ДонНТУ Портал магистрів

RUS UKR ENG

Магістр ДонНТУ Цимбалова Анастасія Анатоліївна

Цимбалова Анастасія Анатоліївна

Факультет:комп'ютерних наук і технологій

Тема випускної роботи:

Розробка моделі розподілу та використання ресурсів, що виділяються на захист інформації

Науковий керівник: Губенко Наталія Євгенівна



РЕФЕРАТ
кваліфікаційної роботи магістра

“Розробка моделі розподілу та використання ресурсів, що виділяються на захист інформації”

Зміст



Актуальність

    Ефективний захист інформації - це одна з важливих сучасних проблем, так як інформаційний ресурс став одним з головних поштовхів економічного розвитку в сучасному світі. Застосування високих інформаційних технологій XXI століття, з одного боку, дає значні переваги в діяльності підприємств та організацій, а з іншого - потенційно створює передумови для витоку, розкрадання, втрати, спотворення, підробки, знищення, копіювання і блокування інформації і, як наслідок, нанесення економічного, соціального чи інших видів шкоди. Тобто з поширенням інформаційних технологій організації стають усе більш залежними від інформаційних систем та послуг. Тому проблема захисту інформації в наші дні стоїть особливо гостро. Забезпечення необхідного рівня захисту інформації задача досить складна, що вимагає для свого рішення створення цілісної системи організаційних заходів і застосування специфічних засобів та методів із захисту інформації [1].

    Одним з основних елементів науково-методійного базису захисту є саме моделі процесів захисту інформації . Основою для побудови цих моделей є спільні цілі (завдання) захисту інформації та умови, в яких здійснюється захист. Одним з питань, які виникають під час вирішення завдання побудови моделі системи захисту, є оцінка обсягу ресурсів , необхідних для забезпечення необхідного рівня захисту, та оптимальний їх розподіл , і відповідно в цій моделі визначальними повинні бути саме процеси розподілу ресурсів [2].

Цілі і завдання дослідження

    Основною метою магістерської роботи є розробка моделі розподілу та використання ресурсів, що виділяються на захист інформації та практичне застосування цієї моделі на підприємстві для доказу її ефективності та доцільності.

    Об'єктом дослідження є модель розподілу і використання ресурсів, що виділяються на захист інформації.

Відповідно до поставленої мети та об'єкта дослідження сформульовані наступні завдання:

  • огляд та аналіз існуючих моделей захисту інформації
  • розгляд моделі використання та розподілу ресурсів, системний аналіз моделі, виділення слабких та сильних сторін
  • розробка та вдосконалення моделі розподілу ресурсів, що виділяються на захист інформації
  • апробація розробленої моделі на підприємстві для доказу її ефективності та отримання практичних результатів

Наукова новизна

    Наукова новизна магістерської роботи полягає в систематизації існуючих підходів побудови моделі розподілу і використання ресурсів, які ще не буди опробовані на практиці, створення удосконаленої моделі на основі обраного методу, практична реалізація і апробація на підприємстві з аналізом отриманого результату, виділенням переваг і слабких місць створеної моделі.

Огляд досліджень і розробок за темою

    У зв'язку з великою цінністю інформації, а особливо, систем захисту інформації, що забезпечують її безпеку, роботи в цьому напрямку потребують подальшого розвитку та не втрачають своєї актуальності [1].

    У ДонНТУ проблемою вибору оптимальної системи захисту інформації займався Балинський С. Ю.. Їм було розглянуто концептуальний підхід до інформаційної безпеки та розроблено модель системи захисту інформації з використанням об'єктно-орієнтованого підходу. Носко Ю.В. на прикладі розподіленої інформаційна мережа підприємства ВАТ «АЗОКМ» розробила математичну модель універсальної корпоративної мережі. При цьому враховувалися такі фактори, як надійність технічних, програмних та організаційних засобів [3]. Химка С.С. займалася розробкою моделей та методів для створення системи інформаційної безпеки корпоративної мережі підприємства з урахуванням різних критеріїв, Селіна Н.В. проводила дослідження ефективності захищеності корпоративних систем засобами та методами візуального моделювання.

    В Україні можна виділити роботи Домарева В.В. з питань створення систем захисту інформації в умовах повної відкритості сучасних інформаційних технологій, систематизації нових відомостей про питання забезпечення інформаційної безпеки, формування цілісного уявлення про проблеми захисту інформації, шляхів створення систем захисту інформації, Грездова Г.Г. з питань формування економічно ефективної комплексної системи захисту інформації, а також, способів вирішення завдань формування комплексної системи захисту інформації в автоматизованих системах, оцінки залишкового ризику, вибору засобів захисту інформації, Петренко С.А., Симонова С.В. з питань побудови економічно обгрунтованих систем забезпечення інформаційної безпеки, розробки методик та технологій управління інформаційними ризиками, обгрунтуванням інвестицій у безпеку, оцінки витрат на захист інформації та багато інших робіт [1,4].

    У Росії та в Україні тематика та вирішення проблем щодо забезпечення інформаційної безпеки в більшості робіт перетинаються між собою і мають як багато спільного, так і багато відмінностей.

    У Росії з загальних питань забезпечення захисту інформації можна виділити роботи Лукацького А.В , Галатенко В.А , Герасименко В.А , Малюка О.О. , зі створення загальної математичної моделі захисту інформації - Костіна Н . А , за методами, способами і засобами захисту, тобто інженерно-технічного захисту - Чекатова А.А , Хорошко В.О., Торокіна А.А, Хорєєва О.А. і багатьох інших.

    Якщо в України та Росії концептуальні та науково-методологічні основи інформаційної безпеки ще тільки починають розроблятися із-за досить не давньої інформатизації суспільства та застосування високих технологій, то в глобальному контексті, інформаційна безпека розвивається вже давно і дуже активно, про що свідчить велика кількість англомовних робіт на дану тематику і коло вирішуваних проблем.

    Активним учасником у розробці, прийнятті та використанні всесвітньо визнаних знань та практик для інформаційних систем є незалежна, некомерційна, глобальна асоціація ISACA , яка має у своєму складі більш 9500 членів, які живуть і працюють в більш ніж 160 країнах. Одна з її останніх робіт, яка на даний момент є дуже актуальною - The Business Model for Information Security (Бізнес модель для інформаційної безпеки), яка представляє собою цілісні, динамічні рішення для проектування, впровадження та управління інформаційною безпекою [5,6].

    Що стосується математичних моделей безпеки в комп'ютерних системах, тут вже більше 40 років займає головні позиції Bell-La Padula Model , яка є базою багатьох концептуальних інструментів для аналізу і проектування надійних комп'ютерних систем, її принципи безпеки доводять своє ефективне застосування в різних комп'ютерних та мережевих середовищах. Саме ця модель активно використовується, як джерело, в роботах багатьох авторів.

    Можна виділити також Biba model , яка визначає сімейство різних стратегій, які використовуються для забезпечення цілісності, але ця модель використовується виключно для цілісності, вона нічого не робить для забезпечення конфіденційності, з цих причин, вона об'єднується з іншими моделями безпеки, наприклад, з Белл-La Padula моделлю, для забезпечення цілісності і конфіденційності [7]. Існує велика кількість різноманітних моделей, але, жодна з них, не може бути ефективною для всіх ситуацій, тому вони використовуються в комплексі.

    У даній роботі для докладного розгляду та вивчення була обрана модель розподілу засобів захисту, запропонована Грездовим Г.Г., тому що методи математичного моделювання, що використовуються при побудові даної моделі, надають велику допомогу в побудові ефективної системи інформаційної безпеки. По-перше, саме з їх допомогою можна наочно довести менеджерам, що вкладення коштів у СІБ дійсно заощаджує гроші компанії, а по-друге, в умовах обмеженості ресурсів, відпущених на СІБ, за допомогою цих методів можна вибрати найбільш оптимальний комплекс засобів захисту, а також змоделювати, наскільки створена СІБ виявиться ефективною в боротьбі проти найбільш поширених загроз [8].

Загальна модель процесу захисту інформації

    Процес захисту інформації - це процес взаємодії загроз, що впливають на інформацію, і засобів захисту інформації, які перешкоджають їх впливу [4].

      У загальному вигляді модель процесу захисту інформації в ІС може бути представлена так, як це показано на рисунку 1.

Рисунок 1 -Загальна модель процесу захисту інформації

    Процес захисту інформації необхідно також розглядати як процес розподілу ресурсів, виділяються на захист інформації. Оптимальний вибір засобів захисту представляється непростим завданням, яку у подальший планується вирішити, створивши вдосконалену модель використання та розподілу ресурсів, що виділяються на захист інформації[9].

Модель розподілу ресурсів

    На рисунку 2 представлений поетапний процес побудови моделі [9].

Рисунок 1 - Загальна модель процесу вибору засобів захисту інформації

    Модель розподілу ресурсів будується виходячи з можливостей противника і сторони, що захищається, на підставі моделі загроз, а також моделі оцінки втрат, так як виходячи з економічної доцільності у виборі засобів захисту, витрати на засоби захисту не повинні перевищувати передбачуваний збиток від порушення інформаційної безпеки [9,10].

    Модель розподілу ресурсів можна описати формально. Вона складаэться з:

  • безлічі загроз інформації;
  • безлічі кількісних оцінок втрат системи, у разі успішної реалізації загроз інформації;
  • безлічі кількісних оцінок втрат системи у випадку застосування засобів захисту інформації;
  • безлічі засобів для реалізації деструктивних дій;
  • безлічі порушників;
  • безлічі засобів захисту інформації;
  • часу, яким володіє атакуюча сторона для реалізації загрози;
  • фінансовими коштами, якими володіє противник;

    Більш детальний аналіз моделі ще не був зроблений, на даному етапі розглядається постановка задачі та її рішення, надалі планується удосконалення моделі.

<

    Розглянемо модель використання ресурсів, так як ця модель є складовою частиною загальної моделі процесу вибору засобів захисту (див рисунок 2). Результати побудови даної моделі важливі для побудови моделі противника, моделі загроз, моделі оцінки втрат, а також моделі розподілу ресурсів [4,9].

Модель використання ресурсів

    Інформацію, апаратне і програмне забезпечення, обслуговуючий персонал, а також приміщення, в яких розміщуються вузли функціонування сиcтеми будемо розглядати як ресурси системи [4,9].

    Основним ресурсом є інформація . Захист інформації повинен забезпечуватися на всіх етапах її обробки, так як саме інформація є предметом посягання зловмисників. Інформацію, що знаходиться на вузлах функціонування системи можна описати як інформація, яка надходить для обробки, прийнята для обробки і поступає на вихід. Форми подання інформації можуть бути найрізноманітнішими. Інформація може перебувати на знімних носіях, на паперових носіях, в оперативній пам'яті ЕОМ, у файлах на жорстких дисках, в каналах зв'язку мережі передачі даних [1,11].

    Для побудови моделі використання інформації необхідно знати, яка інформація і в якому вигляді знаходиться на зазначених ділянках системи. Модель використання інформації можна представити таким чином:

     де

  • MI - модель використання інформації системи;
  • k - число ділянок функціонування системи;
  • MIj - модель використання інформації системи для j-ої ділянки функціонування системи [9].

    Модель використання інформаційних ресурсів j-ою ділянкою функціонування системи можна представити наступним чином:

модель использования информации

     де

  • MIj - модель використання інформаційних ресурсів j-oю ділянкою функціонування системи;
  • In(I)j - безліч станів, у яких інформація надходить на ділянку функціонування для її обробки;
  • Out(I)j - безліч станів, у яких інформація надходить на вихід ділянки функціонування після її обробки;
  • P(I)j - безліч станів, у яких інформація знаходиться на ділянці функціонування під час її обробки [9].

    Наступний ресурс - це апаратне забезпечення , до складу якого входять:

  • сервера і робочі станції користувачів,
  • система передачі даних,
  • пристрої для тиражування та копіювання.

    •     Саме апаратні засоби забезпечують припинення розголошення, захист від витоку і протидії несанкціонованому доступу до джерел конфіденційної інформації [1,11].

    Модель використання апаратного забезпечення системи можна представити таким чином:

     де

  • AO - модель використання апаратного забезпечення;
  • N - число засобів апаратного забезпечення;
  • AOi - модель використання i-го апаратного засобу [9].

    Модель використання i-го апаратного засобу має вигляд:

модель использования аппаратного обеспечения

     де

  • Pi - безліч приміщень, в яких знаходиться i-ий апаратний засіб;
  • POi - безліч програмних засобів, що використовуються i-им апаратним засобом;
  • Ii - безліч станів інформації, що знаходиться на i-му апаратному засобі;
  • UFi - безліч ділянок функціонування, в яких задіян i-ий апаратний засіб;
  • Ui - безліч користувачів, що мають доступ до i-ого апаратного засобу [9].

    Наступний ресурс - це приміщення . Приміщення включають в свій склад системи електроживлення, водопостачання, телефонні лінії і т.п. Окремої уваги заслуговує розміщення приміщень, тип будматеріалів, що використовуються при будівництві стін, перекриттів, вікон, дверей [1,11].

    Модель використання приміщень можна представити наступним чином:

     де

  • P - модель використання приміщень системи;
  • M - число приміщень в системи;
  • Pi - модель використання i-го приміщення системи [9].

    Модель використання i-го приміщення системи має вигляд:

модель использования помещений

     де

  • Wi - безліч перекриттів i-го приміщення системи;
  • Si - безліч систем, що забезпечують функціонування i-го приміщення системи;
  • AO i - безліч засобів апаратного забезпечення, що знаходяться в i-му приміщенні системи;
  • Ii - безліч станів інформації, що знаходиться в i-му приміщенні системи;
  • UFi - безліч ділянок функціонування, що знаходяться в i-му приміщенні системи;
  • Ui - безліч користувачів, що мають доступ в i-е приміщення системи [9].

    Наступний ресурс - це користувачі або персонал , тобто люди, що забезпечують функціонування:

  • Системні програмісти,
  • Обслуговуючий персонал,
  • Адміністратори банків даних,
  • Диспетчери та оператори АС,
  • Адміністрація АС,
  • Користувачі,
  • Служба захисту інформації [4]

    Потрібно розрізняти поняття "користувач" і "роль".

  • Користувач - це людина, що працює з системою і виконує певні службові обов'язки.
  • Роль - це активно діюча в системі абстрактна сутність, з якою пов'язаний обмежений, логічно зв'язаний набір повноважень, необхідних для здійснення певної діяльності.

    Крім того, кількість ролей у системі може не відповідати кількості реальних користувачів - один користувач, якщо на ньому лежать різні обов'язки, потребує різних повноважень, може виконувати (одночасно або послідовно) кілька ролей, а кілька користувачів можуть користуватися однією і тією ж роллю, якщо вони виконують однакову роботу [12].

    Модель опису користувачів системи можна представити наступним чином:

     де

  • U - модель опису користувачів системи;
  • L - число користувачів в системі;
  • Ui - модель використання i-го приміщення системи [9].

    Модель i-го користувача буде виглядати наступним чином:

модель описания пользователей

     де

  • Ri - безліч ролей i-го користувача;
  • Pi - безліч приміщень, у які має доступ i-й користувач;
  • AOi - безліч засобів апаратного забезпечення, до яких має доступ i-й користувач;
  • UFi - безліч ділянок функціонування, до яких має доступ i-й користувач системи [9].

    На рисунку 2 схематично представлено взаємодію описаних вище моделей.

взаимодействие моделей
Рисунок 2 - Взаимодія моделей
(рисунок анімований; об'єм = 25,7 Кб; розмір: 620х505; кількість кадрів - 9; затримка між кадрами - 80 мс; затримка між останнім і першим кадрами - 80 мс, кількість циклів повторення - нескінченно)

    Модель використання ресурсів будується на основі наведених вище моделей, але це тільки в загальному випадку, так як модель може бути удосконалена для конкретного виду підприємства, куди ця модель буде впроваджуватися. Результати цієї моделі дуже важливі, тому що вони знадобляться для побудови моделей загроз інформації, моделі противника, моделі оцінки втрат, а також необхідні для адекватної оцінки системи, визначення функціональних ділянок системи, класифікації обслуговуючого персоналу, описи правил доступу до інформації і т.д. Список можливих форм представлення інформації на ділянках функціонування системи знадобляться при формуванні моделі загроз, а також для отримання вимог до засобів захисту інформації [1,9].

Аналіз моделі використання ресурсів

    Як показує аналіз з позиції системного підходу, модель використання ресурсів є ефективною для формування комплексної, планової, цілеспрямованої, активної і надійної системи захисту інформації. У даній моделі видно чітку взаємодію кожного з розглянутих ресурсів системи, адже головне в координації діяльності інформаційної безпеки - це поповнення і розподіл цих ресурсів [13].

    Виділимо сильні сторони розглянутої моделі:

  • для моделі використання апаратного забезпечення враховані такі відомості, як його розміщення, використання програмних засобів та інформації, доступ користувачів до даного апаратного забезпечення.
  • для побудови моделі використання приміщень враховані такі відомості, як перекриття даних приміщень, перебувають у них системи функціонування, апаратні засоби та інформація, а також користувачі, що мають доступ до данних приміщення.
  • для побудови моделі опису користувачів враховані безліч приміщень і апаратних засобів, до яких користувачі має доступ в залежності від їх ролі [1].

    Але, як і будь-яка модель, модель використання ресурсів має деякі слабкі сторони:

  • для побудови моделі використання інформації необхідно врахувати ступінь важливості інформації (дуже висока, висока, середня, невисока), обсяг (дуже великий, великий, середній, малий), Інтенсивність обробки (дуже висока, висока, середня, низька) так, як саме ці знання потрібні для зіставлення загроз та можливої шкоди від них стосовно до різних умов або різних зонах захисту [4].
  • для побудови моделі опису користувачів також необхідно врахувати ступінь важливості інформації і доступ до ній залежно від ролі користувачів.

    Необхідно посилити контроль над діяльністю користувачів, так як вони є головним джерелом загроз на підприємстві:

  • контроль за дотриманням організації фізичного захисту , що включає в себе доступ в приміщення, збереження конфіденційності, введення журналів реєстрації подій, де фіксіоуется час запуску і зупинки систем, системні помилки, збої, організації доступу до носіїв інформації, доступу до документації з ІВ,
  • контроль при організації доступу в багато користувальницькому режимі , що включає в себе реєстрацію користувача, керування паролями користувача, управління привілеями, перегляд прав доступу користувача, управління привілейованим доступом для адміністрування системи [1],
  • обмеження доступу до сервісів , що включає в себе контроль за дотриманням правил використання електронної пошти та електронного документообігу, управління доступом до додатків і сервісів, контроль за використанням системних програм [4].

Тому, передбачається удосконалити модель, тобто до безлічі користувачів і ролей додати безліч повноважень на доступ до об'єктів, і безліч сеансів роботи користувачів із системою.

    Удосконалена модель i-го користувача буде виглядати наступним чином:

    Управління доступом здійснювалося б у дві стадії: спочатку для кожної ролі вказувався б набір повноважень,який представляє набір прав доступу до об'єктів, а потім кожному користувачеві призначався б список доступних йому ролей. Повноваження призначалися б ролям у відповідності з принципом найменших привілеїв, з якого випливає, що кожен користувач повинен володіти тільки мінімально необхідним для виконання своєї роботи набором повноважень [12].

    - що стосується апаратних засобів, слід чітко розробити політику відстеження застарілих апаратних засобів та впровадження нових, а також відображення цих нововведень в моделі [1].

Плановані практичні результати

    Проведений аналіз існуючих методик та методів дозволив виділити покроковий процес розробки моделі розподілу та використання ресурсів для підприємства, де дана модель буде проходити апробацію. Він представлений на рисунку 3

Рисунок 3 - Покроковий процес розробки моделі розподілу та використання ресурсів для підприємства

Висновки

    Завдання вибору засобів захисту інформації може вирішуватися як при проектуванні системи захисту інформації, так і для підвищення ефективності існуючих систем захисту інформації. Практика функціонування автоматизованих інформаційних систем показує, що досягнення 100%-го рівня безпеки - справа дорога і не завжди доцільне, оскільки: навіть найдосконаліша на сьогодні система інформаційного захисту не може протидіяти загрозам, які можуть виникнути в подальшому; вартість комплексного захисту може виявитися значно вище, ніж вартість захищаються інформаційних ресурсів [8,9].


    Список літератури
  • 1. Цымбалова А.А, Губенко Н.Е.Анализ модели использования ресурсов с точки зрения информационной безопасности. Информационные управляющие системы и компьютерный мониторинг — 2011 / Материали II всеукраинской научно-технической конференции студентов, аспирантов и молодых учёных. — Донецк, ДонНТУ — 2011, с. 292-295.
  • 2.Корнеев Д.В. Обобщенная модель системы защиты ресурсов распределения вычислительной сети [Електроний ресурс] — Режим доступа к статье: Режим доступу до статті: URL: http://admin.smolensk.ru/virtual/expo/html/tesis.htm
  • 3. Химка С.С. Разработка моделей и методов для создания системы информационной безопасности корпоративной сети предприятия с учетом различных критериев /Химка С.С. Автореферат [Електроний ресурс] — Режим доступа к статье: Режим доступу до статті: http://masters.donntu.ru/2009/fvti/khimka/diss/index.htm
  • 4.Домарев В.В. Безопасность информационных технологий. - :ТИД Диа Софт, 2002 - с. 688
  • 5. Official ISACA site [Електроний ресурс] — Режим доступа до статті: Режим доступу до статті http://www.isaca.org.
  • 6. Official ISACA site. The Business Model for Information Security [Електроний ресурс] — Режим доступу до статті: http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx
  • 7. Nina Dobrinkova. Information Security – Bell-La Padula Model [Електроний ресурс] — Режим доступу до статті: http://www.iit.bas.bg/PECR/62/53-59.pdf
  • 8.Табаков А.Б. Разработка моделей оптимизации средств защиты информации для оценки страхования информационных рисков [Електроний ресурс] — Режим доступу до статті:http://ej.kubagro.ru/2005/04/02/
  • 9. Грездов Г. Г. Способ решения задачи формирования комплексной системы защиты информации для автоматизированных систем 1 и 2 класса [Текст] / Г. Г. Грездов // ( Препринт/ НАН Украины. Отделение гибридных управляющих систем в энергетике ИПМЭ им. Г. П. Пухова НАН Украины; № 01/2005) – Киев : ЧП Нестреровой, 2005. – С. 66.
  • 10 Трифаленков Илья, Макоев Владимир. Критерии выбора средств защиты информации [Електроний ресурс] — Режим доступу до статті: http://www.jetinfosoft.ru/download/public/cio_06_02_y.pdf
  • 11.Малюк А.А., Пазизин С.В, Погожин С.С. Введение в защиту информации в автоматизированных системах. [Текст] – М.: Горячая линия - Телеком, 2001. – C 148 .
  • 12.Гусев М.О.Открытые информационные системы и защита информации [Електроний ресурс] — Режим доступу до статті: http://jre.cplire.ru/jre/sep05/1/text.html
  • 13.Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учебное пособие для вузов. [Текст] – М.: Горячая линия - Телеком, 2004. – C 280.

Зауваження

    При написанні даного реферату магістерська робота ще не завершена. Остаточне завершення - грудень 2011 року. Повний текст роботи та матеріали можуть бути отримані у автора або наукового керівника після зазначеної дати.


        Про автора        Автобіографія        

@ 2011 Анастасія Цимбалова ДонНТУ