безопасности, расчет весовыхкак коэффициентов защи ет важную роль как средство обнаружения и сков проводится экспертами. представлено модели процесса борьбы с противоправными действиями, а четвертом этапе проводится оценканаорганизационных и технических мероприятий, определяются этапы их проведения. имеет принципиального значения при ликделается для определения пределов до- не направленными на защищаемую информацию можно поделить на три этапа: ранее, иятий по защитеЭто информации, расчет весовых коэффициентов защитных Противодействие угрозам, как уже было отмечено осуществл видации последствий, если кража информации пустимого (приемлемого) риска. Под ним понимаЭтап предупреждения. Время до возникновения угрозы: используются иятий, определяются этапы их 1. проведения. комплексом организационных и технических мероприятий. К ним относят уже совершена. каждое мероприятие ются угрозы,превентивные последствия сохраняют рамеры безопасности, проводится обучениеПоэтому и тренировки персонала ротиводействие угрозам, как уже былокоторых отмечено ранее, осуществляется действия объекта кредитно-финансовой сферы, направленные на предупр ботоспособность объекта кредитно-финансовой представляется вектором с весовыми кредитно-финансовой сферы, службы безопасности объекта, внедряются ксом организационных иобъекта технических мероприятий. К ним относятся все ние, пресечение и ликвидацию последствий различного родакоэффиугроз. инженерно-технические средства объекта, такие по как охранно-пожарная я объекта кредитно-финансовой сферы, направленные назащиты предупреждесферы и не приводят к серьезным потерям. циентами вклада блокированию угроз на Реализацию системы обеспечения информационной безопасности, как сигнализация, видеонаблюдение, системы контроля и управления и друесечение и ликвидацию последствий рода угроз. На четвертом этаперазличного проводится оценка оргакаждом этапе. представлено на модели процесса борьбы доступом с противоправными действ гие. ализацию системы обеспечения информационной безопасности, как низационных и технических мероприятий по заНабыло пятом информацию этапе необходимо направленными на защищаемую можно определить поделить накотри этапа: 2. Этап пресечения. Время реализация угрозы: используются меры по превлено на модели процесса борьбы противоправными действиями, 1. Этап предупреждения. Время до объекта возникновения угрозы: использ щите информации, расчет свесовых коэффициенэффициент уязвимости информатизации сечению дестабилизирующих как правило, это меры оперативного енными на защищаемую информацию можно поделить факторов, на три этапа: превентивные меры безопасности, проводится обучение иреатренировки перс тов защитных мероприятий, определяются этапы кредитно-финансовой сферы. гирования. Этап предупреждения. Время до возникновения угрозы: используются объекта кредитно-финансовой службы безопасности их проведения. Принципсферы, формирования составляющихобъекта, коэф- внедр 3. Этап ликвидации последствий. Время после реализации угрозы: осуивные меры безопасности, проводится обучение и тренировки персонала инженерно-технические средства защиты объекта, такие как охранно-пож Противодействие угрозам, как уже было от- фициента уязвимости объекта информатизации ществляется оперативные действия «по горячим следам», проводятся аварийнокредитно-финансовой сферы, службы безопасности объекта, внедряются сигнализация, видеонаблюдение, системы контроля и управления доступом мечено ранее, осуществляется комплексом орга- приведен на (рис. 4). спасательные работы, используются оперативные планы выхода из кризисных сирно-технические средства защиты объекта, такие как охранно-пожарная гие. низационных и технических мероприятий. К ним Коэффициент уязвимости объекта инфоррезервные источники электропитания, зация, видеонаблюдение,туаций, системыподключаются контроля и управления и дру2. Этап доступом пресечения. Времякредитно-финансовой реализациявосстанавливается угрозы: используются меры п относятся все действия объекта кредитно-финанматизации сферы - это потерянная информация и т.п. сечению дестабилизирующих факторов, как правило, это меры оперативног совой сферы, направленные на предупреждение, количественная оценка уровня безопасности Этап пресечения. Время реализация угрозы: используются меры по прегирования. пресечение и ликвидацию последствий различнообъекта защиты на исследуемый момент времени ю дестабилизирующих факторов, как правило, это3.меры оперативного Этап ликвидацииреапоследствий. Время после реализации угрозы го рода угроз. в конкретных условиях его функционирования. ия. ществляется оперативные действия «по горячим следам», проводятся авар Этап ликвидации последствий. Время после реализации угрозы: осуспасательные работы, используются оперативные планы выхода из кризисны яется оперативные действия «по горячим следам», аварийнотуаций, проводятся подключаются резервные источники электропитания, Вопросы кибербезопасности №1(25)восстанавлив - 2018 60 льные работы, используются оперативные планы выходаинформация из кризисных сипотерянная и т.п. подключаются резервные источники электропитания, восстанавливается ная информация и т.п.


Математическое моделирование обеспечения комплексной безопасности...

Рис. 4. Принцип формирования составляющих коэффициента уязвимости объекта информатизации кредитно-финансовой сферы . Принцип формирования составляющих коэффициента сти объекта информатизации сферы ффициент уязвимости кредитно-финансовой объекта информатизации кредитно-

ой сферы - это количественная оценка уровня безопасности объекта за- коэффициента Рис. 4. Принцип формирования составляющих нт уязвимости информатизации кредитноисследуемый момент объекта времени в конкретных условиях его функционироуязвимости объекта информатизации кредитно-финансовой сферы ы - это количественная оценка уровня безопасности объекта замый момент времени в конкретных условиях его функциониромости объекта Значение коэффициента уязвимости будет расение коэффициента уязвимости будет рассчитываться следующим обра- информатизации. Если формулу (6) перевернуть «кверху ногами» то мы можем полусчитываться следующим образом: N эффициента уязвимости будет рассчитываться следующим чить обра-численное значение коэффициента защи(4) объекта информатизации, поскольку KÓßÇ   KÓßÇÂi   i ,, (4) щенности i  1 N уязвимость объекта информатизации есть вели– iкоэффициент уязвимости , где KÓßÇÂi уязвимости – коэффициент по i-ой угрозе; по i-ой (4) KÓßÇÂKi ÓßÇ  чина обратная его защищенности. i 1 угрозе; – весовой коэффициент угрозы по ее максимальному коэффициенту Кроме того, следует отметить возможность данкоэффициент по i-ой угрозе; – весовой коэффициент угрозы по ее максиβ i уязвимости ного математического подхода для оценки уровня пределяется как: мальному коэффициенту определяется как: ой коэффициент угрозы по ееущерба, максимальному коэффициенту комплексной безопасности объекта информатиM M ется как: M зации, поскольку при оценке вероятности угроз M K KУЩij K  УЩij безопасности могут выбираться все возможные  УЩijj KУЩij j (5) (5) безопасности, j   . (5)  i   i M которые напрямую могут (5) угрозы i . j M. (5)  i M . M K быть не связаны с информационной безопасноmax  KУЩij max Kmax УЩij УЩij  Kmax j стью объекта, но в случае их реализации могут  УЩij j j j Значения коэффициента уязвимости объекта информатизации по i-ой угрозеуровень информационной значительно снизить коэффициента уязвимости объекта информатизации по угрозе i-ой угрозе ия Значения коэффициента уязвимости объекта информатизации Значения коэффициента уязвимости объектаинформатизации ин-по i-ой Значения коэффициента уязвимости объекта по i-ой угрозе будет определяться: безопасности. Опять же если мы оцениваем полдет определяться: еляться: форматизации по i-ой угрозе будет определяться: будет определяться: ный перечень возможных угроз, то и перечень выM  K ij  PÑÒÀÒ M i  i  PÝÊÑÏ i  бранных для их нейтрализации мер безопасности    K P P  M Mij  ÑÒÀÒ i  P i ÝÊÑÏ i , (6) KÓßÇ KÝÊÑÏ  ij  iP ÑÒÀÒ i i P i ÑÒÀÒi   i  PÝÊÑÏ ,i  (6) ij KÓßÇÂi K , (6)   K   K   K , (6) KÓßÇÂi   позволит обеспечить комплексную безопасность (6) j 1  Kj ÓßÇ  1ij  M 1ijK 2ij K3Mij 2Kij M3ij3ij KM 3ij , 1  1i ij K M M 2 ij 1ij  2 ij j 1  1ij K M 1ij   2j ij 1 K ij M1ij 3ij K2M ij 3ij M 2 ij M 3ij объекта информатизации. 1Mij 2K 3ij В заключении полезность использования j-го мероприятия на со- сказать, что в настоящее использоK M 1ij, K , K M 2ij-, полезность K M 3ij - полезность где: K Mгде: использования j-го мероприятия на со- следует 1ij , KK M 2ij- полезность M 3ij , K использования где: полезность использования j-го мероприятия напрограммный со, K j-го мероприятия на со, K , K время разработан продукт, позвоij 1,2Mили 2ij 3 этапах M 3ijна блокировки соответствующих 1,2 M 1ij ответствующих Mвания 2ij Mj-го 3ijM 1мероприятия i-ой угрозы; ветствующих 1,2 или 3 этапах блокировки i-ой угрозы; в автоматизированном режиме провоответствующих 1,2 или 3 этапах i-ой угрозы; ляющий или33 этапах этапах блокировки i-ой угрозы; - весовые коэффициенты j-го мероприятия на щих 1,2 или i-ойблокировки угрозы; 1ij ,  ij ,  3ijблокировки - 2весовые коэффициенты степени степени влияниявлияния j-го мероприятия на 1ij ,  2ij ,  3ij ,  ,  весовые коэффициенты степени влияния j-го мероприятия на дить экспертные опросы, с использованием мате весовые коэффициенты степени - весовые степени влияния j-го мероприятия на 1ij 2коэффициенты ij 3ij этапах блокировки i-ой угрозы. j ,  3ij соответствующих ответствующих этапах блокировки i-ой угрозы. матического аппарата влияния j-го значения мероприятия на соответствующих соответствующих этапах i-ой угрозы. Численные составляющих коэффициента уязвимости объекта ин-обрабатывать результаты, ющих этапах блокировки i-ойблокировки угрозы. Численные значения составляющих коэффициента уязвимости объекта инвыводить их в виде таблиц и графиков. И в конечэтапах блокировки i-ой угрозы. Численные значения составляющих коэффициента уязвимости объекта информатизации определяются с помощью математической обработки нные значения составляющих коэффициента уязвимости объекта ин- статистичеорматизации определяются с помощью математической обработки статистиченом результате определять, как существующий форматизации определяются с помощью математической обработки статистичеЧисленные значения составляющих коэффициских и данных испроведенных экспертных опросов. их данных проведенных экспертных опросов. ии определяются помощью математической обработки статистических данных и проведенных опросов.опре- уровень информационной безопасности объекта, ента уязвимости объектаэкспертных информатизации х и проведенных экспертных опросов. Выводы. деляются с помощью математической обработки так и прогнозируемый при реализации дополниВыводы.Выводы. Представленный математический аппарат позволяет получить количествентельных мер безопасности. Применение данного статистических данных и проведенных экспертматематический аппарат аппарат позволяет получить количествены. Представленный Представленный математический позволяет получить количественную оценку как существующего, так и прогнозируемого уровня уязвимости объ- на целом ряде объектов программного ныхматематический опросов. ю оценку существующего, так и прогнозируемого уровня уязвимости объ-продукта тавленный аппарат позволяет получить количественную как оценку как существующего, так (6) и прогнозируемого уровня уязвимости объекта информатизации. Если формулу перевернуть «кверху ногами» то мы мо- эффективный подход к позволило та информатизации. (6) перевернуть «кверху ногами» то мы обеспечить моВыводы Если как существующего, такформулу иЕсли прогнозируемого уровня уязвимости объекта получить информатизации. формулу (6) перевернуть «кверху ногами» то информы можем численное значение коэффициента защищенности объекта надежной системы информационной ем получить численное значение коэффициента защищенности объекта объекта инфорПредставленный математический аппарат по- созданию жем получить численное значение коэффициента защищенности информатизации. Если поскольку формулу (6) перевернуть «кверху ногами» тоесть мы величина моматизации, уязвимость объекта информатизации обраттизации, поскольку уязвимость объекта информатизации есть величина обратбезопасности способной зволяет получить количественную оценку как суматизации, поскольку уязвимость объекта информатизации величина обрат- противостоять всем возть численное значение коэффициента защищенности объектаесть инфорная его защищенности. я его защищенности. можным рискам. поди прогнозируемого уровня уязвинаяществующего, его защищенности. Кроме того,так следует отметить возможность данного математического поскольку уязвимость объекта информатизации есть величина обратКроме того, следует отметить возможность данного математического подКроме того,уровня следует отметить возможность данного математического поддля оценки комплексной безопасности объекта информатизации, поищенности. да дляхода оценки уровня комплексной безопасности объекта информатизации, похода для оценки уровня комплексной безопасности объекта информатизации, поскольку при оценке вероятности угроз безопасности могут выбираться все возтого, следует отметить возможность данного математического подВопросы кибербезопасности №1(25) ольку скольку при оценке вероятности угроз- 2018 безопасности могут выбираться все воз- все воз61 при оценке вероятности угроз безопасности могут выбираться можные угрозы безопасности, напрямую могут непосвязаны енки уровня безопасности объекта информатизации, ожные угрозыкомплексной безопасности, которыекоторые напрямую могут быть небыть связаны с ин- сс инможные угрозы безопасности, которые напрямую могут быть не связаны информационной безопасностью объекта, но в их случае их реализации могут значиоценке вероятности угрозобъекта, безопасности могут выбираться все возормационной безопасностью но в случае реализации могут значи-

формационной безопасностью объекта, нобезопасности. в случае их Опять реализации могут значительно снизить уровень информационной же если мы оцени-


Менеджемент информационной безопасности

УДК 004.056

Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор МГТУ им. Н.Э. Баумана, Москва, Россия. E-mail: a.markov@npo-echelon.ru Литература 1. Аверченков В.И., Рытов М.Ю. Организационная защита информации: учеб. пособие для вузов. Брянск: БГТУ, 2009. 2. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Колдуев Н.А. Обеспечение информационной безопасности бизнеса / 2-е издание перераб. и доп. М.: Альпина Паблишерз, 2011. 265 с. 3. Гафнер В.В. Информационная безопасность: учебное пособие. – Ростов н/Д: Феникс, 2010. 324 с. 4. Лапин В.В. Основы информационной безопасности органов внутренних дел [Текст]: учеб. пособие (в вопросах и ответах) / В. В. Лапин; МосУ МВД России. - М.: МосУ МВД России, 2012. 5. Козьминых С.И. Методологические основы обеспечения комплексной безопасности объекта, фирмы, предпринимательской деятельности. Монография. М-во внутренних дел Российской Федерации, Московский ун-т. Москва, 2005. 21 С. 6. Козьминых С. И. Организация защиты информации в российской полиции. Учебное пособие. М.: Юнити-Дана, 2017. 407 с. 7. Барабанов М.В., Денисенцев С.А., Кашин В.Б. и др. Радиоэлектронная борьба. От экспериментов прошлого до решающего фронта будущего. М.: Центр анализа стратегий и технологий, 2015. 248 с. 8. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. 318 С. 9. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. Учебное пособие. М.: «Гелиос АРВ», 2006. 528 С. 10. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие. М.: Форум - ИНФРА-М, 2007. 607 С. 11. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. Учебное пособие. М.: Академия, 2007. 331 С. 12. Шиверский А.А. Защита информации: проблемы теории и практики. М.: Юристъ, 1996. 112 c. 13. Аглицкий И. Состояние и перспективы информационного обеспечения российских банков // Банковские технологии, №1, 1997. С.25-28. 14. Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. - СПБ: Питер, 1997 г. 15. Заратуйченко О.В. Концепции построения и реализации информационных систем в банках // СУБД, №4.1996. 16. Кузнецов В.Е. Измерение финансовых рисков // Банковские технологии, №9. 1997. 76-78 С. 17. Тарасов П.И. Диасофт предлагает комплексные решения для банков // Мир ПК, №5. 1998.

MATHEMATICAL MODELING OF COMPLEX SECURITY OF OBJECTS OF INFORMATION THE CREDIT AND FINANCIAL SPHERE Kozminykh S.I.2 Abstract. This paper presents a methodology for an integrated approach to information security facilities credit and financial sphere. The basic principles of an integrated security information of the object credit and financial sphere. It is noted that the design of the system to provide a comprehensive security information of the object of credit and the financial sector, it is necessary to conduct choice of directions and principles for its implementation.The mathematical modeling of complex security level information of the objects-bank financial sphere using probabilities Torii, whose aim is to obtain a functional relationship to find the numerical value of the coefficient vulnerability evaluating level complex security object-bank financial sphere. The process of mathematical modeling is divided into five stages, as a result of which the components are obtained and the formula of the coefficient vulnerability information of the object which are determined by mathematical statistical data processing and peer poll. As a conclusion is that the developed mathematical formalism 2  Sergey Kozminykh, Dr.Sc. (Technical Sc), Professor University of Finance under the Governments of the Russian Federation, Moscow, Russia. E-mail: SIKozminykh@fa.ru

62

Вопросы кибербезопасности №1(25) - 2018


Математическое моделирование обеспечения комплексной безопасности... allows to obtain a quantitative assessment of both the existing and projected vulnerability information of the object. Also noted the possibility of the mathematical approach to assess a complex object-level security information of the credit and financial sphere. Keywords: an integrated approach to information security, information security threat object credit and financial sphere, the principles of providing comprehensive security information of an object, statistical probability, expert evaluation, a single dynamic coefficient of a threat, damage ratio, coefficient of vulnerability. References 1. Averchenkov V.I., Rytov M.Yu. Organizatsionnaya zashchita informatsii: ucheb. posobie dlya vuzov. Bryansk: BGTU, 2009. 2. Andrianov V.V., Zefirov S.L., Golovanov V.B., Kolduev N.A. Obespechenie informatsionnoy bezopasnosti biznesa / 2-e izdanie pererab. i dop. M.: Al’pina Pablisherz, 2011. 265 P. 3. Gafner V.V. Informatsionnaya bezopasnost’: uchebnoe posobie. – Rostov n/D: Feniks, 2010. 324 P. 4. Lapin V.V. Osnovy informatsionnoy bezopasnosti organov vnutrennikh del [Tekst]: ucheb. posobie (v voprosakh i otvetakh) / V. V. Lapin; MosU MVD Rossii. - M.: MosU MVD Rossii, 2012. 5. Koz’minykh S.I. Metodologicheskie osnovy obespecheniya kompleksnoy bezopasnosti ob’’ekta, firmy, predprinimatel’skoy deyatel’nosti. Monografiya. M-vo vnutrennikh del Rossiyskoy Federatsii, Moskovskiy un-t. Moskva, 2005. 21 P. 6. Koz’minykh S. I. Organizatsiya zashchity informatsii v rossiyskoy politsii. Uchebnoe posobie. M.: Yuniti-Dana, 2017. 407 P. 7. Barabanov M.V., Denisentsev S.A., Kashin V.B. i dr. Radioelektronnaya bor’ba. Ot eksperimentov proshlogo do reshayushchego fronta budushchego. M.: Tsentr analiza strategiy i tekhnologiy, 2015. 248 P. 8. Skiba V.Yu., Kurbatov V.A. Rukovodstvo po zashchite ot vnutrennikh ugroz informatsionnoy bezopasnosti. SPb.: Piter, 2008. 318 P. 9. Tikhonov V.A., Raykh V.V. Informatsionnaya bezopasnost’: kontseptual’nye, pravovye, organizatsionnye i tekhnicheskie aspekty. Uchebnoe posobie. M.: «Gelios ARV», 2006. 528 S. 10. Partyka T.L., Popov I.I. Informatsionnaya bezopasnost’. Uchebnoe posobie. M.: Forum - INFRA-M, 2007. 607 P. 11. Mel’nikov V.P., Kleymenov S.A., Petrakov A.M. Informatsionnaya bezopasnost’ i zashchita informatsii. Uchebnoe posobie. M.: Akademiya, 2007. 331 P. 12. Shiverskiy A.A. Zashchita informatsii: problemy teorii i praktiki. M.: Yurist’’, 1996. 112 P. 13. Aglitskiy I. Sostoyanie i perspektivy informatsionnogo obespecheniya rossiyskikh bankov, Bankovskie tekhnologii, No 1, 1997, pp. 25-28. 14. Abramov A.V. Novoe v finansovoy industrii: informatizatsiya bankovskikh tekhnologiy. - SPB: Piter, 1997. 15. Zaratuychenko O.V. Kontseptsii postroeniya i realizatsii informatsionnykh sistem v bankakh, SUBD, No 4.1996. 16. Kuznetsov V.E. Izmerenie finansovykh riskov // Bankovskie tekhnologii, No 9. 1997, 76-78 pp. 17. Tarasov P.I. Diasoft predlagaet kompleksnye resheniya dlya bankov, Mir PK, No 5. 1998.

Вопросы кибербезопасности №1(25) - 2018

63


МОДЕЛЬ ИНТЕГРИРОВАННОЙ СИСТЕМЫ МЕНЕДЖМЕНТА ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЛОЖНЫХ ОБЪЕКТОВ Лившиц И.И.1, Фаткиева Р.Р.2 Для создания современных систем управления важно обеспечить заданные режимы функционирования и параметры контроля объекта. Проблема принятия решения подразумевает решение ряда задач, в частности, оценку информации о проблемной ситуации в интегрированной системе менеджмента. Предложено формировать модель проблемной ситуации на базе именно интегрированных систем, принимая во внимание современные требования к информационной безопасности. Однако в настоящее время не создано единого подхода к формированию интегрированных систем, что не позволяет в должной мере реализовать безопасное управление сложными промышленными объектами посредством периодической оценки результативности аудитов информационной безопасности. В данном исследовании предпринята попытка анализа систем управления для сложных промышленных объектов с позиции формирования модели проблемной ситуации. Ключевые слова: Система управления, интегрированная система менеджмента; информационная система; информационная безопасность; аудит.

DOI: 10.21681/2311-3456-2018-1-64-71 Список сокращений: ИБ – информационная безопасность; ИТ – информационная технология; КС – кибернетическая система; ЛПР – лицо, принимающее решение;

Введение При создании современных систем управления (СУ) представляется важным обеспечение не только заданных технологических режимов сложных промышленных объектов  (СлПО), но и достижение определенной цели  безопасного функционирования информационных систем (ИС) в составе конкретных СлПО. Применительно к специфике функционирования СлПО, особое актуальное значение приобретает обеспечение информационной безопасности  (ИБ). Расширение термина ИБ (не только «классическая триада»: конфиденциальность, целостность и доступность (см. ISO/IEC 27001), нашло свое практическое применение и в иных документах (IEC 61508, IEC 61511). Обеспечение ИБ (security) предлагается трактовать как компонент более общей задачи – обеспечение функциональной безопасности (ФБ, safety) для СлПО (IEC 61508, п. 3.1.11). Обзор существующих методик При изучении проблемы принятия решения при формировании СУ для СлПО применяются различные методики, в том числе: исследование модели проблемной ситуации и учет различных

СлПО – сложный промышленный объект; СУ – система управления; ТС – техническая система; ФБ – функциональная безопасность.

компонент (внутренних и внешних подсистем). Эти методики описаны в работах [1 – 5] и ряда зарубежных ученых [6, 7]. В работе [1] отмечается «хаотическая динамика» и междисциплинарная природа сложных технических систем (ТС). Общий анализ условий безопасного функционирования СлПО представлен в работе [2]. В работе [3] отмечается, что «мониторинг, прогнозирование и управление СлО на практике автоматизировано лишь частично». В работе [8] представлен тезис, что «в процессе объединения отдельных наук актуальны вопросы создания критериев комплексной оценки при проявлении кризисов различного рода (катаклизмов)», и есть основание выбрать одну из основных целей создания современных СУ как раз противодействие таким «кризисам». Применимые требования В данной работе применяется расширенный «классический» термин ИБ для свойств обеспечения безопасного функционирования СлПО. Для решения проблемы обеспечения ИБ в СУ для СлПО, как проблемы выбора лиц, принимающих решения (ЛПР), необходимо представить ее в виде

1  Лившиц Илья Иосифович, кандидат технических наук, Университет ИТМО, г. Санкт-Петербург, livshitz.il@yandex.ru 2  Фаткиева Роза Равильевна, кандидат технических наук, доцент, СПИИРАН, г. Санкт-Петербург, rrf@iias.spb.su

64

Вопросы кибербезопасности №1(25) - 2018


Модель интегрированной системы менеджмента ... ряда задач и сформировать модель проблемной ситуации (в нотации, представленной в [15]). В IEC 61508 отмечается: «компьютерные системы…, во все более увеличивающихся объемах используются для выполнения функций обеспечения безопасности» (IEC 61508 п. 1.2, а) и/или «требует рассмотрения злонамеренных и непредусмотренных действий во время анализа отказов и рисков» (IEC 61508 п. 1.2 k). В стандарте IEC 61511 отмечено, что «в большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. При необходимости он может быть дополнен системами защиты или системами, с помощью которых достигается любой установленный остаточный риск» (IEC 61511, п. 1.2. e). Под открытой системой понимается СУ СлПО, в состав которой входят ИС, для которых необходимо обеспечение ИБ, в том числе, обеспечение ФБ (в терминах 8, 9]). В справочнике по эффективности ТС показано, что ТС со слабо предсказуемым поведением относят к сложным, и именно данный тип ТС обладает важным признаком – способностью принимать решения, что особо актуально для области ИТ. Также отмечается, что для достижения поставленной цели следует применять классическое значение операции, точнее, вовлечение средств (систем), непосредственно взаимодействующих с «активными средствами». К таким «активным средствам» операции относят как ТС, так и ресурсы, в том числе и информационные. Эти средства могут объединяться в подсистемы, образуя новые управляющие контура обратной связи, в частности – аудит ИБ. В эту гипотезу хорошо укладывается и предложение включать в состав таких управляющих подсистем «распорядительные центры» (в нотации [15, стр. 12]). Постановка задачи Для выбора объектов, подлежащих дальнейшему рассмотрению, из множества имеющихся, ЛПР руководствуется своей системой предпочтений, которая базируется на измерениях (формальных контрольных процедурах). Обозначим (в нотации [15]): U – множество стратегий ЛПР; A – множество значений определенных и неопределенных факторов; G – множество исходов операции; Y – вектор характеристик исхода g ∈ G (числовое выражение результаты операции); W – показатель эффективности; Ψ – оператор соответствия «результат – показатель»; К – критерий эффективности; Вопросы кибербезопасности №1(25) - 2018

Н – модель соответствия множеств: H: U × A → Y (G) Ω – модель предпочтений ЛПР на элементах множества: D = {U, A, G, Y, W, K}, θ – общая информация о проблемной ситуации. Тогда модель проблемной ситуации описывается в нотации [15] как: 〈 U, A, Н, G, Y, Ψ, W, K, Ω, θ 〉

(1)

Для решения проблемы принятия решения ЛПР требуется определить состав общей информации о проблемной ситуации (θ), как важнейший элемент формирования оперативных и эффективных управленческих решений, основанных на объективных достоверных данных. В качестве ограничений рассматриваются сроки ожидания ЛПР, допустимые затраты. Оценка общей информации о проблемной ситуации Современный этап развития теории управления и, соответственно, синтез СУ, включает в себя не только моделирование физических аспектов функционирования систем обеспечения ИБ (насколько это необходимо для создания адекватной модели), но и учет экономических факторов. Вторая (экономическая) часть СУ необходима для учета внешних аспектов любой открытой системы («issues» - в терминах ISO/IEC 27001, ISO 19011) и разнородной структуры требований. Влияние указанных аспектов позволяет осуществить учет разнородной структуры требований безопасности, на базе которых формируется новая информация о проблемной ситуации θN. Обладая актуальной θN, ЛПР последовательно формирует компоненты (1), в частности: подмножества UN (UN ∈ U) и AN (AN ∈ A). Аналогично выбираются характеристики YN для исходов GN и устанавливается HN как HN: UN × AN → YN (GN). Далее с учетом YN формируется ΨN как ΨN: { UN × AN → YN (GN) } → WN. Отметим, что в работе [4] дано уточнение: «под средой понимается не физическое окружение объектов, а абстрактная модель совокупности факторов, о которых у нас нет достоверной информации» и далее: «если неопределенные факторы удается описать в виде случайных величин… с известной функцией распределения, то говорят, что возмущающие действия статистически распределены». На основании этого базового требования представляется возможным формировать объективную информацию о проблемной ситуации.

65


Менеджмент информационной безопасности Формирование общей модели объекта Построение обобщенной модели СУ начинается с построения модели объекта управления (в данном конкретном случае объектом управления является СлПО) и затем – формирования начальных условий, которые определяют состояния объекта управления в дискретные моменты времени (t1, …, tk). Различные состояния возможно отследить, начиная от начального состояния СУ для СлПО  Z1, и далее под воздействием условий к состоянию ∆Z1. Состояния СУ предлагается обозначать как Z1, Z2, …, ZK. В рассматриваемой системе каждый компонент под воздействием особых условий («условия принуждения» в терминах [8]) меняет свое состояние: Z1 → Z2. Соответственно, это позволяет предложить общую схему формирования пространства состояний ZK (рис. 1).

Рис. 1. Формирование пространства состояний открытой системы В этой схеме учтены начальное состояние Z1, воздействия («условия принуждения») перехода в последующие состояния (∆Z1) и дискретные моменты времени (t1, …, tk), в которые должна анализироваться новая информация об изменении проблемной ситуации. В работе [15] показано, что модель должна адекватно отображать исследуемые операции с т.з. информационных связей, и рекомендуется рассматривать модель как «кибернетическую систему» (КС). В смысле моделирования КС для целей обеспечения ИБ принципиально важно, что в данном конкретном случае рассматриваются именно «поведенчески неоднозначные систем» («нерефлексные» в нотации [15]).

66

УДК 004.94

Рассмотрим далее пример СлПО и представим более подробное описание параметров модели с учетом обеспечения ФБ. Общая модель объекта Рассмотрим общую модель более сложной системы, которая включает СлПО (как объект управления) и СУ, реализованную на базе ИСМ для СлПО (рис. 2). Для обеспечения ИБ СлПО важно определить размерность пространства состояний модели ИСМ для корректного описания аспектов моделирования СлПО. Предлагается ввести в практику оценки новые параметры на основе указанных выше принципов (например, IEC 615011): . границы оценки ФБ; . ресурсы, необходимые для оценки безопасности; . уровень его сложности; . уровень полноты безопасности; . последствия в случае отказа; . уровень стандартизации проектных решений; . нормативные требования безопасности. Отдельно следует принять во внимание «специализацию» СлПО по отраслям и наличие особых требований IEC 61511, например, «мешающий» (ложный) отказ (п. 3.2.65), участие человека как части системы (п. 3.2.92). Дополнительно отметим непосредственное влияние отраслевых аспектов ФБ на частную задачу, например, защиту ключей или паролей (п. 11.7.1.3), защиту конфигурации логических устройств и обеспечение целостности (п. 11.5.5.5). Некоторые аспекты оценки результативности программ аудитов ИБ для конкретного СлПО описаны в работах [10 – 12]. Предложенная общая модель ИСМ для обеспечения безопасности СлПО (рис. 2) может выступать в качестве новой основной модели, обеспечивая поиск конкретных альтернатив за счет гибких обратных связей (аудитов ИБ). Процесс аудита может предоставлять численные оценки и поддерживать эффективное решение задачи обеспечения безопасности СлПО. В дополнение к определению роли нового блока аудита в составе ИСМ и оценки его воздействия на СлПО (как объект управления) отметим, помимо «классических» требований ИБ, также и требования ФБ (IEC 61508), в частности: . определение требований к периодическому аудиту ФБ, включая частоту проведения аудита, уровень независимости стороны и программу выполнения аудита (п. 6.2.7); . анализ опасностей и рисков, формирование области распространения (п. 7.1.2.2); . определение опасных событий и ситуаций (включая условия возникновения отказов, разумно Вопросы кибербезопасности №1(25) - 2018


Модель интегрированной системы менеджмента ...

Рис. 2. Общая модель ИСМ для обеспечения безопасности СлПО предсказуемое неправильное использование или несанкционированные действия), включая случаи, связанные с человеческим фактором (п. 7.4.2.3). С учетом применения риск-ориентированных стандартов в ИСМ важным представляется гарантирование «замыкания» цикла PDCA при управлении ИБ СлПО и формирование контекста для управления СлПО как «открытой системы» в терминах И. Пригожина [14]. Эффективность операций в СлПО Операция, как процесс функционирования «S0-системы» (в нотации [15]), описывается набором определенных параметров. Отметим, что в состав «S0-системы» входят и ТС и «распорядители». Совокупность конкретных значений этих параметров в фиксированный момент времени, называется «состоянием системы» (рис. 1). Функционирование системы заключается в последовательной смене состояний системы, и этот процесс должен находится под контролем «распорядительного центра» в общем и конкретно – ЛПР. [15, стр. 13]. В каждый момент времени система может находиться только в одном определенном состоянии, и это состояние называется «ситуацией» (в нотации [15]). Это хорошо коррелирует с практикой аудитов СлПО, при которой оценивается не ежегодное статическое положение системы, а постоянные системные улучшения [12]. Следующий вопрос касается Вопросы кибербезопасности №1(25) - 2018

формирования непосредственно оценки эффективности операции (в предложенной идее – как процесса аудита ИБ для СлПО) через оценивание совокупности факторов, существенно влияющих на изменение обстановки («условия обстановки» в нотации [15, стр. 13]). К таким факторам предлагается отнести, например, следствия активного противодействия (в нотации ISO/IEC 27001), а именно – возможности, характер, способы противодействия и виды атакуемых ресурсов (технические, финансовые, временные и пр.). Эти факторы образуют уточненное пространство временных, технических, ресурсных, технологических и иных ограничений, которые должны быть учтены при решении поставленной задачи. Факторы в нотации ISO/IEC 27001, в отличие от действующих методических документов регуляторов в РФ, разделяются на управляемые (контролируемые) и неуправляемые. Для ЛПР именно управляемые факторы являются целями (подцелями) при планировании, проведении и анализе результатов аудита ИБ, поскольку показывают степень «успешности» оперативного управления конкретной ТС [15, стр. 20]. Если некоторая ТС для каждой цели показывает достаточную эффективность, можно говорить о наличии широких функциональных возможностей. Применительно к цели аудита ИСМ для СлПО можно привести аналогичный пример, по которому оценка

67


в виде программы аудитов ИБ. Важно также не допустить «срыв» управл ЛПР необходимо контролировать «замыкание» каждого цикла PDCA дл ИСМ. Отметим, что требование «замыкания» цикла PDCA именно в Менеджмент информационной безопасности УДКважно 004.94 аудитов ИБ как оценивание «качества» СУ, в частности – период факту)заданными требуемомуЛПР ЛПР целевыми (план). Примем во вни- и тек эффективности каждой СМ демонстрирует высо- между «рассогласования» показателями кую эффективность ИСМ, и ваудитов. том числе – в аспек- мание также новое дополнительное понятие «результативность», степеньЛПР соответствия те обеспечения ИБ [13]. Рассмотрим виды факторов, как которые следует цели принять СУ для СлПО. Также дополнительно примем во с треб Для исследования эффективности операций ТС планировании аудитов ИБ в ИСМ: определенные (которые известные внимание 3 концепции рационального поведеприемлемо рассматривать «потенциальную эфнеопределенные (случайные). Наибольшей неопределенностью обла ТС для выработки т.е. решений (в нотацииизменения [15]): фективность», как основнуюнеизвестной характеристику ка- нияпринадлежности, функцией диапазонами п пригодности, оптимизации и адаптивизации. Дляизменен чества конкретной ТС. Для новой предложенной применяют процедуры только экспертного оценивания диапазонов целей конкретного применения модели аудитов оценки предлагается применять аудитов показатель стр. аппарат 22]. Определим эффективности (в нотации [15]) как W(u ИБ в ИСМ для СлПО более подробно рассмотрим ИБ, который позволяет предоставлять численные соответствия результата операции (по факту) требуемому ЛПР (план). П именно адаптивизацию. Это решение объективно метрики конкретного СлПО также («системной новоеоболочдополнительное понятие «результативность», как степень соо обосновывается фактом, что именно для целей ауки») и, в частности, оценки степени обеспечения для СлПО. Также дополнительно примем во внимание 3 концепции рацио ИБ для СМИБ (как отдельной системы) или ИСМ дита ИБ указанная выше концепция предполагает ТС для выработки решений (в нотации [15]): пригодности, оптимизации и (как подсистемы). Именно для СлПО удобно рас- возможность оперативного реагирования в ходе целей конкретного применения модели аудитов ИБ в ИСМ для СлП ширить термин «качество ТС» (в нотации [15]) на операции на поступающую текущую информацию рассмотрим именно адаптивизацию. Это решение объективно обосновы устойчивость, управляемость и пр., что хорошо об изменении возмущающих воздействий [13]. именно для целей аудита ИБ указанная выше концепция предпол коррелирует с требованиями стандартов в обла- Тогда с учетом модели проблемной ситуации (1) оперативного реагирования в ходе операции на поступающую текущу сти ФБ. Отметим также новый стандарт ISO 22316 формирования новой информации θN определим изменении возмущающих воздействий [13]. Тогда с учетом модели пробл версии 2017 «Security and Resilience - Organizational новый показатель эффективности: формирования новой информации θN определим новый показатель эффектив Resilience - Principles and Attributes», который за(2) 𝑾𝑾(𝒖𝒖) = 𝛒𝛒𝛒(𝐘𝐘𝐘(𝐮𝐮) + 𝒀𝒀𝑻𝑻𝑻𝑻 + 𝒀𝒀𝑹𝑹 + 𝒀𝒀𝑹𝑹𝑹𝑹 ) (2 трагивает вопрос «киберустойчивости». где: В общей практике аудитов ИБ удобно расшигде: Y (u) – результат операции некоторой стратегии, . Y ( u) – при рить оценку результативности (как степени дорезультат операции при некоторой R – результат противодействия ожидаемому выполнению операц  Y стижения цели) на гомеостазис, как способность стратегии, R стратегии (Y ≠ 0), R . Y – результат противодействия ожидаемому ТС возвращаться в равновесное состояние после YRR – результат адаптивизации ТС припри конкретном возмущающих воздействий [15,стр. 18]. Отмеча- выполнению операции некоторойприменении стратегии опер R противодействии Y при некоторой стратегии, ется, что в «гомеостатических» системах (в нота- (YR ≠ 0), R RR . YRR – результат  YТР сводится – требуемый результат операцииадаптивизации при условии, ТС чтопри Y (u), ции [15] – «h-системах») управление к кон-Y , Y величины. функции регулирования, что отлично согласуется кретном применении операции при известном с общей практикой аудитов ИБ в ИСМ для СлПО. противодействии YR при некоторой стратегии, . YТР – требуемый Отметим, что допускается введение врезультат выражение (2) дополнительной о Для цели аудитов ИБ в ИСМ для СлПО крайне важоперации при усR RR ТР показывающей склонность ЛПРY (u), к риску формирования специальной но фиксировать устойчивое состояние в конечное ловии, что Y , Yи и Y неслучайные ве[15]) оценочной функции. В дальнейшем будем применять тол время, заданное, например, внотации виде программы ау- личины. дитов ИБ. Важно также не допустить «срыв»эффективности управпоказатели операций. Рассмотрим критерий эффектив Отметим, что допускается введение в выражеления, иначе говоря, ЛПР необходимо контроливводится на основе предположения рационального поведения ЛПР ние (2) дополнительной оценочной функции, по-(что хо ровать «замыкание» каждого«разумным цикла PDCA для всех казывающей поведением» ЛПР в склонность нотации Р.ЛПР Кини и иХ.формироРайфа) и поз к риску подсистем в ИСМ. Отметим, различные что требование «за- достижения вания специальной «субъективной»в (в нотации стратегии цели. Соответственно, данном конкретно мыкания» цикла PDCA важно должна именно вприменяться аспекте ис- новая [15]) оценочной В дальнейшем будем концепцияфункции. адаптивизации, заключающаяся ви полнения аудитов ИБ как оценивание «качества» только «объективные» показатели управления на основеприменять информации, получаемой посредством подсистемы а СУ, в частности – периодическое измерение «рас- эффективности операций. Рассмотрим критерий Более того, накапливая такую объективную информацию (YR и YRR), ЛПР согласования» между заданными ЛПР«прогнозные» целевыми эффективности , который вводится наобоснованно основе строить стратегии и, Кпри необходимости, м показателями и текущим результатами предположения рационального поведения ЛПР образом: аудитов. 𝑻𝑻𝑻𝑻 ∗ Рассмотрим виды факторов, которые ЛПР сле- (что𝑾𝑾хорошо коррелирует с∗ «разумным поведе𝒕𝒕 (𝒖𝒖 (𝒕𝒕), 𝝉𝝉) ≥ 𝑾𝑾𝒕𝒕 (𝒖𝒖 (𝒕𝒕), 𝝉𝝉); 𝒖𝒖(𝒕𝒕) ∈ 𝑼𝑼𝑼𝑼𝑼𝑼𝑼𝑼𝑼𝑼 дует принять во внимание при где: планировании ау- нием» ЛПР в нотации Р. Кини и Х. Райфа) и позводитов ИБ в ИСМ: определенные (которые известные с требуемой точностью) и неопределенные (случайные). Наибольшей неопределенностью обладают факторы с неизвестной функцией принадлежности, т.е. диапазонами изменения переменных. К ним применяют процедуры только экспертного оценивания диапазонов изменений их значений [15, стр. 22]. Определим показатель эффективности (в нотации [15]) как W(u), т.е. меру степени соответствия результата операции (по

68

ляет сопоставить различные стратегии достижения цели. Соответственно, в данном конкретном случае для СлПО должна применяться новая концепция адаптивизации, заключающаяся в изменении стратегии управления на основе информации, получаемой посредством подсистемы аудитов ИБ (рис. 2). Более того, накапливая такую объективную информацию (YR и YRR), ЛПР может оперативно строить «прогнозные» стратегии и, при необходимости, обоснованно менять цели.

Вопросы кибербезопасности №1(25) - 2018


гии достижения цели. Соответственно, в данном конкретном случае для СлПО ься новая концепция адаптивизации, заключающаяся в изменении стратегии нове информации, получаемой посредством подсистемы аудитов ИБ (рис. 2). Модель системы менеджмента ... YRR), ЛПР может оперативно ливая такую объективную информацию (YR и интегрированной ные» стратегии и, при необходимости, обоснованно менять цели. Таким Таким образом:

∗ 𝑾𝑾𝒕𝒕 (𝒖𝒖∗ (𝒕𝒕), 𝝉𝝉) ≥ 𝑾𝑾𝑻𝑻𝑻𝑻 𝒕𝒕 (𝒖𝒖 (𝒕𝒕), 𝝉𝝉); 𝒖𝒖(𝒕𝒕) ∈ 𝑼𝑼𝑼𝑼𝑼𝑼𝑼𝑼𝑼𝑼

где: t – время; τ – прогнозное упреждение. Запись Wt означает динамическую природу изменения показателя эффективности, что может быть увязано c ранее предложенной концепцией «мгновенных аудитов» [13]. Новая модель проблемной ситуации В соответствии с нотацией [15] определим новую модель проблемной ситуации. На основании имеющейся информации θN и результатов «контрольного» оценивания (аудита) ИБ СлПО необходимо определить модель предпочтений ЛПР – Ω [15, стр. 59], приведенную в (1). Отметим, что наличие А в (1) означает, что часть значений неопределенных факторов будет установлена (например, правила проведения аудитов ИБ заданы регуляторами), либо будет решаться как самостоятельная задача (например, перечень средств обеспечения ИБ, рекомендованных ЛПР к внедрению). Как показано в работе [15], во многих практических случаях априорное значение коэффициента эффективности К приводит к формированию множества «нехудших альтернатив». Это означает, что по результатам аудитов ИБ могут быть сформированы несколько альтернатив, а мера выбора определяется ЛПР посредством модели предпочтения Ω. Общая постановка за-

дачи моделирования предпочтений может быть представлена в виде:

〈 D, θN ; ΩD 〉

(3)

где: D = {U, A, G, Y, W, K} θN – иная информация о проблемной ситуации. Предлагается расширить состав информации о проблемной ситуации θN за счет новых факторов и представить задачу формирования множества стратегий ЛПР в новом виде: 〈 θA0, θ1, θ2, θ3, θ4, θ5, θ6, AN, UN 〉 (4) где: . θА0 – информация о начальной (исходной) цели операции; . θ1 – информация о результативности «мгновенных аудитов» ИБ; . θ2 – информация о результативности аудитов всех типов (первой, второй и третьей стороной); . θ3 – информация об инцидентах ИБ (например, от Security Operation Center (SOC) и пр.); . θ4 – информация о новом «контексте» СМИБ (ИСМ); . θ5 – информация о новых предпочтениях ЛПР; . θ6 – информация о важных изменениях (например, ФЗ-187 «ГоСОПКА»). Отметим, что переход от общей модели к модели «конкретной ситуации» является очень сложным, особенно когда речь идет об анализе ТС (в том числе – СлПО) [15, стр. 74]. В ряде случаев

Рис. 3. Базовая модель аудитов ИСМ Вопросы кибербезопасности №1(25) - 2018

69


Менеджмент информационной безопасности применяются только эвристики, т.к. многие компоненты явно не заданы [15, стр. 55]. Кроме того, новацией в развитии модели аудитов ИБ является постоянная оценка адекватности, конкретные механизмы которой (например, циклы оптимизации) рассмотрены ранее в [13]. Принимая во внимание общую модель ИСМ (рис. 2) и основные ограничения, которые должны быть учтены, предлагается базовая модель аудитов ИСМ (рис. 3). В этой модели, как части общей модели ИСМ (рис. 2), детально отражена возможность сопоставлять планируемые и реальные состояния СУ для СлПО (как объекта оценки – ОО), реализуется «замкнутый» цикл аудитов (выполнение всех обязательных процедур аудита ИБ согласно ISO 19011). Для конкретной задачи управления ИБ в СУ для СлПО «замкнутый» цикл аудитов означает гарантированное достижение результатов всех фаз РDCA, выявления несоответствий и результативное выполнение корректирующих действий [13]. В базовой модели аудитов ИСМ вводятся различные интерфейсы предоставления данных (внутренний и внешний), что отражает требования

УДК 004.94

стандартов ИБ, учитывает требования ЛПР в части ограниченного распространения чувствительных данных [11] и учитывает необходимость коммуникаций открытой системы с внешней средой с позиции энергетического обмена [14]. Выводы Для оценивания информации о проблемной ситуации, необходимой для формирования управляющих решений, могут быть применены новые критерии. Предложена модель ИСМ для обеспечения безопасности СлПО, которая учитывает новые параметры выполнения аудитов ИБ. Предложено при обеспечении безопасности СлПО дополнительно учитывать концепцию рационального поведения и, прежде всего, «адаптивизацию», что дополнительно учитывает оперативное реагирование на поступающую информацию об изменении возмущающих воздействий. В новой модели проблемной ситуации для СлПО учитывается расширенная информация о проблемной ситуации, в том числе – результативность аудитов ИБ, что позволяет сократить для ЛПР выбор из «нехудших» альтернатив.

Рецензент: Молдовян Александр Андреевич, доктор технических наук, профессор, начальник научно-исследовательского отдела проблем информационной безопасности Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации РАН (СПИИРАН), г. Санкт-Петербург, тел. (812)328-51-85; E-mail: maa1305@yandex.ru. Литература 1. Агуреев И.Е., Тропина В.М. Динамика логистической системы в транспортных цепях поставок // Известия Тульского государственного университета. Технические науки. 2011. № 4. С. 158-167. 2. Агуреев И.Е., Богма А.Е., Пышный В.А. Динамическая модель транспортной макросистемы // Известия Тульского государственного университета. Технические науки. 2013. № 6-2. С. 139-145. 3. Охтилев М.Ю., Соколов Б.В Новые информационные технологии мониторинга и управления состояниями сложных технических объектов в реальном масштабе времени // Труды СПИИРАН. 2005. Т. 2. № 2. С. 249-265. 4. Соколов Б.В., Потрясаев С.А., Малышева И.В., Назаров Д.И. Алгоритм адаптации моделей управления структурной динамикой сложной технической системы к воздействию возмущающих факторов // Всероссийская научная конференция по проблемам управления в технических системах. 2015. № 1. С. 3-6. 5. Алабян А.М., Зеленцов В.А., Крыленко И.Н., Потрясаев С.А., Соколов Б.В., Юсупов Р.М. Оперативное прогнозирование наводнений на основе комплексного упреждающего моделирования и интеграции разнородных данных // Труды СПИИРАН. 2015. № 4. С. 5-33. 6. Ascher U.M., Hongsheng Chin, Petzold L.R., Reich S. Stabilization of constrained Mechanical systems with DAEs and invariant manifolds // J. Mechanics of Structures and Machines. 1995. Vol. 23. Р. 135-158. 7. Amirouche F. Fundamentals of Multibody Dynamics. Theory and Applications. Birkhauser, Springer, 2005. 684 p. 8. Игонин В.И. Технологические особенности энергообследования зданий, сооружений и инженерных сетей. Курс лекций. Вологда: ВоГТУ. 2012. 104 с. 9. Аюров В.Д. Круговорот товаров и физика денег // Горный информационно-аналитический бюллетень. 2003. № 5. С. 90-91. 10. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. № 1. С. 22–34. 11. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. № 6. С. 72-94. 12. Лившиц И.И. Методика выполнения комплексных аудитов промышленных объектов для обеспечения эффективного внедрения систем энергоменеджмента // Энергобезопасность и энергосбережение. 2015. № 3. С. 10-15. 13. Лившиц И.И. Формирование концепции мгновенных аудитов информационной безопасности // Труды СПИИРАН. 2015. № 6. С. 253-270. 14. Пригожин И., Гленсдорф П. Термодинамическая теория структуры, устойчивости и флуктуаций. М.: МИР. 1973. 124 с. 15. Надежность и эффективность в технике: Справочник в 10 т. / Ред. совет: В.С. Авдуевский, (пред.) и др. – М.: Машиностроение, 1988. – (в пер.) Т. 3. Эффективность технических систем/Под общ. ред. В.Ф. Уткина, Ю.В. Крючкова. – 328 ст.: ил.

70

Вопросы кибербезопасности №1(25) - 2018


Модель интегрированной системы менеджмента ...

THE INTEGRITY MANAGEMENT SYSTEM FOR SECURITY ENSURING FOR COMPLEX FACILITIES Livshitz Ilya3, Rosa Fatkieva4 Creation the modern management systems is important to ensure the specified modes of operation and parameters of control object. The problem decision involves the number of tasks, assessing information about a problem situation. The proposed model a problem situation estimate based on integrated management system and taking into account modern IT-security requirements. However, currently there is no common approach to the formation of integrated systems, which does not allow to adequately implementing controls of complex industrial facilities through periodic evaluation of the effectiveness of IT-security audits. In this issue shows an attempt to analysis of management systems for complex industrial objects from the perspective of forming a model of the problem situation. Keywords: Management system, Integrated Management System; Information System; Information Security; Audit.

References 1. Agureev I.E., Tropina V.M. Dinamika logisticheskoy sistemy v transportnykh tsepyakh postavok. Izvestiya Tul’skogo gosudarstvennogo universiteta. Tekhnicheskie nauki. 2011. No 4, pp. 158-167. 2. Agureev I.E., Bogma A.E., Pyshnyy V.A. Dinamicheskaya model’ transportnoy makrosistemy, Izvestiya Tul’skogo gosudarstvennogo universiteta. Tekhnicheskie nauki. 2013. No 6-2, pp. 139-145. 3. Okhtilev M.Yu., Sokolov B.V Novye informatsionnye tekhnologii monitoringa i upravleniya sostoyaniyami slozhnykh tekhnicheskikh ob’ektov v real’nom masshtabe vremeni, Trudy SPIIRAN. 2005. T. 2. No 2, pp. 249-265. 4. Sokolov B.V., Potryasaev S.A., Malysheva I.V., Nazarov D.I. Algoritm adaptatsii modeley upravleniya strukturnoy dinamikoy slozhnoy tekhnicheskoy sistemy k vozdeystviyu vozmushchayushchikh faktorov, Vserossiyskaya nauchnaya konferentsiya po problemam upravleniya v tekhnicheskikh sistemakh. 2015. No 1, pp. 3-6. 5. Alabyan A.M., Zelentsov V.A., Krylenko I.N., Potryasaev S.A., Sokolov B.V., Yusupov R.M. Operativnoe prognozirovanie navodneniy na osnove kompleksnogo uprezhdayushchego modelirovaniya i integratsii raznorodnykh dannykh, Trudy SPIIRAN. 2015. No 4, pp. 5-33. 6. Ascher U.M., Hongsheng Chin, Petzold L.R., Reich S. Stabilization of constrained Mechanical systems with DAEs and invariant manifolds, J. Mechanics of Structures and Machines. 1995. Vol. 23, pp. 135-158. 7. Amirouche F. Fundamentals of Multibody Dynamics. Theory and Applications. Birkhauser, Springer, 2005. 684 p. 8. Igonin V.I. Tekhnologicheskie osobennosti energoobsledovaniya zdaniy, sooruzheniy i inzhenernykh setey, Kurs lektsiy. Vologda: VoGTU. 2012. 104 P. 9. Ayurov V.D. Krugovorot tovarov i fizika deneg, Gornyy informatsionno-analiticheskiy byulleten’. 2003. No 5, pp. 90-91. 10. Livshits I.I. Prakticheskie primenimye metody otsenki sistem menedzhmenta informatsionnoy bezopasnosti, Menedzhment kachestva. 2013. No 1, pp. 22–34. 11. Livshits I.I. Podkhody k primeneniyu modeli integrirovannoy sistemy menedzhmenta dlya provedeniya auditov slozhnykh promyshlennykh ob’ektov – aeroportovykh kompleksov, Trudy SPIIRAN. 2014. No 6, pp. 72-94. 12. Livshits I.I. Metodika vypolneniya kompleksnykh auditov promyshlennykh ob’ektov dlya obespecheniya effektivnogo vnedreniya sistem energomenedzhmenta, Energobezopasnost’ i energosberezhenie. 2015. No 3, pp. 10-15. 13. Livshits I.I. Formirovanie kontseptsii mgnovennykh auditov informatsionnoy bezopasnosti, Trudy SPIIRAN. 2015. No 6, pp. 253270. 14. Prigozhin I., Glensdorf P. Termodinamicheskaya teoriya struktury, ustoychivosti i fluktuatsiy. M.: MIR. 1973. 124 P. 15. Nadezhnost’ i effektivnost’ v tekhnike: Spravochnik v 10 t. / Red. sovet: V.S. Avduevskiy, (pred.) i dr. – M.: Mashinostroenie, 1988. – (v per.) T. 3. Effektivnost’ tekhnicheskikh sistem/Pod obshch. red. V.F. Utkina, Yu.V. Kryuchkova. – 328 P.: il.

3  Livshitz Ilya, Ph.D., ITMO University, Saint-Petersburg, livshitz.il@yandex.ru 4  Fatkieva Roza, Ph.D., SPIIRAS, Saint-Petersburg, rrf@iias.spb.su

Вопросы кибербезопасности №1(25) - 2018

71


ЭФФЕКТИВНОСТЬ СТАТИСТИЧЕСКИХ МЕТОДОВ СТЕГАНОАНАЛИЗА ПРИ ОБНАРУЖЕНИИ ВСТРАИВАНИЯ В ВЕЙВЛЕТ ОБЛАСТЬ ИЗОБРАЖЕНИЯ Сивачев А.В.1 Предметом исследования данной работы является оценка эффективности современных статистических методов стеганоанализа, разработанных для обнаружения встраивания в пространственную область изображения, при обнаружении встраивания в вейвлет область изображения. С появлением формата JPEG2000, использующего дискретное вейвлет преобразование (ДВП), активно разрабатываются методы встраивания информации в вейвлет область изображения с помощью стеганографии. Существующие методы стеганоанализа показывают низкую эффективность обнаружения факта встраивания в вейвлет область. В связи с низкой эффективностью обнаружения встраивания в вейвлет область изображения в данной статье рассматривается возможность адаптации и использования статистических методов стеганоанализа пространственной области изображения для обнаружения встраивания в вейвлет область изображения. Проведенный в работе анализ позволяет оценить практические возможности использования статистических методов стеганоанализа для обнаружения встраивания в вейвлет область изображения. При оценке эффективности статистических методов стеганоанализа используется принцип создания равных условий. Стеганографическое воздействие моделируется путем изменения значений предпоследних значащих бит коэффициентов ДВП всех областей по отдельности, получаемых при одноуровневом двумерном ДВП изображения. Для обеспечения высокой достоверности результатов используется коллекция с большим количеством изображений. Результатом проведенного исследования являются графики, показывающие эффективность обнаружения встраивания в различные области коэффициентов вейвлет области. Основным результатом работы является предлагаемый метод стеганоанализа, с использованием машинного обучения, обеспечивающий высокую эффективность обнаружения встраивания в LL область изображения, основанный на использовании корреляции между изображением и LL областью данного изображения. Ключевые слова: стеганография, стеганоанализ, статистические методы, вейвлет область, дискретное вейвлет преобразование (ДВП), низкочастотная область ДВП, принцип создания равных условий, машинное обучение, бинарная классификация, пассивное противодействие

DOI: 10.21681/2311-3456-2018-1-72-78 Введение Сегодня стеганография применяется для организации скрытых каналов передачи информации и ряда других задач [1]. Возможность создания скрытых каналов связи с использованием стеганографии привлекла внимание со стороны криминальных элементов, террористических организация и разведывательных служб [2]. Одним из наиболее популярных видов контейнеров для создания скрытого канала связи являются неподвижные цифровые изображения т.к. с одной стороны для цифровых изображений разработано большое количество стеганографических методов встраивания информации в цифровые изображения [3], а с другой стороны каждый день в интернете загружается и передается огромное количество изображений [4]. На сайте ФБР США можно найти примеры изображений, использованных для встраивания информации [5]. Использование стеганографии для создания скрытых каналов связи с противоправными целями привело к разработке методов стеганоанализа, позволяющих обнаружить факт встраи-

вания информации в контейнер, для пассивного противодействия использованию стеганографии. В идеале метод стеганоанализа должен позволять безошибочно определять содержит данный контейнер встроенную информацию или нет. Существующие методы стеганоанализа для цифровых изображений имеют определенную погрешность. Например, метод стеганоанализа, предложенный в [6], имеет эффективность от 50% до 80% в зависимости от использованного метода встраивания. Согласно проведенному исследованию [7] современные методы стеганоанализа не позволяют эффективно обнаруживать встраивание информации в области коэффициентов LH, HL и LL ДВП изображения. Низкая эффективность методов стеганоанализа при обнаружении встраивания в области коэффициентов ДВП изображения делает актуальным исследования направленные на повышение её эффективности. С точки зрения повышения эффективности обнаружения встраивания в вейвлет область целесообразно рассмотреть возможность адаптации и использования имеющихся методов

1  Сивачев Алексей Вячеславович, аспирант, Университет ИТМО, Санкт-Петербург, Россия. E-mail: sivachev239@mail.ru

72

Вопросы кибербезопасности №1(25) - 2018


Эффективность статистических методов стеганоанализа ... обнаружения факта встраивания в простран- жений с использованием статистических методов ственную область изображения. В частности, при стеганоанализа. Для этого проанализируем стегаобнаружении встраивания в пространственную но изображения, в которых смоделировано встраобласть изображения хорошие результаты пока- ивание в каждой из возможных областей (LL, LH, зывают статистические методы стеганоанализа HL, HH) коэффициентов ДВП изображения, с помо[8]: 97,5% обнаруженных стегано изображений щью статистических методов стеганоанализа. В качестве методов статистического стеганопри менее 2.5% некорректно определенных орианализа выберем методы: RS-анализ (RS), Sample гинальных изображений. pair analysis (SPA), Triples analysis (TR) и Weighted Цель работы В работе проводится анализ эффективности stego (WS), описанные в [9], показавшие хорошие использования статистических методов стеганоа- результаты при обнаружении факта встраивания нализа, разработанных для обнаружения встраи- в пространственную область изображения [8]. В вания в пространственную область изображения, качестве коллекции изображений используется коллекция BOWS2. Для оценки эффективности для вейвлет области изображения. методов статистического стеганоанализа исИсследование предметной области Статистические методы стеганоанализа [9] пользуем полученные и представленные на риразрабатывались для обнаружения характерных сунке 1 графики соотношения количества верискажений, возникающих в изображении вслед- но классифицированных стегано изображений, ствие стеганографического встраивания в про- содержащих встраивание в соответствующую странственную область. Результатом применения область ДВП изображения, от неверно классистатистического метода является значение оцен- фицированных оригинальных изображений (т.е. ки количество искаженных пикселей в изобра- ошибочно классифицированных как стегано жении. В тоже время встраивание информации в изображения) . классифицированных стегано изображений, содержащих встраивание в графиков, приведенных на рисунке 1, коэффициенты ДВП изображения соответствующую областьтоже ДВПвызывает изображения,Анализ от неверно классифицированных неэффективностькак методов стеганоаналиопределенные искажения в изображении рас- показал оригинальных изображений (т.е. –ошибочно классифицированных стегано смотрим изображения) возможность .обнаружения данных иска- за [9] при встраивании в области коэффициентов

а)

б)

в) г) Рисунок 1. График соотношения количества верно классифицированных стегано Рис. 1. изображений График соотношения количества верно классифицированных стегано изображений от неверно классифицированных оригинальных изображений при от неверно классифицированных встраивании в: встраивании в: а) LL области; б) LHоригинальных области; в) HL изображений области; г) HHпри области

а) LL области; б) LH области; в) HL области; г) HH области

Анализ графиков, приведенных на рисунке 1, показал неэффективность методов стеганоанализа [9] при встраивании в области коэффициентов ДВП – Вопросы кибербезопасности обнаружено №1(25) менее- 2018 70% стегано изображений и более 50% оригинальных изображений ошибочно классифицированы как стегано изображения. На практике это обозначает, что использование статистических методов для анализа

73


иентами областей LL, LH, HL и HH, полученными при ДВП формуле: ������ )�(�����(�)𝑎���(�)��� �) я, рассчитаем коэффициент корреляции между по следующей ∑� ∑� ���ними ���(���(�𝑎�)���� � � 𝑘𝑘 𝑘 � �

,

� � Методы и средства стеганографии � � � ������ � � УДК 004.056.5 ��∑ � ���� ∑���(���(�𝑎�)���� ) ���∑��� ∑���(�����(�)𝑎���( � )���) � �

������ )�(�����( )𝑎���( )��� �) ∑� ��� ∑���(���(�𝑎�)���� � �

, ДВП – обнаружено менее 70% стегано изобрагде k – коэффициент корреляции, IMG(a,b) – � � k – коэффициент 𝐼𝐼𝐼𝐼𝐼𝐼(𝑎𝑎𝑎 изображения 𝑎𝑎) – значение пикселя жений и более 50% где оригинальных изображенийкорреляции, значение пикселя с координатами ������ ––среднее среднее значение пикселя в изображения с как координатами ошибочно классифицированы стегано изо-a иa иb,b, 𝐼𝐼𝐼𝐼𝐼𝐼 значение пикселя в изобраk – коэффициент корреляции, 𝐼𝐼𝐼𝐼𝐼𝐼(𝑎𝑎𝑎 𝑎𝑎) – значение пикселя – функция вверх –значения W(a,b) – значение бражения. На изображении, практике это RND(a) обозначает, что ис-округление жении, RND(a) функцияa,округление вверх зна������ – среднее � пикселя в aLH, я с координатами a и статистических b,коэффициента 𝐼𝐼𝐼𝐼𝐼𝐼 пользование методов для анализа чения , W(a,b) – значение коэффициента одной значение из областей ДВП (LL, HL, HH) с координатами a и b,одной 𝑊𝑊 и, RND(a) – функция округление вверх значение значения W(a,b) – значение изображений не позволяет отличитьa, изображеизобласти областей ДВП. ДВП (LL,Коэффициент LH, HL, HH) с координатами – среднее коэффициента корреляции a � – –среднее ние оригинал от со свстроенной ин- a ии «+1» b, 𝑊𝑊 значение коэффициента области нта одной из областей ДВП (LL, HL, HH) координатами b, 𝑘𝑘𝑘 изображения 𝑘 LH, 𝑘𝑘𝑘𝑘𝑘𝑘𝑘, при этом значения: положительная прямолинейная формацией в одну или несколько ДВП. Коэффициент корреляции k ∈[-1,1] , при этом значение коэффициента области ДВП.«-1» Коэффициент корреляции корреляция; –областей. отрицательная прямолинейная корреляция; «0» – отсутствие Низкая эффективность статистических методов значения: «+1» – положительная прямолинейная , при этом значения: «+1» – положительная прямолинейная корреляции. стеганоанализа объясняется тем, что корреляция; «-1» – отрицательная прямолинейная ; «-1» – отрицательная прямолинейная корреляция; «0» – отсутствие На рисунке 2 обратное представлены гистограммы значения коэффициента естественных цифровых изображений. ДВП, придля котором из областей LL, корреляция; «0»и– отсутствие . корреляции длякоэффициентов между исходным изображением каждой изкорреляции. областей ДВП Для оценки степени взаимосвязи междуНа пикселями изображения HL и HH получается исходное рисунке 2исходного представлены гистограммы знарисунке 2 LH, представлены гистограммы коэффициента изображения (LL,значения LH,изображение, HL, HH). и коэффициентами областей LL, LH, HL и HH, полученными при ДВП искажения, возникающие для между сглаживает исходным изображением и каждой вследствие из областейчения ДВП коэффициента корреляции для между исизображения, рассчитаем коэффициент корреляции между ними по следующей я (LL, LH, HL,встраивания HH). формуле: в области коэффициентов ДВП. В тоже ходным изображением и каждой из областей ДВП � � � � � ) LH, HL, HH). время получаемые при ДВП ∑области LL, LH, HL������ и HH изображения (LL, )�(�����( )𝑎���( � )��� ��� ∑���(���(�𝑎�)���� � 𝑘𝑘 𝑘 , � � естественно взаимосвязаны изображеНа гистограммах, на рисунке 2, �с исходным ������ � � � � �представленных ��∑� ��� ∑���(���(�𝑎�)���� ) ���∑��� ∑���(�����(�)𝑎���( � )���) � нием – т.е. могут сохранить закономерности харак- видно, что корреляция между исходным изобратерные для естественных цифровых изображений. жением и областями LH, HL, HH практически отсутгде k – коэффициент корреляции, 𝐼𝐼𝐼𝐼𝐼𝐼(𝑎𝑎𝑎 𝑎𝑎) – значение пикселя Для оценки степени взаимосвязи междуa пиксествует– т.к. значение коэффициента в ������ среднее значение пикселякорреляции в изображения с координатами и b, 𝐼𝐼𝐼𝐼𝐼𝐼 лями исходного данном близко к нулю.– Взначение тоже время между для естественных цифровыхизображения изображений. изображении, RND(a)и–коэффициентами функция округление вверхслучае значения a, W(a,b) �LL изобраДля оценкикоэффициента степени между исходного областей LL, LH, взаимосвязи HL и HH, полученными при ДВП исходным изображением и областью одной из пикселями областей ДВП (LL,изображения LH, HL, HH) с координатами a и b, 𝑊𝑊 и коэффициентами областей LL, LH, HL и HH, полученными при ДВП – среднее значение коэффициента области ДВП. Коэффициент корреляции изображения, рассчитаем коэффициент корреля- жения существует прямолинейная положительизображения, рассчитаем коэффициент между ними по следующей 𝑘𝑘𝑘 ними 𝑘 𝑘𝑘𝑘𝑘𝑘𝑘𝑘, при корреляции этом значения: «+1» – корреляции положительная прямолинейная ции между по следующей формуле: ная т.к. значение коэффициента корформуле: корреляция; «-1» – отрицательная прямолинейная корреляция; «0» – отсутствие � � � � реляции близко к единице (среднее значение ко������ )�(�����( )𝑎���( )��� �) ∑��� ∑���(���(�𝑎�)���� корреляции. � � 𝑘𝑘 𝑘 , эффициента корреляции для коллекции из 10000 , гистограммы � � � � � 2 На ������рисунке представлены значения коэффициента � � � ��∑� ��� ∑���(���(�𝑎�)���� ) ���∑��� ∑���(�����(�)𝑎���( � )���) � изображений составляет 0,9803). ДВП корреляции для между исходным изображением и каждой из областей

� � � ������ � � � ��∑� ��� ∑���(���(�𝑎�)���� ) ���∑��� ∑���(�����(�)𝑎���( � )���) �

изображения (LL, LH, HL, HH). где k – коэффициент корреляции, 𝐼𝐼𝐼𝐼𝐼𝐼(𝑎𝑎𝑎 а) 𝑎𝑎) – значение пикселя ������ – среднее значение пикселя в изображения с координатами a и b, 𝐼𝐼𝐼𝐼𝐼𝐼 изображении, RND(a) – функция округление вверх значения a, W(a,b) – значение а) б) � коэффициента одной из областей ДВП (LL, LH, HL, HH) с координатами a и b, 𝑊𝑊 – среднее значение коэффициента области ДВП. Коэффициент корреляции 𝑘𝑘𝑘 𝑘 𝑘𝑘𝑘𝑘𝑘𝑘𝑘, при этом значения: «+1» – положительная прямолинейная корреляция; «-1» – отрицательная прямолинейная корреляция; «0» – отсутствие корреляции. На рисунке 2 представлены гистограммы значения коэффициента корреляции для между исходным изображением и каждой из областей ДВП изображения (LL, LH, HL, HH).

а)

б)

б)

в) в)

г) г)

а)

б)

в)

г)

Рис. 2. Гистограммы значений коэффициента корреляции для массива исходных изображений и областей ДВП, где: а) LL области; б) LH области; в) HL области; г) HH области

74

Вопросы кибербезопасности №1(25) - 2018


Прикоэффициентов визуальном сравнении исходного изображения и его области3 приведен пример выявлено заметное сходство между ними. На LL рисунке значений LL области. значений коэффициентов LL области.

выявлено заметное сходство имежду ними. получаемой На рисунке в3результате приведен ДВП пример изображения LL области, данного изображения. изображения и LL получаемой в результате ДВП данного изображения. Наобласти, рисунке 4 приведены гистограммы значений пикселей изображения и На рисунке 4 приведены гистограммы LL значений пикселей изображения и значений коэффициентов области. Эффективность статистических методов стеганоанализа значений коэффициентов LL области.

...

Рисунок 3а. Изображение (пример) (пример) Рисунок 3б. LL область, 3а. Изображение Рисунок 3б. LLполучаемая область, получаемая Рисунок 3а.Рисунок Изображение (пример) Рисунок 3б. LL область, получаемая Рисунок(пример) 3а. Изображение (пример) Рисунок 3б.область, LL область, получаемая при ДВП изображения Рис. 3б. LL получаемая Рис. 3а. Изображение при ДВП изображения при ДВП изображения при ДВП изображения при ДВП изображения

а)

а) б) Рисунок 4. Гистограмма значений: а) пикселей изображения (с рисунка 3а); б б) коэффициентов LL области (с рисунка 3б)

Наличие корреляции между изображением и LL областью, а такж визуальное сходство, позволяет предположить, что закономерности характерны для цифрового изображения характерны и для LL области. Наличие таки закономерностей в LL области дает возможность применения статистически методов не только к изображениям, как это задумывалось авторам статистических методов, но и непосредственно к LL области с целью Рис. 4. Гистограмма значений: а) пикселей изображения (с рисунка обнаружения факта встраивания в область LL.3а); б) коэффициентов LL области (с рисунка 3б) методов статистического стеганоанализа Проверим эффективность описанных в [9], применяя их не к изображению, а непосредственно к LL области получаемой результате ДВП.классифицированных На рисунке 5 представлен график соотношени от неверно оригинальПри визуальном сравнении исходного изобра- в ний количества классифицированных стегано изображений ных изображений при применении статистиче- от неверн жения и его LL области выявлено заметное сход- верно классифицированных оригинальных изображений прик применени стеганоанализа непосредственно ство между ними. На рисунке 3 приведен пример ских методов статистических методов стеганоанализа непосредственно к LL области. изображения и LL области, получаемой в резуль- LL области. тате ДВП данного изображения. На рисунке 4 приведены гистограммы значений пикселей изображения и значений коэффициентов LL области. Наличие корреляции между изображением и LL областью, а также визуальное сходство, позволяет предположить, что закономерности характерные для цифрового изображения характерны и для LL области. Наличие таких закономерностей в LL области дает возможность применения статистических методов не только к изображениям, как это задумывалось авторами статистических методов, но и непосредственно к LL области с целью обнаружения факта встраивания в область LL. Проверим эффективность методов статистического стеганоанализа, описанных в [9], применяя Рисунок 5. График соотношения количества верно классифицированных стеган их не к изображению, а непосредственно к LL обРис. 5. График соотношения количества изображений от неверно классифицированных оригинальных изображений дл ласти, получаемой в результате ДВП. На рисунке 5 верно классифицированных стегано LL области представлен график соотношения количества изображений от неверно классифицированных верно классифицированных стегано изображеоригинальных для LL области График, приведенный на изображений рисунке 5, наглядно показывает возможност Вопросы кибербезопасности №1(25) - 2018

эффективного стеганоанализа изображений со встраиванием в коэффициенты L области путем применения статистических методов стеганоанализ непосредственно к LL области. Применении методов 75статистическог стеганоанализа непосредственно к LL области позволяют верн классифицировать более 95% стегано изображений при этом менее 5%


Методы и средства стеганографии График, приведенный на рисунке 5, наглядно показывает возможность эффективного стеганоанализа изображений со встраиванием в коэффициенты LL области путем применения статистических методов стеганоанализа непосредственно к LL области. Применении методов статистического стеганоанализа непосредственно к LL области позволяют верно классифицировать более 95% стегано изображений при этом менее 5% оригинальных изображений будут классифицированы неверно. Описание предлагаемый метод и условия проведения эксперимента Значение оценки объема искаженных коэффициентов, полученное с помощью статистических методов стеганоанализа при их применении к LL области, можно использовать в качестве дополнительного параметра для метода стеганоанализа на основе машинного обучения. В качестве базовых параметров возьмем статистические моменты, используемые методами машинного обучения, которые рассматривались в [7], и добавим к ним предлагаемый дополнительный параметр для повышения эффективности обнаружения факта встраивания в область LL. Таким образом предлагаемый метод стеганоанализа использует для классификации изображений с помощью машинного обучения следующий набор параметров: . 1, 2, 3, 4 статистические моменты для областей коэффициентов LL, LH, HL, HH; . значение количества искаженных коэффициентов, полученное с помощью применения статистического метода стеганоанализа к LL области. В рамках статьи в качестве значения количества искаженных коэффициентов взят результат использования статистического метода стеганоанализа Weighted stego, который показал высокую эффективность (см. рисунок 5) Для сравнения эффективности предлагаемого метода с другими выберем следующие методы: . метод, предложенный Gireesh Kumar и другими [10]; . метод, предложенный Hany Farid [11]; . метод, предложенный Changxin Liu и другими [12]; . метод, предложенный Yun Q. Shi и другими [13]. Для моделирования стеганографического встраивания в область LL ДВП изображения производилась модификация предпоследних бит коэффициентов LL области. В качестве коллекции изображений была выбрана коллекция BOWS2, которая часто используется авторами в работах по стеганографии и

   

       

76

УДК 004.056.5 стеганоанализу [14, 15] и насчитывающая 10000 изображений с разрешением 512х512 пикселей. На основе выбранной коллекции было сформировано множество изображений, состоящее из оригинальных и стегано (15% измененных коэффициентов LL области) изображений. Результатом классификации изображений с помощью методов машинного обучения является бинарная классификация изображения: содержит изображение встраивание или нет. В идеале метод машинного обучения должен сто процентов оригинальных изображений классифицировать как оригинальные изображение, а сто процентов стегано изображений как стегано изображений. В реальности результат классификации изображения может не совпадать с реальным состоянием изображение, т.е. оригинальное изображение может быть ошибочно классифицировано как стегано изображение и наоборот. Результаты эксперимента На рисунке 5 приведен график соотношения TN (истинно отрицательные, % верно классифицированных оригинальных изображений), TP (истинно положительные, % верно классифицированных стегано изображений), FN (ложноотрицательные, % неверно классифицированных стегано изображений), FP (ложноположительные, % неверно классифицированных оригинальных изображений), T (истинные, суммарный % верно классифицированных изображений), F (истинные, суммарный % неверно классифицированных изображений) для LL области при использовании описанного выше набора параметров, а также методов [10-13]. Выводы График, представленный на рисунке 5, показывает, что предложенный набор параметров дает высокую эффективность обнаружения для LL области: предложенный метод дает 96,36% верно классифицированных изображений, в то время как метод [11] дает только 61,7% верно классифицированных изображений. Таким образом увеличение эффективности стеганоанализа составило более 30%. Заключение По итогам исследования можно сделать следующие выводы: Статистические методы стеганоанализа, разработанные для стеганоанализа пространственной области изображения, неэффективны при анализе изображений, содержащих встраивания в коэффициентах LL, LH, HL и HH; Наличие корреляции между исходным изображением и LL областью, получаемой в результате ДВП данного изображения, а также заметное визуальное сходство, делает возможным применение Вопросы кибербезопасности №1(25) - 2018


изображений) для LL области при использовании описанного выше набора Эффективность статистических методов стеганоанализа ... параметров, а также методов [10-13].

% классифицированных изображений

120 100 80 GireeshKumar 60

HanyFarid Liu

40

YunQShi Предлагаемый метод

20 0 TN

TP

FN

FP

T

Виды классификации изображений

F

Рис. 5. График соотношения TN, TP, FN, FP, T, F при 5% объеме встраивания в LL область Рисунок 5. График соотношения TN, TP, FN, FP, T, F при 5% объеме встраивания в LL сти, область статистических методов стеганоанализа для обнав качестве дополнительного параметра для меружения встраивания в коэффициенты области LL. тодов стеганоанализа на основе машинного обучеВыводы Использование объема искажений, получаемого ния позволяет повысить эффективность обнаружеГрафик, представленный рисунке показывает,вчто предложенный набордо 30%. при применении статистических методов к LLна облания5,встраивания LL область изображения параметров дает высокую эффективность обнаружения для LL области: предложенный метод дает 96,36% верно классифицированных в тоСанктРецензент: Коробейников Анатолий Григорьевич, доктор технических изображений, наук, профессор время как метод [11] дает земного только 61,7% верно классифицированных изображений. Петербургского филиала Института магнетизма, ионосферы и распространения радиоволн Таким образом увеличение эффективности стеганоанализа составило более 30%. им. Н.В. Пушкова РАН. E-mail: korobeynikov_a_g@mail.ru Литература

Заключение

1. Макаренко С.И. Эталонная модель взаимодействия стеганографических систем и обоснование на ее основе новых По итогам исследования можно сделать следующие выводы: направлений развития теории стеганографии // Вопросы кибербезопасности. 2014. № 2 (3). С. 24-32. 2. Steganography: A Powerful Tool for Terrorists and Corporate Spies [Электронный ресурс]: Stratfor - Режим доступа: https:// Статистические методы стеганоанализа, разработанные для стеганоанализа www.stratfor.com/analysis/steganography-powerful-tool-terrorists-and-corporate-spies. пространственной области изображения, неэффективны при анализе 3. Swain G., Lenka S.K. Classification of image steganography techniques in spatial domain: a study. [Текст] Int. J. Comput. Sci. Eng. изображений, Tech, (IJCSET) 2014 vol. 5 Pages 219-232.содержащих встраивания в коэффициентах LL, LH, HL и HH; [Электронный ресурс]: Pingdom – Режим доступа: http://royal.pingdom.com/2013/01/16/internet4. Internet 2012 in numbers 2012-in-numbers/.  Наличие корреляции между исходным изображением и LL областью, 5. Steganography picture [Электронный FederalДВП bureauданного of investigation – Режим доступа: https://vault.fbi.gov/ghostполучаемой в ресурс]: результате изображения, а также заметное stories-russian-foreign-intelligence-service-illegals/images/steganography-picture/view. визуальное сходство, делает возможным применение статистических 6. Gireesh Kumar T., Jithin R., Deepa D. Shankar Feature Based Steganalysis Using Wavelet Decomposition and Magnitude Statistics методовEngineering стеганоанализа для обнаружения встраивания в коэффициенты [Текст], Advances in Computer (ACE), 2010, pp. 298-300. области LL. 7. Сивачев А.В., Прохожев Н.Н., Михайличенко О.В., Башмаков Д.А. Эффективность стеганоанализа на основе методов машинного обучения // Вопросы кибербезопасности. 2017. № 2 (20). С. 53-60.  Использование объема искажений, получаемого при применении 8. Prokhozhev N., Mikhailichenko O., Sivachev A., Bashmakov Steganalysis Evaluation: Reliabilities of статистических методов к D., LLKorobeynikov области,A.G. в Passive качестве дополнительного Modern Quantitative Steganalysis Algorithms [Текст] // Advances in Intelligent Systems and Computing. 2016. V. 451. Р. 89–94. параметра для методов стеганоанализа на основе машинного обучения doi:10.1007/978-3-319-33816-3_9 позволяет обнаружения встраивания 9. Rainer Böhme Advanced Statisticalповысить Steganalysisэффективность [Текст]. Springer Science & Business Media. 2010. 288 pв LL область 10. Gireesh Kumar T., Jithin R., Deepa D. Shankar. Feature Based Steganalysis Using Wavelet Decomposition and Magnitude Statistics, изображения до 30%. Advances in Computer Engineering (ACE) // International Conference on 2010. 2010. Р. 298–300. 11. Farid Hany. Detecting Steganographic Messages in Digital Images // Technical Reportдоктор TR2001-412, Dartmouth College, Рецензент: Коробейников Анатолий Григорьевич, технических наук,Computer Science Department, 2001. 12. Chunjuan Ouyang, Ming Guo, Huijuan Chen. Image Steganalysis Based on Spatial Domain and DWT Domain Features // Proceedings of the 2010 Second International Conference on Networks Security, Wireless Communications and Trusted Computing. 2010. V. 1. P. 329–331. 13. Yun Q. Shi, Guorong Xuan, Chengyun Yang, Jianjiong Gao, Zhenping Zhang, Peiqi Chai, Dekun Zou, Chunhua Chen, Wen Chen. Effective steganalysis based on statistical moments of wavelet characteristic function // International Conference on Information Technology: Coding and Computing (ITCC’05). 2005. V. 2. P. 768–773 14. Rhythm Walia Steganography based on neighborhood pixels // Advances in Computing, Communications and Informatics (ICACCI). 2013. P. 203–206. 15. Jiaohua Qin, Xuyu Xiang, Yu Deng, Youyun Li and Lili Pan. Steganalysis of Highly Undetectable Steganography Using Convolution Filtering // Information Technology Journal. 2014. V. 13 P. 2588–2592.

Вопросы кибербезопасности №1(25) - 2018

77


Методы и средства стеганографии

УДК 004.056.5

EFFICIENCY OF STATISTICAL STEGNA ANALYSIS METHODS IN DETECTION EMBEDDING IN WAVELET DOMAIN Sivachev A.2 Abstract. The subject of the study is the evaluation of the effectiveness of modern statistical methods of steganoanalysis, designed to detect embedding into the spatial domain, to detect embedding into the wavelet domain. Today methods of embedding information in the wavelet domain using steganography are being actively developed. The existing methods of steganoanalysis show a low efficiency of detecting the fact of embedding into the wavelet domain. Due to the low efficiency of detecting embedding in the wavelet domain, this article considers the possibility of adapting and using statistical methods of steganoanalysis of the spatial area to detect embedding in the wavelet domain. The analysis carried out in the work allows us to evaluate the practical possibilities of using statistical methods of steganoanalysis to detect embedding in the wavelet domain. When evaluating the effectiveness of statistical methods of steganoanalysis, the principle of creating equal conditions is used. The steganographic impact is modeled by changing the values of the penultimate significant bits of the DWT coefficients of all subbands separately, obtained with a single-level two-dimensional DWT. To ensure high reliability of the results, a collection with a large number of images is used. The result of the study is a graph showing the efficiency of detection of embedding into different subbands of the wavelet domain coefficients. The main result of the work is the proposed method of steganoanalysis, using machine learning, which provides high detection efficiency of embedding in the LL subband, based on the correlation between the image and the LL subband. Keywords: steganography, steganalysis, statistical methods, wavelet domain, discrete wavelet transform (DWT), LL subband, principle of equal conditions, machine learning, binary classification, passive attack

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

References Makarenko S.I. Etalonnaya model’ vzaimodeystviya steganograficheskikh sistem i obosnovanie na ee osnove novykh napravleniy razvitiya teorii steganografii, Voprosy kiberbezopasnosti. 2014. No 2 (3), pp. 24-32. Steganography: A Powerful Tool for Terrorists and Corporate Spies [Elektronnyy resurs]: Stratfor - Rezhim dostupa: https://www. stratfor.com/analysis/steganography-powerful-tool-terrorists-and-corporate-spies. Swain G., Lenka S.K. Classification of image steganography techniques in spatial domain: a study. [Tekst] Int. J. Comput. Sci. Eng. Tech, (IJCSET) 2014 vol. 5 Pages 219-232. Internet 2012 in numbers [Elektronnyy resurs]: Pingdom – Rezhim dostupa: http://royal.pingdom.com/2013/01/16/internet2012-in-numbers/. Steganography picture [Elektronnyy resurs]: Federal bureau of investigation – Rezhim dostupa: https://vault.fbi.gov/ghoststories-russian-foreign-intelligence-service-illegals/images/steganography-picture/view. Gireesh Kumar T., Jithin R., Deepa D. Shankar Feature Based Steganalysis Using Wavelet Decomposition and Magnitude Statistics [Tekst], Advances in Computer Engineering (ACE), 2010, pp. 298-300. Sivachev A.V., Prokhozhev N.N., Mikhaylichenko O.V., Bashmakov D.A. Effektivnost’ steganoanaliza na osnove metodov mashinnogo obucheniya, Voprosy kiberbezopasnosti. 2017. No 2 (20), pp. 53-60. Prokhozhev N., Mikhailichenko O., Sivachev A., Bashmakov D., Korobeynikov A.G. Passive Steganalysis Evaluation: Reliabilities of Modern Quantitative Steganalysis Algorithms [Tekst], Advances in Intelligent Systems and Computing. 2016. V. 451. R. 89–94. DOI:10.1007/978-3-319-33816-3_9. Rainer Böhme Advanced Statistical Steganalysis [Tekst]. Springer Science & Business Media. 2010. 288 p. Gireesh Kumar T., Jithin R., Deepa D. Shankar. Feature Based Steganalysis Using Wavelet Decomposition and Magnitude Statistics, Advances in Computer Engineering (ACE), International Conference on 2010. 2010. R. 298–300. Farid Hany. Detecting Steganographic Messages in Digital Images, Technical Report TR2001-412, Dartmouth College, Computer Science Department, 2001. Chunjuan Ouyang, Ming Guo, Huijuan Chen. Image Steganalysis Based on Spatial Domain and DWT Domain Features, Proceedings of the 2010 Second International Conference on Networks Security, Wireless Communications and Trusted Computing. 2010. V. 1. P. 329–331. Yun Q. Shi, Guorong Xuan, Chengyun Yang, Jianjiong Gao, Zhenping Zhang, Peiqi Chai, Dekun Zou, Chunhua Chen, Wen Chen. Effective steganalysis based on statistical moments of wavelet characteristic function, International Conference on Information Technology: Coding and Computing (ITCC’05). 2005. V. 2. P. 768–773 Rhythm Walia Steganography based on neighborhood pixels, Advances in Computing, Communications and Informatics (ICACCI). 2013. P. 203–206. Jiaohua Qin, Xuyu Xiang, Yu Deng, Youyun Li and Lili Pan. Steganalysis of Highly Undetectable Steganography Using Convolution Filtering, Information Technology Journal. 2014. V. 13 P. 2588–2592.

2  Aleksei Sivachev, postgraduate student, St. Petersburg National Research University of Information Technologies, Mechanics and Optics, St. Petersburg, Russia. E-mail: sivachev239@mail.ru

78

Вопросы кибербезопасности №1(25) - 2018

Vpr kb 1 2018  
Vpr kb 1 2018  
Advertisement