|
Название элементов проектной работы
|
%
|
Сроки
|
% выполнения
|
Подпись руководителя, консультанта
|
|
Введение
|
|
|
|
|
|
Глава 1
|
|
|
|
|
|
Глава 2
|
|
|
|
|
|
Глава 3
|
|
|
|
|
|
Организационно-экономическая часть
|
|
|
|
|
|
Безопасность и экологичность
|
|
|
|
|
Реферат
Пояснительная записка содержит 128 с., 18 рисунков, 13
таблиц, 103 источника.
Ключевые слова: автоматизированная информационная система,
ложная информационная система, игровые риск-модели, теория игр.
Объектом исследования дипломной работы является ложная
информационная система, реализующая защиту автоматизированной информационной
системы с использованием математического аппарата теории игр.
Предметом исследования дипломной работы является оценка
эффективности работы ложной информационной системы с учетом игровых
риск-моделей.
Цель дипломной работы заключается в разработке и формализация
методик оценки рисков и управления эффективностью ложной информационной системы
с учетом использования теоретико-игрового подхода.
В исследовании предполагается использовать методы теории игр,
методы теории вероятности, методы математической статистики и статистического
анализа, методы теории графов, методы аналитического моделирования, методы
теории рисков.
Полученные результаты и их новизна:
отличительной особенностью работы является изучение
безопасности АИС с использованием теоретико-игрового подхода при принятии
решений ЛИС;
2 в отличие от аналогичных работ, полученная
риск-модель АИС, в отношении которой реализуются атаки, учитывает различные
игровые модели и вероятностный подход к принятию решений;
в данной работе получены функции эффективности
работы ЛИС по различным риск-моделям, предложен подход к управлению
эффективностью работы ЛИС, основанный на оптимизации производительности,
выделяемой для создания эмулированных объектов.
Практическая ценность работы заключается в том, что:
анализ основных видов удаленных атак, воздействующих
на компоненты АИС, позволяет выявить требования к увеличению эффективности,
предъявляемые к разрабатываемым ЛИС;
2 построенная риск-модель АИС отражает этапы реализации
защиты ЛИС и различные игровые сценарии, а так же позволяет всесторонне
оценивать процесс реализации защиты;
3 полученные выражения эффективности работы ЛИС на базе
разработанных моделей реализации атаки позволяют не только оценить
эффективность защиты, но и оптимизировать затраты на защиту АИС.
Содержание
Задание на выпускную квалификационную работу
Реферат
Введение
1. Принципы функционирования ложных информационных систем
1.1 Причины использования ложных информационных систем
1.2 Классификация ложных информационных систем
1.3 Архитектура современных ложных информационных систем
1.4 Применение теории игр для решения проблем, связанных с созданием
ложных информационных систем
1.5 Требования, предъявляемые к современным ложным информационным
системам
1.7 Постановка задач исследования
2. Риск-моделирование защиты автоматизированной информационной
системы посредством ложной информационной системы
2.1 Принципы риск-моделирования защиты автоматизированной
информационной системы посредством ложной информационной системы
2.2 Моделирование защитных действий ложной информационной системы
на этапе анализа вредоносных воздействий злоумышленника
2.3 Моделирование защитных действий ложной информационной системы
на этапе эмуляции объектов
2.4 Игровые сценарии взаимодействия ложной информационной системы и
злоумышленника
2.4.1 Разработка чистых стратегии ложной информационной системы и
злоумышленника
2.4.2 Принятие решения ложной информационной системой в условиях
неопределенности
2.4.3 Принятие решения ложной информационной системой в условиях
риска
2.4.4 Принятие решения ложной информационной системы в условиях
дуэли
2.4.5 Вероятностный подход к принятию стратегии в условиях
реализации атаки с учетом защиты ложной информационной систем
2.5 Выводы по второй главе
3. Управление эффективностью работы ложной информационной системы
3.1 Управление эффективностью работы ложной информационной системы
c учетом оптимизации расходуемых ресурсов
3.2 Оптимизация ресурсов, расходуемых ЛИС в процессе работы
3.3 Выводы по третьей главе
4. Организационно-экономическая часть
4.1 Формирование этапов и перечня работ по оценке рисков и анализа
эффективности работы ложной информационной системы по различным игровым
сценариям
4.2 Определение трудоемкости исследования по оценке рисков и
анализа эффективности работы ложной информационной системы по различным игровым
сценариям
4.3 Разработка календарного плана проведения исследования по оценке
рисков и анализа эффективности работы ложной информационной системы по
различным игровым сценариям
4.4 Расчет сметной стоимости и договорной цены исследования по
оценке рисков и анализа эффективности работы ложной информационной системы по
различным игровым сценариям
4.5 Прогнозирование ожидаемого экономического эффекта от
использования результатов исследования по оценке рисков и анализа эффективности
работы ложной информационной системы по различным игровым сценариям
4.6 Пример расчёта экономического ущерба вследствие реализации атак
с учетом работы ложной информационной системы по различным игровым сценариям
4.7 Выводы по четвертой главе
5. Безопасность и экологичность
5.5 Безопасность производственной среды
5.5.1 Анализ вредных и опасных факторов при работе с персональным
компьютером
5.1.2 Анализ влияния уровня освещённости
5.1.3 Воздействие электрического тока
5.1.4 Меры защиты
5.2 Расчет параметров вентиляции рабочей зоны
5.3 Чрезвычайные ситуации
5.4 Требования по пожарной безопасности
5.5 Экологичность проекта
Заключение
Список литературы
Введение
Основной тенденцией в современном мире сегодня является
переключение государств на инновационный путь развития. Этот путь подразумевает
активное внедрение и широкое применение новейших и прогрессивных информационных
технологий в следующих областях деятельности государств: экономике, финансах,
промышленности, энергетики, национальной безопасности, транспорта, науки,
здравоохранения, образования и многих других [35-37].
Однако повсеместное и свободное использование информационных
технологий не представляется возможным без решения проблем собственной
безопасности самих технологий. Это решение выражается не только в использовании
и развитии традиционных методов и средств защиты информации, но и в образовании
новых нестандартных подходов к обеспечению безопасности информационных ресурсов
и систем. Примером такого подхода может служить систематическое поэтапное
внедрение методов активной защиты, которые включают в себя методы дезинформации
потенциального нарушителя, введения его в заблуждение. Частым случаем такого
подхода является метод, при котором истинные информационные объекты,
находящиеся в системе, защищают путем создания ложных информационных объектов,
которые отвлекают на себя нарушителя. Метод дезинформирования потенциального
нарушителя не является чем-то новым - он широко применяется военными при
проведении специальных мероприятий. Смысл такого подхода достаточно прост: чем
лучше реальные объекты замаскированы, тем меньше вероятность нанесения им ущерба.
На данный момент данная тема широко изучается в зарубежных странах. В свете
последних событий, происходящих в мире, метод введения в заблуждение
потенциального противника приобретает всё большую актуальность и в Российской
Федерации: Указ Президента №31с от 15 января 2013 года обязывает создать
государственную систему обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской Федерации [3].
В ИС всегда присутствует вероятность наличия неизвестных
уязвимостей, а также уязвимостей в программном обеспечении самих средств
защиты. В такой ситуации традиционные подходы к защите информации не могут
обеспечить нужный уровень защиты информации при приемлемых финансовых затратах.
Поэтому сегодня всё более актуальным становится применение ложных
информационных систем (ЛИС), реализующих стратегию обмана. Целесообразность
использования ЛИС в целях защиты информации отмечается в нормативном правовом
акте ФСТЭК России приказе №17 от 11 февраля 2013 года "Требования по защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах". Реализуя защиту информационной
системы с помощью ЛИС, тем самым отвлекая нарушителя на ложный информационный
ресурс, можно не только защитить информационную систему, но и найти уязвимости
этой системы, которые ранее были неизвестны [102].
ЛИС - это программно-аппаратные средства защиты информации,
которые реализуют функцию сокрытия защищаемых информационных систем, а также
дезинформируют потенциальных нарушителей. Сбор и фиксация данных о совершенных
атаках на ИС, межсетевое экранирование, системы обнаружения вторжений и
дезинформация потенциальных нарушителей - с их помощью ЛИС позволяют в реальном
масштабе времени выявлять совершаемые атаки, направлять их на ложные объекты,
исследовать действия нарушителей и определять их намерения, а также выявлять
неизвестные ранее уязвимости ИС [2, 28].
Развитию практики применения ЛИС для защиты информационных
систем способствует всё более активное внедрение технологий виртуализации,
появление программных средств виртуализации, которые дают возможность
сгенерировать виртуальную инфраструктуру и управлять ею. Перед использованием
ЛИС необходимо рассчитать, насколько эффективно можно с её помощью ввести в заблуждение
нарушителя и при этом не создать высокой дополнительной вычислительной нагрузки
для функционирования защищаемой информационной системы, так как при
использовании технологий виртуализации ЛИС будет потреблять вычислительный
ресурс истинной информационной системы. Однако при использовании ложной
информационной системы следует помнить о том, что чем больше ложных объектов
создается, тем меньше вероятность нападения на реальный элемент информационной
системы. Единственный недостаток данного подхода заключается в следующем: чем
больше ложных объектов в системе, тем больше требуется ресурсов для ее
создания. Также требуется квалифицированный и обученный персонал для
обслуживания ЛИС [2, 28].
Следует отметить, что при применении такого подхода для
защиты информации необходимы обязательный учет максимального числа возможных
стратегий вероятного нарушителя, собственных стратегий стороны, защищающей
информационную систему, а также точное понимание возникающих угроз и рисков при
реализации каждой стратегии. То есть защищающая сторона должна принимать
эффективные решения в условиях конфликтного взаимодействия с вероятным
нарушителем. В то же время очевидно, что достижение заданной эффективности при
принятии решений без обращения к конкретному математическому аппарату вызовет
серьезные затруднения. Так как имеется изначальный конфликтный характер
взаимодействия защищающей стороны и нарушителя, то целесообразно рассмотреть
возможность использования аппарата теории игр [35].
Игра между защищающей стороной и нарушителем является игрой с
неполной информацией, так как ни одной из сторон заранее неизвестен следующий
ход другой стороны. Это является первой проблемой при использовании аппарата
теории игр. Чтобы система защиты была эффективна, следует рассмотреть несколько
игровых сценариев, по которым может идти игра между двумя сторонами, а именно:
дуэль, игру с природой, задачу о садовнике [12].
Актуальность темы. В силу того, что поведение злоумышленника
при реализации атаки в автоматизированной информационной системе редко имеет
детерминированный характер, использование математического аппарата теории игр
при принятии решений ложной информационной системой по стратегии защиты имеет
огромную область исследования. Применимость теории игр в рамках работы ложной
информационной системы мало исследована как в отечественных, так и зарубежных
источниках. В связи с этим работа по оценке эффективности разрабатываемых
ложных информационных систем, использующих теорию игр при принятии стратегий
защиты, является актуальной.
Объектом исследования дипломной работы является ложная
информационная система, реализующая защиту автоматизированной информационной
системы с использованием математического аппарата теории игр.
Предметом исследования дипломной работы является оценка
эффективности работы ложной информационной системы с учетом игровых
риск-моделей.
Цель дипломной работы заключается в разработке и формализация
методик оценки рисков и управления эффективностью ложной информационной системы
с учетом использования теоретико-игрового подхода. Для реализации данной цели
необходимо решить приведенные ниже задачи:
провести исследование ЛИС с учетом оценки сценариев
поведения злоумышленника;
2 сформулировать принципы риск-моделирования защиты
автоматизированной информационной системы посредством ложной информационной
системы
ложная информационная система защита
3 разработать математические модели атак, учитывающие
этапность протекания процесса выбора стратегий защиты ложной информационной
системы в рамках игровых риск-моделей;
4 разработать игровые сценарии взаимодействия ложной
информационной системы и злоумышленника как в условиях неопределенности, так и
в условиях риска;
провести оценку функции ущерба и рисков реализации
атак в рамках применения различных игровых моделей взаимодействия ЛИС и злоумышленника;
разработать новый подход к управлению эффективностью
ЛИС, основанный на оптимизации производительности, выделяемой для создания
эмулированных объектов;
разработать алгоритм управления эффективностью ЛИС.
Степень обоснованности научных положений, выводов и
рекомендаций, сформулированных в дипломной работе, обеспечивается корректным
использованием математических методов в приложении обозначенному предмету
исследования.
В исследовании предполагается использовать методы теории игр,
методы теории вероятности, методы математической статистики и статистического
анализа, методы теории графов, методы аналитического моделирования, методы
теории рисков [16, 33, 34, 42].
Научная новизна исследования.
В настоящей работе получены следующие основные результаты,
характеризующиеся научной новизной:
отличительной особенностью работы является изучение
безопасности АИС с использованием теоретико-игрового подхода при принятии
решений ЛИС;
2 в отличие от аналогичных работ, полученная
риск-модель АИС, в отношении которой реализуются атаки, отличающаяся от
известных введением учета различных игровых моделей и вероятностного подхода к
принятию решений.
в данной работе получены функции эффективности
работы ЛИС по различным риск-моделям, предложен уникальный подход к управлению
эффективностью работы ЛИС, основанный на оптимизации производительности,
выделяемой для создания эмулированных объектов. Разработанный алгоритм
оптимизации позволяет перейти от качественных к количественным процедурам
анализа эффективности и характеристик ЛИС.
Практическая ценность работы заключается в том, что:
анализ основных видов удаленных атак, воздействующих
на компоненты АИС, позволяет выявить требования к увеличению эффективности,
предъявляемые к разрабатываемым ЛИС;
построенная риск-модель АИС отражает этапы
реализации защиты ЛИС и различные игровые сценарии, а так же позволяет
всесторонне оценивать процесс реализации защиты. Вариативность сценариев выбора
стратегий злоумышленника и ЛИС позволяет имитировать разнообразные варианты
построения и функционирования ЛИС и, тем самым, оценивать эффективности работы
ЛИС в составе различных АИС;
полученные выражения эффективности работы ЛИС на
базе разработанных моделей реализации атаки позволяют не только оценить
эффективность защиты, но и оптимизировать затраты на защиту АИС применительно к
конкретным ЛИС.
1. Принципы
функционирования ложных информационных систем
1.1 Причины
использования ложных информационных систем
Главной целью защиты любой конфиденциальной информации
является предотвращение ознакомления с нею нарушителей, не имеющих на это
соответствующего разрешения [59].
Одним из эффективных способов противодействия компьютерным
атакам на информационные системы является применение ложных информационных
систем в системе защиты информации. Чтобы понять преимуществ ЛИС и причины их
использования, рассмотрим этапы реализации атаки на информационную систему и
механизмы защиты информации, которые должны выполняться на каждом этапе
осуществления атаки. Эти механизмы защиты информации и фазы жизненного цикла
представлены на рисунке 1.1 Основными этапами любого инцидента безопасности
можно назвать: предупреждение угрозы безопасности, реализация угрозы и
возникновение инцидента, нанесение ущерба и восстановление ресурсов защищаемой
системы после нанесения ущерба [33, 38, 44].
Рисунок 1.1 - Цикл инцидента безопасности
Угроза - это потенциальная или действительно существующая
опасность совершения какого-либо вредоносного акта, направленного на
информационный ресурс объекта защиты, стремящегося причинить ущерб
собственнику, владельцу или пользователю, выражающаяся в искажении и потере
информации.
Угрозы можно классифицировать на преднамеренные, отражающие
следствия умышленных действий нарушителей, и непреднамеренные, то есть
вызванные неверными действиями сотрудников, сбоями и отказами в
функционировании технических и программных средств или стихийными бедствиями
[61, 103].
Реализация одной или нескольких преднамеренных угроз
представляет собой атаку. При этом атака является попыткой преодоления защиты
автоматизированной информационной системы, степень успеха которой зависит от
уязвимости системы и эффективности защитных мер [26,27,49].
Основными видами угроз являются угрозы конфиденциальности,
целостности и доступности. Угрозы конфиденциальности нацелены на разглашение
информации, то есть в результате реализации этих угроз лицо, которое не должно
иметь доступа к данным сведениям, становится их обладателем. Это явление
называется несанкционированным доступом (НСД), под которым понимается доступ к
информации, нарушающий установленные правила разграничения доступа. Угрозы
целостности - это искажение или изменение информации, располагающейся в
вычислительной системе или передаваемой по каналам связи, лицом, не имеющим полномочий
для данных операций. Целостность информации подвергается нарушениям как со
стороны нарушителя, так и вследствие неумышленных реакций, исходящих от среды
эксплуатации системы. Угрозы нарушения доступности (отказа в обслуживании)
ориентированы на формирование таких ситуаций, когда в итоге преднамеренных или
непреднамеренных действий уменьшается работоспособность вычислительной системы,
или ее ресурсы становятся совершенно недоступными.
Можно выделить следующие группы механизмов защиты информации,
реализация которых вполне допустима на различных фазах жизненного цикла
инцидента безопасности [10, 36, 37]:
- предупреждение;
- введение в заблуждение (обман) нарушителя;
- обнаружение;
- реагирование;
- нейтрализация и устранение последствий;
- оценка инцидента и принятых мер.
Механизмы введения в заблуждение (обмана) нарушителей - это
специализированный вид механизмов защиты, определенных для принуждения
нарушителей принимать ложную информацию в качестве истиной (защищаемой)
информации. Иными словами, происходит навязывание ложной информации взамен
реально существующей для того, чтобы уменьшить возможности реализации угроз
(вторжения), упрощения обнаружения атак, замедления действий, направленных на
реализацию различного вида угроз, и исследования намерений, стратегий и средств
нарушителей. Следует отметить важность механизмов введения в заблуждение
(обмана) нарушителей. Этому типу механизмов защиты уделялось недостаточное
внимание, однако его реализация позволит существенно повысить эффективность
защитных мер против внешних и внутренних вторжений, так как с помощью него
можно избежать атаки на реальный объект, тем самым не понести никакого ущерба
[44].
ЛИС - это комплекс программно-аппаратных средств, который
имитирует процесс функционирования информационной системы, но никаких полезных
вычислений не выполняет. Основная цель создания ЛИС - это маскировка реальных
объектов ИС, их взаимосвязей и отвлечение нарушителя на ложные объекты [36,
37].
Как правило, причинами использования ЛИС являются [10, 33,
42, 44, 46]:
увеличение числа выполняемых нарушителем операций и
действий. Нарушитель вынужден совершать множество дополнительных действий для
того, чтобы обнаружить наличие обмана - отсутствие реальной уязвимости;
2 получение возможности отследить нарушителя. За время,
потраченное нарушителем на проверку всех обнаруженных уязвимостей, в том числе
и ложных, администратор безопасности сможет установить факт внутреннего
нарушения или осуществить сбор информации о внешнем нарушители и предпринять
соответствующие меры;
3 возможность неполучения ущерба со стороны нарушителя.
Если ложные объекты не отличимы от реальных, то нарушитель, совершив атаку,
может и не понять, что атаковал ложный объект информационной системы, а не
реальный.
1.2
Классификация ложных информационных систем
ЛИС применяются для реализации следующих целей системы защиты
информации [5, 42, 61]:
- сокращение числа атак на целевые (особенно
важные) системы посредством отвлечения нарушителя от реальных объектов системы
и принятия атаки на себя (итогом чего является снижение продуктивности атак, в
том числе увеличение времени их осуществления или полная их остановка);
- незаметное выявление и изучение атак и
неавторизованной активности (количество расходов падает вследствие уменьшения
ложных срабатываний, потому что любой трафик, фиксируемый при помощи ложных
информационных систем, с большой вероятностью заключает в себе все планируемые
операции нарушителя);
- мониторинг инцидентов несанкционированного
доступа к системе и ее эксплуатации не по предписанию;
- фиксирование актов неправомерных действий,
что способствует дальнейшему приведению нарушителя в состояние обмана.
Известные классификации определяют следующие
классификационные признаки для ЛИС [34]:
- по назначению;
- по уровню противодействия нарушителю;
- по способу получения информации о
действиях нарушителя;
- по уровню сложности установки и настройки;
- по уровню сложности процесса использования
и поддержки;
- по уровню имитации;
- по уровню риска.
Однако эти классификации не учитывают следующие свойства
ложных систем:
- изменчивости состава и структуры ЛИС в
процессе ее работы;
- возможности имитировать работу
пользователей компьютерной сети.
В связи с этим предложена классификационная схема,
приведенная на рисунке 1.2 Классификация ЛИС проведена по шести основным
характеристикам [5,45]:
назначению ЛИС;
2 способу построения ЛИС;
типу имитируемого объекта;
типу структуры ЛИС;
уровню интеграции в целевую ИС;
уровню корреляции состава и структуры ЛИС с составом
и структурой целевой ИС.
Рисунок 1.2 - Классификационная схема ложных информационных
систем
По способу построения ЛИС разделены на реальные и
виртуальные. В реальных ЛИС отсутствуют компоненты, имитирующие поведение
аппаратного обеспечения. В отличие от реальных ЛИС, виртуальные содержат такие
компоненты [45, 61].
Тип имитируемого объекта задаёт функциональные возможности
ЛИС, а также определяет уровень взаимодействия со средствами защиты от НСД.
Уровень взаимодействия ЛИС со средствами защиты от НСД определяет, какие
возможности предоставляет ЛИС средству защиты от НСД по реализации компьютерной
атаки. Чем больше возможностей предоставляется средствам защиты от НСД, тем
больше информации можно собрать об их действиях и тем больше объем работ по
установке и поддержке системы и выше риск ее компрометации. По типу
имитируемого объекта ЛИС разделены на [61,84]:
- генерирующий сетевой трафик;
- сетевые службы;
- узлы вычислительной сети;
- вычислительные сети;
- АС.
ЛИС, генерирующие сетевой трафик, обладают самым минимальным
набором функций, имитирующих только наличие определённых сетевых служб целевой
АС. Данные ЛИС не способны отвечать на сетевые запросы средств НСД [88].
ЛИС, имитирующие работу сетевых служб, должны обеспечивать
корректную работу сетевых протоколов, по которым работают соответствующие
сетевые службы. Взаимодействуя с такой ЛИС, с помощью средства НСД возможно
получать только корректные ответы на сетевые запросы, но нельзя внедрить
вредоносный код, используя уязвимости сетевых служб [61, 84, 88].
ЛИС, имитирующие работу узлов вычислительной сети, реализуют
все функции, характерные для ЭВМ или активного сетевого оборудования
вычислительной сети. Взаимодействуя с такой ЛИС, с помощью средства НСД
возможно внедрить вредоносный код, используя уязвимости программного
обеспечения ложного узла. ЛИС, имитирующие работу вычислительной сети,
дополнительно включают функции по организации взаимодействия между имитируемыми
узлами. ЛИС, имитирующие работу АС, дополнительно включают функции по имитации
работы пользователей АС [10, 37].
В зависимости от типа структуры выделены статические,
динамические и самоорганизующиеся ЛИС. Статические ЛИС сохраняют свою топологию
и состав ПО в изначально заданном состоянии. В динамических ЛИС их структура
изменяется с течением времени, например, в процессе функционирования такой ЛИС
могут появляться или исчезать какие-либо элементы. Если же структура ЛИС
изменяется в зависимости от действий средств НСД, то это самоорганизующаяся ЛИС
[10, 33].
Уровень интеграции в целевую ИС определяет место ЛИС
относительно ИС, а также способ взаимодействия с ИС. ЛИС могут работать
отдельно, параллельно и в составе целевой ИС. ЛИС, расположенные отдельно от
целевых ИС - это территориально рассредоточенные ЛИС, использующие проводные и
беспроводные каналы для связи с ИС. ЛИС, работающие параллельно целевым ИС,
размещаются на одной территории и подключаются к ИС с использованием единого
пограничного узла. Также компоненты ЛИС могут находиться в составе ИС [45,
100].
По назначению ЛИС могут быть производственными,
исследовательскими и смешанными. Производственные ЛИС снижают вероятность
успешного осуществления НСД к защищаемой информации за счёт увеличения времени
её поиска. Исследовательские ЛИС применяются для изучения средств НСД,
используемых ими алгоритмов с целью построения более эффективных механизмов
защиты информации в целевых ИС. Смешанные ЛИС сочетают в себе возможности
производственных и исследовательских ЛИС [101].
Также существенной характеристикой ЛИС является её степень
сходства с целевой ИС, которая определяется уровнем корреляции состава и
структуры ЛИС с целевой ИС. Чем ЛИС более схожа с целевой ИС, тем труднее с
помощью средств НСД определить подлинность обманной системы, но в то же время в
случае компрометации ЛИС противник может получить достоверные сведения о
составе и структуре целевой ИС [42, 61].
1.3
Архитектура современных ложных информационных систем
Ложная информационная система служит для реализации
механизмов введения в заблуждение нарушителя. Данные механизмы реализуются для
навязывания нарушителю специальным образом подготовленной ложной информации,
чтобы как можно сильнее затруднить и усложнить атаки на защищаемые
информационные системы [10, 42].
Ложные информационные системы могут обеспечить повышение
безопасности информационных систем непосредственно либо косвенно. Традиционно
ЛИС рассматривают как ресурс безопасности, который предназначен для
исследования атак со стороны нарушителей. Таким образом, косвенное влияние ЛИС
на повышение безопасности защищаемых информационных систем проявляется в
раскрытии стратегии, способов и средств действий нарушителей. Полученная
информация служит для последующего усиления защитных механизмов [42, 88].
Непосредственное влияние ЛИС на защищенность информационной
системы проявляется в усилении обшей архитектуры защиты и конкретных механизмов
защиты. Для введения нарушителя в заблуждение необходимо обеспечивать
реализацию более эффективных механизмов реагирования на его действия. Желаемый
результат можно обеспечить за счет того, что действия нарушителя будут
отвлечены от реальных объектов защищаемой ИС и направлены на объекты ЛИС. Также
для достижения высокого уровня безопасности защищаемой ИС применяются
одновременно с ЛИС средства межсетевого экранирования, системы обнаружения
вторжений [10, 37, 39].
Построение ложных информационных систем происходит таким
образом, чтобы привлечь внимание нарушителя именно на ложные объекты. В
качестве причин, по которым нарушитель может обратить внимание на ложные
объекты, могут быть наименее защищенная часть системы (в действительности не
являющаяся таковой) или кажущаяся привлекательность информационного содержания.
По типу структуры (то есть по архитектуре) ЛИС делятся на
статические и динамические. Рассмотрим более подробно архитектуру статической ложной
информационной системы. Основные элементы локальной архитектуры и связи между
элементами показаны на рисунке 1.3 [46, 88].
Рисунок 1.3 - Статическая ложная информационная система
Угрозы, которым подвергается защищаемая система во время
процесса совершения атак со стороны сети общего пользования, сначала
подвергаются тестированию межсетевым экраном. При помощи объектов технологии
виртуализации происходит анализ полученного трафика, после этого система
обнаружения вторжений производит распределение трафика на ложную или на целевую
информационную систему. Небольшой уровень расходуемых ресурсов обеспечивается
за счет того, что в данном случае имеются такие ключевые преимущества, как
простота создания и управления. Вместе с тем не стоит забывать, что учет
динамики взаимодействия имитируемых объектов зависит от количества признаков,
влияющих на демаскировку [26, 59].
Динамические ЛИС представляют собой наивероятнейшую
перспективу развития технологии ложных информационных систем. Имеется в виду,
что подобные системы должны пассивно прослушивать сеть и формировать ложные
ресурсы в ЛИС при выявлении активности нарушителя в соответствии с его
запросами. Идея заключается в том, что на роль приманки возможно будет
допускать ложные ресурсы, не имеющие каких-либо определенных видовых
ограничений. В качестве таких ложных мишеней могут использоваться любые файлы,
вплоть до файлов с дезинформацией. Архитектура динамической ЛИС представлена на
рисунке 1.4 Изменение топологии, конфигурации и версий программного обеспечения
ЛИС вместе с динамическим изменением физических и сетевых адресов узлов ЛИС
позволяют отслеживать изменения в защищаемой ИС. Изменение количества
эмулируемых объектов и регулирование уровня выделяемых для функционирования ЛИС
ресурсов дают большое преимущество в мониторинге уровня свободных ресурсов.
Отслеживание действий нарушителя решается изолированием атакованных узлов от
защищаемой ИС. Динамические ЛИС изменяются в зависимости от действий
злоумышленника. При нарушении функционирования в результате атаки работа
динамической ЛИС автоматически восстанавливается [36, 102].
Динамическая система - это система, которая способна при
подключении к сети разворачивать в соответствующем адресном пространстве
параметры конфигурации информационной системы, определенные автоматически.
Такая система адаптирует свою конфигурацию в зависимости от изменения состояния
сети спустя определенное количество времени. Формальная же постановка данной
задачи нахождения оптимальной конфигурации ЛИС и её решение в общем виде
отсутствуют. В разных работах, посвящённых построению систем, задача нахождения
оптимальной конфигурации ЛИС неявно решается разными способами [4,5].
Прогресс в области развития динамических и статических ЛИС
очень плотно переплетается с продвижением вперед технологий виртуализации.
Виртуализация - это предоставление набора вычислительных ресурсов или их
логического объединения. Данный набор ресурсов абстрагируется от аппаратного
обеспечения. При этом обеспечивается логическая изоляция вычислительных
процессов. Главнымв процессе виртуализации является то, что все это выполняется
на одном физическом ресурсе [37].
Рисунок 1.4 - Динамическая ложная информационная система
В качестве примера применения виртуализации можно считать
возможность запуска сразу одновременно нескольких операционных систем на одном
рабочем компьютере. Каждый из установленных экземпляров таких гостевых
операционных систем обязательно работает со своим персональным набором
характерных логических ресурсов. Хостовая операционная система или гипервизор
координирует передачу характерных логических ресурсов из общего пула. Пул
ресурсов в свою очередь доступен на уровне оборудования. На данный момент
вполне возможно создать виртуализированные сети хранения данных. Платформенное
и прикладное программное обеспечение могут быть включены в функциональный
процесс работы системы, созданными с помощью технологии виртуализации. Сети
передачи данных также могут быть подвергнуты виртуализации [34, 42, 88, 100].
Косвенно ложные информационные системы влияют на повышение
уровня препятствования атакам нарушителей за счет отвлечения на себя внимания и
ресурсов нарушителей. В итоге применения ЛИС происходит повышение сложности в
реализации атаки. Отсюда следует, что закономерным будет снижение риска
осуществления реализации атаки. Однако в основные задачи ЛИС напрямую не входят
функции блокировки [4,33].
Процесс введения в заблуждение (состояние режима обмана)
нарушителя выполняется на следующих уровнях:
- уровень сегмента;
- уровень узла;
- уровень приложения.
На уровне сегмента ЛИС создает имитацию защищаемой системы,
которая как раз и представляет некоторую определенную ценность для атакующей
стороны. Нарушитель перенаправляется с защищаемой ИС на ЛИС, как только
происходит выявление факта совершения атаки. На уровне узла ЛИС имитирует хост
целевой ИС (рабочую станцию, сервер) и размещается в ее сети [42, 61].
Применительно к уровню приложения в пределах определенного
узла защищаемой ИС каждое из задействованных в процессе функционирования
приложение формируется специальным образом. На первом этапе целевой модуль
приложения вместе с модулем обмана (ложным модулем, с которым в определенных
условиях начинает взаимодействовать нарушитель) вкладывается в обертку. Далее,
если система пребывает в состоянии использования, не противоречащим условиям
разрешенного доступа (санкционированном), то при вызове приложения управление
передается целевому модулю. В случае, когда становится очевидным факт несанкционированного
обращения к системе, происходит перенаправление управления модулю обмана [4,33,
61].
1.4
Применение теории игр для решения проблем, связанных с созданием ложных
информационных систем
Встречая проблемы математического моделирования ЛИС, появляются
операции, которые содержат неопределенности. Неопределенности такого вида
состоят в том, когда параметры, от которых зависит успешность построения и
функционирования ЛИС, неизвестны, и нет никаких данных, позволяющих судить о
том, какие их значения более вероятны, а какие менее вероятны. Не ясными могут
быть как внешние (объективные) условия операции, которые не зависят от
противоборствующих сторон, так и субъективные условия - сознательные действия
противников, соперников или других лиц. Такого рода проблемы может помочь
решить специальный раздел математики теория конфликтов. Разработанные в нем
методы и подходы могут дать возможность фактически найти оптимальное решение
для задач создания ЛИС. Данные методы позволяют более глубоко вникать в
конкретные ситуации, давать оценку каждому решению, претендующему на то, чтобы
быть выбранным в качестве наиболее предпочтительной альтернативы из множества
других. Прежде чем принять решение, его подвергают рассмотрению с различных,
часто противоречивых, точек зрения, взвешивают преимущества и недостатки,
которое оно может за собой повлечь. И, в итоге, решение (или стратегия
поведения в информационном конфликте) или целый набор решений, если оно не
единственное, гарантирующее правоту в конкретной сложившейся ситуации, будет
принято. При выборе решения в условиях неопределенности неизбежен некоторая
неопределенность и элемент риска. Следует всегда об этом помнить и принимать в
расчет данную тенденцию [14, 18, 47].
Конфликт - это специфический способ взаимодействия двух и
более систем или их компонентов в ходе их совместного функционирования; способ
взаимодействия сложных систем, направленный на снятие противоречий и
ограничений; развитие систем, характеризующееся [56]:
- состоянием каждой системы, их сочетаний и
надсистемы в целом;
- интересами каждой системы и их сочетаний;
- общими интересами надсистемы.
Теория конфликтов - это операционное поле и технологический
инструмент, реализующий на практике конфликтологические идеи и концепции. Идея
теории конфликтов состоит в построении системной модели конфликта, связывающей
объекты и факторы, участвующие в конфликте. Структура конфликта - это набор
взаимосвязанных компонент, необходимых для осуществления конфликтного
взаимодействия и присущих ему [35, 47, 62].
Этими компонентами являются [15,32]:
условия (S) - это некоторая надсистема, в которой
содержатся все последующие компоненты структуры конфликта. Все взаимодействия
осуществляются в рамках этой надсистемы и строго по правилам, обусловленным ею;
2 стороны конфликта (X,Y) - это элементы надсистемы,
вовлеченные в отношение взаимодействия (касания) друг с другом;
объект конфликта (реальный) (O) - это часть
реальности, вовлеченная во взаимодействие с участниками конфликта;
предмет конфликта D (O) - это суть противоречий (предмет
содействия) участников конфликта;
действия сторон F - это процесс изменения
участниками конфликта состояния своих элементов, элементов другой стороны,
объекта конфликта и надсистемы;
эффект конфликта - это изменение состояния среды,
обусловленное конфликтным взаимодействием.
Структурная схема конфликта приведена на рисунке 1.5.
Рисунок 1.5 - Структурная схема конфликта
Динамика конфликта - это множество этапов развития конфликта
и переходов между ними, характеризующих его как процесс взаимодействия сторон
[32, 48, 63]:
предконфликтная ситуация - существуют участники,
расположенные в некоторой среде, однако цели их не определены, а,
следовательно, не определены объект и предмет конфликта;
2 латентная стадия - имеется некоторая область
пересечения интересов участников, характеризующая объект и предмет конфликта,
однако действия сторон отсутствуют;
активная стадия - на этом этапе имеют место все
элементы конфликта, включая действия сторон и эффект от их реализации;
завершение конфликта - стадия, в которую переходит
конфликт при невозможности его дальнейшего продолжения.
Если под конфликтами понимать все способы взаимодействия
(включая и противодействие, и содействие), то их можно разделить на следующие
классы: нейтралитет, единство, симбиоз, содружество, коалиция, антагонизм,
строгое соперничество, нестрогое соперничество. К противодействующему
взаимодействию относятся: антагонизм, соперничество, нестрогое соперничество; к
содействующему взаимодействию относятся: единство, симбиоз, содружество,
коалиция; нейтралитет выступает особняком.
В общем случае эффективность одной стороны зависит от
эффективности другой [85]:
(1.1)
Под влиянием взаимодействия эффективность каждой из сторон
изменяется, что служит основой критериальной классификации.
Интенсивность взаимодействия определяется функциональными
(вариационными) производными [31]:
, 
. (1.2)
При x1> 0, x2>
0 - системы содействующие; при x1< 0, x2<
0 - системы противодействующие.
Так как в ситуации защиты АИС с помощью ЛИС стороны являются
противодействующими сторонами, то целесообразно рассматривать только конфликты,
в которых стороны являются противодействующими сторонами.
Примеры конфликтных ситуаций представляют собой чрезвычайное
многообразие. К таким ситуациям, бесспорно, принадлежит ряд ситуаций в области
экономики (особенно в условиях капиталистической конкуренции), а также каждая
ситуация, получающаяся в процессе боевых действий. Столкновение не схожих друг
с другом интересов и позиций можно зафиксировать во многих сферах деятельности
человека [28, 32, 35].
Для грамотного решения задач с конфликтными ситуациями необходимы
научно обоснованные методы. Такие методы разработаны математической теорией
конфликтных ситуаций, которая называется теорией игр. Выработка определенных
рекомендаций по разумному поведению участников конфликта и рационального его
урегулирования - цель теории игр [62, 63].
Каждая непосредственно взятая из практики конфликтная ситуация
очень сложна. Анализ ее усложнен факторами, появляющимися извне. И эти факторы
могут оказывать воздействие на результат игры в той или иной степени. Чтобы
воплотить в жизнь математический анализ конфликта, необходимо построение его
математической модели. Такую модель называют игрой [14, 63].
Игра ведется по определенным правилам и именно этим отличается от
реального конфликта. Эти правила указывают "права и обязанности"
участников, а также исход игры - выигрыш или проигрыш каждого участника в
зависимости от сложившейся ситуации. Человечество издавна пользуется такими
формализованными моделями конфликтов - "играми" в буквальном смысле
слова (шашки, шахматы, карточные игры и т.п.) [85, 89].
Конфликтующие стороны условно называются игроками, одно
осуществление игры - партией, исход игры - выигрышем или проигрышем. Будем
считать, что выигрыши (проигрыши) участников имеют количественное выражение.
Развитие игры во времени можно представлять как ряд последовательных ходов участников.
Выбор одного из предусмотренных правилами игры действий, который делает игрок
и, соответственно его осуществление, называется ходом. Ходы бывают личные и
случайные. Последовательность выбранных ходов игрока называют стратегией игры
[17, 85, 89].
Задача теории игр - выявление оптимальных стратегий игроков.
Основное предположение, исходя из которого находятся оптимальные стратегии,
состоит в том, что противник по меньшей мере так же разумен, как и сам игрок, и
делает все для того, чтобы добиться своей цели [18, 96].
Теоретико-игровой подход должен помочь разработать такую стратегию
создания ЛИС, которая обеспечила бы наилучшее положение в защите информации, то
есть минимальный проигрыш, который ИС может получить от нарушителя [47, 89].
1.5
Требования, предъявляемые к современным ложным информационным системам
Любые имеющиеся способы воплощения ложных систем строятся на
полной или частичной эмуляции, а иногда, и на использовании физических
аппаратных и программных ресурсов. Кроме этого, многие ложные системы
подвержены вычислению нарушителем по тривиальным характеристикам, например, по
MAC-адресу эмулированных операционных систем. То есть для маскировки признаков
функционирования обманных систем нужно внедрять дополнительную избыточную
информацию [42, 43].
Конечно, вначале нужно определить, какие цели преследуются в
ходе эксплуатации, и какие применяются способы взаимодействия системы с другими
подсистемами защиты. Исходя из этого, зависит конфигурация ЛИС в сети. Тем не
менее, следующим требованиям должны подчиняться все ЛИС без исключения [4,36]:
- ЛИС обязаны поддерживать такие параметры
настройки, которые бы гарантировали предельно возможное стремление
злоумышленника атаковать ловушки;
- злоумышленник не должен обнаружить факт
наличия ЛИС.
Вопрос о возможности различения реальной системы и
системы-ловушки атакующим является комплексным.
В том случае, когда атакующая сторона смогла определить, что
система, с которой она контактирует, ложная, тогда она способна применить это в
личных целях. Таким образом, необходимо создать для нарушителя условия
априорной неопределённости. Это следует сделать для того, чтобы нарушителю было
затруднительно догадаться исключить ложную систему из списка своих целей или
провести на неё отвлекающую атаку для дезинформации защищающей стороны [5,33].
Построение ЛИС следует осуществлять так, чтобы атака,
осуществленная на ложный объект, выглядела, по тем или иным причинам, в большей
степени предпочтительно для злоумышленника. Для этого она должна иметь вид
одного из самых незащищенных элементов системы или должна обладать свойством
мишени с мнимой информативной привлекательностью. Существование ЛИС в данном
контексте политики безопасности и конфигурации всей системы обусловлено
реализацией, проектировкой, в каких целях и в каких случаях они используются.
Имитирование различных протоколов (SMTP, FTP, POP3, HTTP и т.п.) входит в
функциональные опции, которые поддерживают ЛИС. Отдельный управляемый
операционной системой сервер, рабочая станция или целая сеть также могут
подвергнуться процессу имитации [42, 45].
Наиболее эффективным и сложным является реализация интеграции
ЛИС внутри сети, подлежащей защите. Такая реализация позволяет отслеживать и
пресекать вторжение изнутри, хоть и может вызвать трудности в настройке и
эксплуатации. Наряду с этим можно выделить отдельное от защищаемых сетей
существование ЛИС и параллельное. Все это помогает исследовать тенденции атак,
выявляемые в ходе осуществления НСД, а также способствует сформулировать некую
методологию действий злоумышленника [43, 45].
Полагаясь на результаты полученных и проанализированных
исследований в области обеспечения безопасности информации, определим следующие
ключевые функции, которые должны быть реализованы в перспективных ЛИС [4, 61,
88, 103]:
- захват данных, что подразумевает так
называемое прослушивание сетевого трафика и обеспечение того, что в итоге,
будут иметься данные, которые будут подвергнуты затем изучению с целью анализа;
- сбор и следующее за ним объединение
данных, поступающих от различных аппаратных и программных составляющих
компьютерной системы, в данном случае, СОВ, маршрутизаторов, сенсоров,
межсетевых экранов и др.;
- распознавание типа "свой-чужой"
и перенаправление на компоненты ЛИС подозрительных запросов;
- выявление сетевых атак (вторжений);
- фильтрация происшествий (с целью
сосредоточения на событиях, представляющих интерес, и автоматического
выявления, не относящихся к таким);
- прогнозирование допустимых нарушителем
действий, на основании которых принимаются определенные стратегии;
- обнаружение источника угроз, трассировка и
идентификация атакующего (распознавание типа, уровня потенциальных
возможностей, которые он может реализовать и др.);
- слежение за действиями, которые
предпринимает нарушитель, и своевременное обращение внимания на их наличие. Это
находит отображение в блокировании действий нарушителя, оповещении
администратора о компрометации, и др.;
- заманивание и обман нарушителя
(привлечение внимания, сокрытие реальной структуры защищаемой системы и
ресурсов, камуфляж, дезинформация) за счет эмуляции сетевых сегментов,
серверов, рабочих станций, в том числе передаваемого трафика, и их уязвимостей,
автоматическое реагирование на действия нарушителя, в том числе оповещение
администратора;
- определение последовательности шагов по
имитации целевой информационной системы, подчиняющей деятельность компонентов
ЛИС;
- осуществление администрирования с
применением технологий, позволяющих данную деятельность в удаленном режиме,
ввод сигнатур, документирование, профилей и др. Это помогает централизовать
управление, основанное на правилах безопасности реакции системы, унифицировать
анализ тенденций и подготовку отчетов;
- предоставление интерфейса с
администратором безопасности.
В обязательном порядке ЛИС должна обеспечивать выполнение, по
крайней мере, двух функций - контроль и сбор данных, помимо реализации
непосредственно действий, направленных на введение нарушителя в заблуждение.
Это является важным условием: сбор данных гарантирует, что можно обнаружить и
зарегистрировать все действия нарушителей, даже если они замаскированы или
зашифрованы; назначение контроля данных заключается в том, чтобы не допустить
эксплуатацию скомпрометированных компонентов (ресурсов) ИС для осуществления
нападения или для причинения вреда прочим элементам после попадания нарушителя
в ЛИС [34, 36].
Предполагается, что при реализации своих функций ЛИС
обеспечивает три уровня введения в заблуждение [37, 39, 45]:
уровень приложения. При обнаружении
несанкционированного обращения управление передается модулю обмана. Этот уровень
соответствует парадигме "программных ловушек"
("SoftwareDecoys"). В рамках хоста целевой системы каждое приложение
формируется следующим образом: целевой модуль сервиса/приложения вместе с
модулем обмана вкладывается в обертку. В режиме санкционированного
использования при вызове сервиса/приложения управление передается целевому
модулю;
2 уровень хоста. Этот уровень соответствует парадигме
"хостов-ловушек" ("Honeypot"). Данный уровень предполагает
размещение компонентов ЛИС, имитирующих отдельные хосты, в компьютерной сети
целевой системы;
3 уровень сегмента (основных компонентов целевой
системы). На данном уровне ЛИС имитирует целевую систему в целом. При
обнаружении атаки злоумышленник перенаправляется с целевой системы на ЛИС. Этот
уровень соответствует сетям ловушек ("Honeynet") и, в большей
степени, их развитию - парадигме "ферм ловушек"
("HoneypotFarms").
1.7
Постановка задач исследования
Таким образом мы рассмотрели механизм функционирования
автоматизированной информационной системы с учетом работы ложной информационной
системы, построили модель автоматизированной информационной системы, как среды
реализации основных видов угроз реализации атак, определили понятии и область
применения ложных информационных систем. Кроме того, мы оценили возможность
применения теории игр для решения проблем, связанных с созданием ложных
информационных систем и разработали модель, на базе которой выявили требования
к разработке эффективных ЛИС.
Исходя из выше сказанного, можно сформулировать задачи
исследования:
провести исследование ЛИС с учетом оценки сценариев
поведения злоумышленника;
2 исследовать применимость теории игр в рамках принятия
решений ЛИС по защите АИС;
разработать риск-модель защиты АИС на различных
этапах противодействия атаки ЛИС;
исследовать функцию ущерба и провести оценку рисков
реализации атак с учетом применения игровых сценариев взаимодействия ЛИС и
злоумышленника;
разработать подход к оценке эффективности работы ЛИС
с учетом вероятностного подхода;
6 разработать методику управления эффективностью работы
ЛИС.
2.
Риск-моделирование защиты автоматизированной информационной системы посредством
ложной информационной системы
2.1 Принципы
риск-моделирования защиты автоматизированной информационной системы посредством
ложной информационной системы
При участии ЛИС в защите АИС "истинные"
информационные объекты, находящиеся в АИС, защищаются путем создания
"ложных" информационных объектов, которые и служат потенциальными
целями для атак злоумышленника. В силу существования разнонаправленных способов
построения ложных информационных систем, уровень защищенности информации в
таких АИС различный. Чем больше в АИС ложных объектов, тем больше вероятность
того, что злоумышленник выберет в качестве своей цели для атаки именно ложный
объект. Однако для создания большого количества ложных объектов необходимы
значительные ресурсы АИС и стратегия заманивания злоумышленника в ЛИС [34,37].
Таким образом, необходимо осуществлять обязательный учет
возможных стратегий как самой ЛИС, так и злоумышленника, а также иметь четкую и
актуальную модель реализации защиты ЛИС на различных этапах.
Осуществим моделирование реализации защиты АИС с учетом
противодействия ЛИС. Любая ЛИС должна выполнять следующие функции [4,10,37]:
прослушивание сетевого трафика и захват данных для
последующего анализа (фиксация действий нарушителя);
2 сбор и объединение данных от различных программных и
аппаратных компонентов целевой АС;
переадресация несанкционированных запросов на
компоненты ЛИС;
контроль действий нарушителя, в том числе оповещение
администратора о компрометации, блокирование действий нарушителя;
обнаружение несанкционированных запросов и атак,
включая атаки, осуществляемые по криптографическим соединениям;
заманивание и автоматическое реагирование на
действия нарушителя с введением его в заблуждение.
Для описания модели реализации защиты ЛИС положим, что АИС
является закрытой системой, т.е. нет никакой иммиграции или эмиграции объектов
и узлов. Пусть в АИС общее количество элементов будем считать равнымN, а элементы сети обозначим
ni, тогда
, (2.1)
где N - сеть;
ni-объекты сети;
l - номер набора параметра;
- множество всевозможных наборов параметров одного объекта;
- отображение, задающее соответствие между объектами сети и
множеством комбинаций их параметров.
Пространство наборов зависит от выбора значимых параметров объекта при построении
модели. Выбор множества влияет на степень детализации при имитации распределения
параметров. Кроме этого, включение в рассмотрение нового значимого параметра
означает, что он должен присутствовать как у реального объекта, так и у ЛИС, а
значит, выбор влияет и на глубину имитации. Можно сказать, что задав
пространство , мы, фактически, задаем степень реалистичности модели [84,88].
С целью введения злоумышленника в заблуждение ЛИС и злоумышленник
должны работать во взаимосвязанных подсетях. Для любых n1,
n2
N запись
будет означать, что хосты n1 и n2
принадлежат одной подсети. Объект n1 находится в отношении
принадлежности одной подсети с объектами n2 и R1, последний из которых представляет собой маршрутизатор.
Построенная модель противодействия объектов ЛИС и злоумышленника посредством
маршрутизатора R1 изображена на рисунке 2.1.
Рисунок 2.1 - Модель противодействия объектов ЛИС и
злоумышленника
Множество всех подсетей в сети обозначим через D.
Вырожденный случай, когда сеть не разделена на подсети, записывается в этом
случае так:
(2.2)
Таким образом, ЛИС может использоватьсяв противодействии со
злоумышленником не только в рамках одной подсети, но возможную последовательную
передачу информации одного объекта через другой. Разработаем модель защиты ЛИС
при реализации атак на АИС.
2.2
Моделирование защитных действий ложной информационной системы на этапе анализа
вредоносных воздействий злоумышленника
Смоделируем деятельность ЛИС при реализации защиты АИС от
атаки злоумышленника. Пусть Z - злоумышленник, целью которого является НСД к информации,
циркулирующей в АИС, L - ложная информационная система, осуществляющая защиту
автоматизированной информационной системы.
Злоумышленник Z может являться как пользователем самой автоматизированной
системы, так и находиться с внешней стороны АИС путем реализации атак
удаленного доступа. Рассмотрим наиболее актуальный случай, когда злоумышленник Z реализует атаку
удаленного доступа в отношении АИС (DDOS атака, сетевые черви, спам, скрытые
каналы передачи информации, попытки сканирования сети).
Ложная информационная система в процессе защиты АИС направлена на
выявление следующих нарушений (
) [36,37,42]:
1 политики межсетевых экранов АИС;
2 попыток сканирования состава АИС;
попыток сканирования портов узлов АИС;
попыток осуществления компьютерных атак на узлы АИС
(в том числе воздействий вредоносного ПО, такого как сетевые черви, эксплоиты);
несанкционированных попыток осуществления доступа к узлам
АИС;
неуспешных попыток подключения к любым ресурсам
(файлы и папки в сетевом доступе, базы данных, прикладные системы), требующим
прохождения процедуры аутентификации.
Положим, что злоумышленник Z производит соединение с
web-сервером и передает GET-запрос или передает сетевые пакеты. Поступающие из
вне сетевые пакеты сначала проходят предварительную фильтрацию посредством
межсетевого экрана, затем анализируются на предмет наличия атак системой
обнаружения вторжений. В случае, если пакет отнесен к категории подозрительных
или обнаружена явная атака, он перенаправляется на компоненты ЛИC. Пусть K - компонент ЛИС,
отвечающий за анализ обнаружения вторжений. Анализ ЛИС действий злоумышленника
изображен на рисунке 2.2.
Рисунок 2.2 - Анализ ЛИС действий злоумышленника
В случае, когда злоумышленник предпринимает действия к
реализации удаленной атаки, и компонент ЛИС K выявил некоторые
нарушения, ложная информационная система блокирует действия злоумышленника
(происходит разрыв сетевого соединения). ЛИС оповещает администратора
безопасности A
и записывается в журнал регистрации событий M сообщение об обнаружении
злоумышленника, действующего с IP-адреса xxx. xxx. xxx. xxx. Анализ
регистрационной информации в журналах аудита безопасности всех устройств и
средств защиты и ее сопоставление является одним из важнейших мероприятий по
обеспечению безопасности. События, зарегистрированные на одном узле сети могут
не классифицироваться как несанкционированные действия, но в совокупности с
событиями другого узла могут говорить об атаке. Противодействие ЛИС реализации
атаки злоумышленника изображено на рисунке 2.3.
Рисунок 2.3 - Противодействие ЛИС реализации атаки
злоумышленника
Программа swatch анализирует в режиме реального времени
поступающие в журнал регистрации событий M сообщения и выполняет
команду, изменяющую конфигурацию пакета iptables. Таким образом, все сетевые
пакеты с IP-адреса xxx. xxx. xxx. xxx направляются на серверы сети-приманки
[43,61].
Когда злоумышленник обнаруживает, что его запрос не был
выполнен по какой-либо причине (одной из таких причин может быть потеря
сетевого пакета во время маршрутизации), он пытается повторить его. При этом
запрос идет на компоненты ЛИС, осуществляющих работу по выявлению узлов, с которых
[42,43,61]:
происходит сканирование сети;
2 происходит несанкционированная отправка пакетов IP к
несуществующим ресурсам сети;
происходят попытки или предпосылки для проведения
DOS атаки;
происходит атака типа brute-force (подбор пароля
методом перебора);
происходят попытки несанкционированной отправки
писем;
происходят несанкционированные обращения к ресурсам
сети;
происходит целенаправленная атака на ресурсы сети.
Запоминание злоумышленника является также важнейшим этапом,
необходимым для того, чтобы, выявив несанкционированные воздействия и их
источник, в дальнейшем ЛИС расценивала все его действия как несанкционированные
и осуществляла введение его в заблуждение. Это позволяет не допустить
дальнейших действий злоумышленника, даже если они не будут распознаны системой
как враждебные [45, 61].
Таким образом, если злоумышленник Z попытается вновь (после
закрытия сетевого соединения) произвести атаку, его запросы автоматически будут
перенаправлены на сервер-приманку, где все его действия будут записаны для
дальнейшего анализа.
2.3
Моделирование защитных действий ложной информационной системы на этапе эмуляции
объектов
Использованием ЛИС в качестве своеобразной ловушки для
злоумышленников можно повысить уровень информационной безопасности АИС при незначительных
затратах. Трудности на данном этапе связаны с анализом типа вредоносных
воздействий и оценке ресурсов, необходимых для эмуляции объектов на различных
уровнях.
Смоделируем процесс заманивая злоумышленника в ЛИС и эмуляции
объектов. Компонентой K ЛИС
отслеживается вся сетевая активность 
. Пусть злоумышленник Z
сформировал запрос 
. При приеме каждого очередного запроса ЛИС анализирует его на
предмет того, не является ли источник этой активности уже зарегистрированным в
системе:
1 в случае если данная активность не исходит от
зарегистрированного злоумышленника, она анализируется на предмет
идентификационных признаков несанкционированных воздействий в ней;
2 в случае если признаков несанкционированного
воздействия в анализируемом запросе не выявлено, он передается дальше к
элементам АИС.
Анализ повторных запросов злоумышленника изображен на рисунке
2.4.
Рисунок 2.4 - Анализ ЛИС повторных запросов злоумышленника
В соответствии с описанным выше обобщенным алгоритмом
функционирования ЛИС при выявлении признаков несанкционированных воздействий в
анализируемом запросе адрес источника активности запоминают и оповещают об
инциденте администратора ИБ.
Далее идентифицируется тип несанкционированного воздействия и
выделяются свободные IP-адреса с различной степенью удаленности друг от друга.
ЛИС заранее создает резерв свободных IP-адресов в сети (например, из диапазона
10.10.0.0/24 могут быть зарезервированы 10.10.0.15, 10.10.0.94, 10.10.0.212).
Случайным образом из предварительно заданного перечня эмулируемых
ресурсов выбирается операционная система 
, выбираются сервисы, которые присущи выбранной операционной
системе 
, и эмулируются в рамках того же объекта 
, после чего из перечня известных уязвимостей каждого сервиса
выбираются уязвимости (или наборы уязвимостей) 
, и также эмулируются. Запрос злоумышленника направляется в
эмулированный объект АИС, а его деятельность в системе в соответствии с выше
описанным обобщенным алгоритмом функционирования ЛИС осуществляется регистрация
действий нарушителя. Эмуляция ложных объектов изображена на рисунке 2.5.
Рисунок 2.5 - Эмуляция ложных объектов ЛИС
За выделенными IP-адресами происходит создание имен, на
ресурсы которых, может претендовать злоумышленник. Сетевая активность,
направленная к выделенным IP-адресам, кроме широковещательных запросов,
расценивается как атака. Это связано с тем, что данные IP-адреса не
используются легальными ресурсами.
Таким образом, применение эмулированных объектов в работе
ложной информационной системы позволяет не только предотвратить удаленную
атаку, но и собрать информацию о злоумышленнике и самой атаке. Смоделировав
процессы идентификации злоумышленника, эмуляции объектов и предотвращения атаки
посредством ЛИС необходимо разработать концепцию работы ЛИС на основе применения
теории игр.
2.4 Игровые
сценарии взаимодействия ложной информационной системы и злоумышленника
Моделирование в условиях неопределенности соответствует
полному отсутствию некоторых необходимых для этого данных (теория игр).
Математические модели принятия оптимальных решений в конфликтных ситуациях
строятся в условиях неопределенности. В теории игр оперируют следующими
основными понятиями [12]:
ход (выбор и осуществление игроком одного из
предусмотренных правилами игры действий);
2 стратегия (технология выбора варианта действий при
каждом ходе в зависимости от сложившейся ситуации);
функция выигрыша (служит для определения величины
платежа проигравшего игрока выигравшему).
Применяя теоретико-игровые подходы к решению задач
безопасности АИС защищаемой посредством ЛИС необходимо рассматривать
взаимодействие "нападение - защита", предсказывая действия
злоумышленника и определяя ответные действия ЛИС (игры ведутся двумя игроками -
"злоумышленником" и "ЛИС", и у каждого из них имеются всего
по два возможных действия: {"нападать", "не осуществлять никаких
действий"} и {"защищаться", "не осуществлять никаких
действий"} соответственно). Выделим методы теории игр, в соответствии с
которыми будем рассматривать взаимодействие злоумышленника и ЛИС [12].
Принцип минимакса. Принцип оптимальности в антагонистических
играх, выражающий стремление ЛИС и злоумышленника к получению наибольшего
гарантированного выигрыша, что, соответственно, максимально увеличит проигрыш
соперника.
Решения игр в смешанных стратегиях. Если информация о
действиях противной стороны будет отсутствовать, то игроки будут многократно
применять чистые стратегии случайным образом с определенной вероятностью. Такая
стратегия в теории игр называется смешанной стратегией. Смешанная стратегия
игрока - это полный набор его чистых стратегий при многократном повторении игры
в одних и тех же условиях с заданными вероятностями.
Игровые модели в условиях неопределенности. В таких случаях
для определения наилучших решении используются следующие критерии: максиимакса,
Вальда, Сэвиджа, Гурвица. Критерий максиимакса основан на том предположении,
что принимающий решение действует осторожно и избирает чистую стратегию,
гарантирующую ему наибольший (максимальный) из всех наихудших (минимальных)
возможных исходов действия по каждой стратегии. С позиций максиминного критерия
Вальда природа рассматривается как агрессивно настроенный и сознательно
действующий противник типа тех, которые противодействуют в стратегических
играх. В соответствии с критерием Вальда из всех самых неудачных результатов
выбирается лучший. Риск является основой минимаксного критерия Сэвиджа,
согласно которому выбирается такая стратегия, при которой величина риска
принимает минимальное значение в самой неблагоприятной ситуации. Критерий
пессимизма-оптимизма Гурвица при выборе решения рекомендует руководствоваться
некоторым средним результатом, характеризующим состояние между крайним
пессимизмом и безудержным оптимизмом.
В рамках нашей работы будут рассмотрены риск ориентированные
подходы, которые используют в качестве входных данных предполагаемые стратегии
злоумышленника и ЛИС. Используя данную методику мы получим оценки риска
реализации атаки и анализ эффективности ЛИС. Сформулируем условия, в которых
происходит взаимодействие ЛИС и злоумышленника, и разработаем для них чистые
стратегии.
2.4.1
Разработка чистых стратегии ложной информационной системы и злоумышленника
Пусть
- множество истинных объектов подлежащих защите, 
,
- ценность истинного объекта 
для АИС.
ЛИС имеет возможность создать для любого объекта с определенным
набором параметров "ложную" эмуляцию 
. Тогда для любого истинного объекта стоимость создания одной его эмуляции одинакова и равна 
[34, 36].
Взаимодействие злоумышленника и ЛИС представим в виде некоторой
последовательности шагов. Каждый шаг порождает некоторый вид активности,
обнаруживаемый ЛИС. После первой активности, которую ЛИС распознает как
подозрительную, осуществляется попытка предсказать последующие шаги
предполагаемого злоумышленника и расширяется множество 
наблюдаемых параметров. АИС наблюдает расширенный список
параметров в течение некоторого периода времени 
. Обозначим 
множество дополнительных параметров наблюдения. До выявления
подозрительной активности система обнаружения вторжений наблюдает базовый набор
критических параметров (в это время цена системных ресурсов постоянна).
Пусть S (t) - цена дополнительных ресурсов,
затрачиваемых на мониторинг множества :
(2.3)
где f - средний весовой коэффициент, определяющий цену
одного наблюдаемого параметра;
Множество векторов вида (
), которые характеризуют распределение эмуляций на множестве
истинных объектов, можно определить следующим образом
(2.4)
Тогда вектор ?? является чистой стратегии ЛИС, а множество ?? совокупностью всех
чистых стратегий ЛИС.
В случае если владелец АИС выбирает стратегию ??, ЛИС преобразует множество во множество 
, в котором объект присутствует 
раз [34, 36].
Пусть злоумышленник имеет возможность атаковать 
объектов. Тогда для любого истинного или ложного информационного
объекта из множества стоимость успешной атаки на него одинакова и равна 
. Множество векторов вида 
, где 
- целые неотрицательные числа, которые характеризуют
распределение количества успешных атак злоумышленника на множестве объектов АИС
можно представить как
(2.5)
В таком случае вектор 
является чистой стратегией, а множество ?? используется в качестве совокупности всех
чистых стратегий злоумышленника [34, 36].
Тогда 
- ситуация игры, а функция
- стоимость игры в ситуации .
2.4.2
Принятие решения ложной информационной системой в условиях неопределенности
Пусть ЛИС обдумывает принятие стратегии из N возможных решений. Но ситуация неопределённая, она может
быть одной из N. Построим матрицу 
последствий.
(2.6)
Элемент этой матрицы показывает ущерб, нанесенный злоумышленником, если ЛИС принято i-е решение, а ситуация j-я.
Построим матрицу рисков
(2.7)
где 
- величина риска ЛИС при использовании хода i в условиях j;
- ущерб, который АИС получила бы, если не знала выбор хода
злоумышленника;
- ущерб, если бы ЛИС знала, что установится условие 
.
Таким образом, матрица имеет вид
(2.8)
Если бы ЛИС реально знала, что будет j-я ситуация, то было бы
выбрано решение с наименьшим ущербом. Однако в ситуации неопределенности ЛИС
принимая i-е
решение рискует увеличить ущерб - что и есть риск. В таких ситуациях, решения
могут приниматься по следующим критериям [53, 54, 95, 98]:
правило Вальда (правило крайнего пессимизма).
Владелец АИС уверен, что какую бы стратегию не приняла ЛИС,
ситуация сложится для него самая плохая, так что, принимая i-е решение, он получит максимальный ущерб
. Затем из чисел 
владелец АИС выбирает минимальное и принимает соответствующее
решение.
(2.9)
2 правило Сэвиджа.
Владелец АИС находит в каждой строке матрицы рисков минимальный
элемент 
и затем из этих чисел находит максимальное и принимает
соответствующее решение. Используя такой подход, владелец АИС принимает решение
с минимальным риском
.
(2.10)
3 правило Гурвица.
Для каждой строки матрицы ущербов находят следующую величину
(2.11)
Далее найдем из чисел 
и получим соответствующее решение.
Число 
для каждой АИС владелец выбирает индивидуально. отражает отношение успешного исхода к рискам, при приближении к 0 правило Гурвица приближается к Вальда, а к 1-правило розового оптимизма (
крайний пессимизм, 
крайний оптимизм).
Таким образом, на основе матрицы ущербов и матрицы рисков
владелец АИС имеет возможность принимать решения в условиях неопределенности,
отыскивая оптимальное решение. Однако такие решения являются грубой оценкой
стратегий и не позволяют производить вычисления оптимальных стратегий по
формулам с использованием вероятностей. В связи с этим, необходимо рассматривать
принятие решений ЛИС в смешанных стратегиях, когда полный набор его чистых
стратегий при многократном повторении реализации атак с заданными
вероятностями.
2.4.3
Принятие решения ложной информационной системой в условиях риска
Принятие решений в условиях риска представляется возможным
тогда, когда известна функция распределения вероятностей стратегий
злоумышленника. Таким образом, смешанная стратегия игрока характеризуется
распределением вероятности случайного события, заключающегося в выборе этим
игроком хода.
Смешанной стратегией ЛИС называют такой упорядоченный набор чисел
(вектор) 
, который удовлетворяет двум условиям:
≥0 для 
, т.е. вероятность выбора каждой стратегии неотрицательна;
, т.е. выбор каждой из N
стратегий в совокупности представляет полную группу событий.
Смешанной стратегией злоумышленника называют такой упорядоченный
набор чисел (вектор) , который удовлетворяет двум условиям:
≥0 для 
, т.е. вероятность выбора каждой стратегии неотрицательна;
, т.е. выбор каждой из M
стратегий в совокупности представляет полную группу событий.
Рассмотрим функцию ущерба, которая представляет собой функцию
двух переменных k и m. Эти переменные входят в нее неравноправно, что является
отражением неравноправия злоумышленника и ЛИС. Дело в том, что ЛИС имеет цель
защитить АИС от реализации атаки, поэтому ее поведение носит целенаправленный
характер.
Пусть с целью организации полноценной защиты АИС, ЛИС располагает
сведениями о некоторой вероятностной мере, в соответствии с которой появляются
те или иные решения злоумышленника. В том случае, когда множество ходов
злоумышленника является конечным и вероятностные меры сводятся к заданию
вероятностного вектора (априорного распределения вероятностей) 
, где 
, при этом есть вероятность появления состояния j.
Зададим матрицу ущерба KM=
. При принятии решения в условиях риска ЛИС, выбирая стратегию i,
получает ущерб с вероятностью 
Тогда для ЛИС принятие решения происходит в условиях риска и
исходом, соответствующим выбору стратегии i, является случайная величина,
распределение которой задано следующим рядом в таблице 1.1.
Таблица 2.1 - Распределение вероятностей при принятии решений
ЛИС в условиях риска
Тогда ЛИС целесообразно выбрать ту стратегию, для которой среднее
значение ущерба минимально. В качестве оценки стратегии i используем
математическое ожидание соответствующей случайной величины 
(2.12)
Тогда оптимальную стратегию ЛИС 
можно получить следующим образом:
или
(2.13)
Математическое ожидание представляет собой величину, к
которой будет приближаться средний ущерб ЛИС при выбора им стратегии I с ростом
числа испытаний. При этом вероятность вероятность выбора хода ЛИС остается
одной и той же. Риск в данном случае - это тот минимальный ущерб, которого
невозможно избежать при выборе какой-либо чистой стратегии. Исследуем данный
подход при помощи матрицы рисков:
(2.14)
Учитывая данный подход, принятие решения в условии риска ЛИС
получим решение, соответствующие минимальному среднему риску
(2.15)
Таким образом, мы рассмотрели подход к принятию решения ЛИС в
условии риска, при котором ЛИС имеет некоторое представление о распределении
вероятностей принятия решения злоумышленником. В реальных же ситуациях работы
ЛИС необходимо рассматривать процесс принятия решения учитывая распределение
вероятностей не только злоумышленника, но и ЛИС.
2.4.4
Принятие решения ложной информационной системы в условиях дуэли
В противодействии ложной информационной системы и злоумышленника
лежит борьба, основанная на совершении единовременного действия, которое
заключается в создании ложного объекта. Злоумышленник принимает решение об
атаке и подбирает для этого нужный момент, а ЛИС преждевременно создает ложный
объект с целью введения в заблуждения злоумышленника [17,28,62].
Рассмотрим противодействие злоумышленника и ложной
информационной системы пошагово в виде дуэли, при этом продвижение каждого из
участников навстречу друг другу заключается в n шагах. После каждого
сделанного шага злоумышленник получает все больше информации о ложной
информационной системе и может провести или не провести атаку. Ложная
информационная система в свою очередь также анализирует обстановки и может либо
создать ложный объект либо не создать. При этом факт атаки или создания ложного
объекта у каждого участника может быть у каждого только один.
Пусть вероятность выбора успешной стратегии, если продвинуться на l шагов, равна 
. Стратегия ложной информационной системы заключается в принятии
решения создать ложный объект на i-м шаге.
В таком случае вероятность принятия решения реализации атаки
злоумышленником на объект АИС будет 
, а 
- вероятность создания ложного объекта ЛИС.
Тогда в случае, еслиi<j и злоумышленник принимает решение произвести атаку на j-м шаге, то вероятность успешного отражения атаки ложной
информационной системой задается произведением вероятностей
(2.16)
где - вероятность реализации атаки на объект АИС (истинный или ложный,
в случае создания эмулированного объекта);
- вероятность создания эмулированного объекта.
Таким образом, оценка проигрыша или победы заключается в разности
вероятностей успешного отражения атаки ложной информационной системой и
успешного проведения атаки злоумышленником. В случае i>j первым атакует игрок 2 и 
. Если i=j, то
полагаем 
. Игровая матрица, умноженная для удобства на 5, при n=5 имеет вид
В связи в вышеизложенным, мы получили подход к оценке вероятности
успешного отражения атаки. Получим функции риска и эффективности работы ЛИС.
Для этого разработаем подход к оценке функции ущерба от успешной реализации атаки
(обход ложного объекта).
Сформулируем принцип оценки ущерба для АИС с учетом работы
ЛИС. Ложный объект создается с целью недопущения проникновения злоумышленника к
истинному объекту. Таким образом ущерб необходимо рассматривать с учетом потери
пользы, приносимой истинным объектом с момента преодоления злоумышленником
ложного объекта. Пусть усредненная польза от работы истинного объекта может
быть найдена в следующем аналитическом виде:
(2.17)
где 
- 
(2.18)
где 
- момент завершения работы истинного объекта.
Рассмотрим график функции полезности истинного объекта ЛИС на
рисунке 2.6.
Рисунок 2.6 - График функции полезности истинного объекта
Функцию полезности истинного объекта ЛИС можно представить с
учетом процесса создания и завершения работы, учитывая этапы приносимой пользы:
период развития, обусловленный развертыванием и введением в эксплуатацию -
коэффициент нелинейности
и период деградации, обусловленный устареванием и последующем
выводом из эксплуатации процесса - 
. Тогда функцию полезности можно представить следующим образом
(2.19)
Ущерб для АИС от обхода злоумышленником ложного объекта
представляет собой упущенную пользу, которую мог бы приносить истинный объект,
если бы в момент времени 
объект не утратил свою работоспособность вследствие реализации
атаки (площадь 
). Тогда, функцию нормированного ущерба можно получить
проинтегрировав функцию полезности в интервале от 
до .
(2.20)
где 
- момент прекращения работы ложного объекта.
Учитывая специфику работы АИС, можно принять, что на этапе
развертывания истинного объекта атака злоумышленнику мало вероятна и не
является для него информативной. Этап деградации также носит формальный
характер, т.к. вывод из рабочего состояния объекта АИС занимает малейший
промежуток времени относительно закладываемой продолжительности жизни объекта.
Тогда применим нормирование по, в пределах которого будем изучать поведение функций ущерба и
пользы
(2.21)
С учетом стоимости создания ложного и истинного объектов ущерб
можно определить следующим образом:
(2.22)
где 
- стоимость создания истинного объекта АИС;
- стоимость создания ложного объекта АИС;
- этап прекращения работы ложного объекта.
Нормированный ущерб можно получить следующим образом
(2.23)
где W - проектная польза истинного объекта.
Тогда риск реализации атаки злоумышленником (обход созданного
ложного объекта или реализация атаки до создания ложного объекта) для одной
дуэли на l-ом шаге можно оценить следующим образом
(2.24)
В таком случае эффективность работы ЛИС для одного ложного
объекта можно оценить как отношение шанса успешного отражения атаки к риску:
(2.25)
Таким образом, мы получили функцию эффективности работы ЛИС.
2.4.5
Вероятностный подход к принятию стратегии в условиях реализации атаки с учетом
защиты ложной информационной систем
В силу того, что злоумышленник и ЛИС имеют множество
стратегий, решение задачи отсутствует в чистых стратегиях, а также ее
невозможно решить графически из-за значительной размерности. Исследование
данной задачи с использованием критериев также имеет ограниченную область
применения. Используем следующий подход, рассматривающий множество принимаемых
решений ЛИС и злоумышленником.
Пусть задана матрица ущербов размерности M´N:
(2.26)
Найдем вероятности 
, с которыми ЛИС должна выбирать свои ходы для того, чтобы данная
смешанная стратегия гарантировала нанесение ущерба АИС не более величины 
независимо от выбранной стратегии злоумышленника. Тогда для каждого
хода злоумышленника нанесенный ущерб определяется зависимостями:
(2.27)
Разделим обе части неравенств на 
(2.28)
Тогда
(2.29)
В силу того, что ЛИС необходимо минимизировать ущерб , обратную величину 
необходимо привести к максимуму. Тогда задача линейного
программирования для злоумышленника примет вид [29,
67]:
(2.30)
Найдем вероятности 
, с которыми злоумышленник должен выбирать свои ходы для того,
чтобы данная смешанная стратегия гарантировала нанесение ущерба АИС не менее
величины 
независимо от количества созданных ложных объектов ЛИС. Для
злоумышленника необходимо получить максимальное значение ущерба , тогда обратная величина
(2.31)
Таким образом, необходимо получить минимум 
:
(2.32)
Тогда решением задачи будем считать
(2.33)
Такая задача разрешается только с использованием метода линейного
программирования. Задача линейного программирования
<https://ru.wikipedia.org/wiki/%D0%9B%D0%B8%D0%BD%D0%B5%D0%B9%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5>
состоит в том, что необходимо максимизировать или минимизировать некоторый
линейный функционал <https://ru.wikipedia.org/wiki/%D0%9B%D0%B8%D0%BD%D0%B5%D0%B9%D0%BD%D1%8B%D0%B9_%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB>
на многомерном пространстве при заданных линейных ограничениях.
(2.34)
В том случае, когда злоумышленник успешно атакует больше объектов,
чем ЛИС сможет эмулировать 
, ущерб от реализации атаки злоумышленником можно представить
следующим образом [35, 37]:
(2.35)
В случае, если ЛИС справится с защитой АИС и 
, тогда
(2.36)
Используя метод линейного программирования, можно представить
риск реализации атаки на АИС с учетом защиты ЛИС следующей системой уравнений
(2.37)
Тогда эффективность работы ЛИС можно оценить следующим
образом
(2.38)
Таким образом, мы получили функции ущерба и эффективности
работы ЛИС с учетом многомерного пространства принятий решения ЛИС и
злоумышленника.
Рассмотрим эффективность работы ЛИС, основываясь на выборе
функции распределения вероятности нанесения ущерба. Предположим, что владельцу
АИС необходимо сохранить работоспособность максимального числа объектов на первых
этапах работы с целью получения максимальной пользы от системы. В последующие
этапы работы владелец АИС жертвует защищенностью системы с целью минимизации
издержек на поддержание высокого уровня производительности ЛИС. Тогда ЛИС
принимает решения согласно гамма-распределению, выбрав параметры распределения
таким образом, что в начальные моменты работы вероятность нанесения ущерба
минимальна. Функция гамма-распределения:
(2.39)
где 
График функции плотности распределения с различными параметрами 
и 
изображен на рисунке 2.7.
Рисунок 2.7 - График функции плотности распределения с различными
параметрами и
Гамма-распределение задается формулой:
(2.40)
Тогда риск нанесения ущерба системе злоумышленником, учитывая
стратегию владельца АИС минимизации ущерба на первых этапах работы, можно
оценить следующим образом
(2.41)
Таким образом, рассматривая вероятность принятия решений в
соответствии с математическим распределением, можно оценить риск реализации
атаки с учетом работы ЛИС.
2.5 Выводы по
второй главе
В результате работы были определены принципы
риск-моделирования защиты автоматизированной информационной системы посредством
ложной информационной системы, разработаны новые математические модели атак,
учитывающие этапность протекания процесса выбора стратегий защиты ложной
информационной системы в рамках игровых риск-моделей. Разработаны игровые
сценарии взаимодействия ложной информационной системы и злоумышленника как в
условиях неопределенности, так и в условиях риска. Вариативность сценариев
выбора стратегий злоумышленника и ЛИС позволяет имитировать разнообразные
варианты построения и функционирования ЛИС. Кроме того, разработан
вероятностный подход к принятию стратегии в условиях реализации атаки с учетом
защиты ложной информационной систем.
3. Управление
эффективностью работы ложной информационной системы
3.1
Управление эффективностью работы ложной информационной системы c учетом
оптимизации расходуемых ресурсов
Под эффективностью ЛИС понимается степень достижения цели
отвлечения нарушителя от защищаемого объекта при условии, что ЛИС не влияет
существенным образом на функционирование защищаемой АИС.
Вероятность возможности предотвращения атаки к защищаемой
информации за счет использования ЛИС при условии отсутствия превышения затрат
вычислительных ресурсовАИС установленного уровня в общем случае зависит от
времени и может быть оценена следующим образом [95]:
(3.1)
Где 
- вероятность успешной реализации атаки к защищаемой информации;
- допустимый уровень затрат вычислительных ресурсов АИС.
Тогда эффективность ЛИС как средства защиты можно рассчитать с
использованием разностного показателя [95]:
(3.2)
где 
- вероятность предотвращения атаки к защищаемой посредством ЛИС
информации.
Разработаем подход к управлению эффективностью ЛИС в соответствии
с игровой моделью принятия решений. В связи с тем, что наиболее актуальной
проблемой эффективной работы ЛИС является неопределенность в части
необходимости создания эмулированных объектов и расхода ресурсов АИС, за основу
методики возьмем модель реализации защиты ЛИС, в которой создание
эмулированного объекта будет гарантировать защиту истинного объекта, а
эффективность работы целиком и полностью зависит от правильности распределения
ресурсов и своевременности создания ложного объекта [77, 78, 89].
Пусть 
- функция, описывающая число эмулированных объектов ЛИС в момент
времени 
. Отсутствие ложных объектов не допускается, т.е. 
при всех 
.
В любой момент времени ложная информационная система с
использованием различных средств анализирует траффик, направляемый в АИС.
Злоумышленник с некоторой интенсивностью
посылает пакеты, обрабатываемые ЛИС [62, 65, 68].
В процессе работы ЛИС детектирует выявленные нарушения
безопасности и эмулирует ложные объекты с некоторой интенсивностью 
, напрямую зависящую от интенсивности анализа траффика, т.е. за
интервал времени 
ЛИС эмулирует 
объектов.
В моменты времени 
ЛИС анализирует ситуацию и сменяет интенсивность создания ложных
объектов в зависимости от стратегии злоумышленника, увеличивая
производительность системы величиной 
соответственно. Таким образом, изменение во времени
производительности , заключающейся в возможности эмуляции ложных объектов,
изображается зубчатой ломаной линией (рисунок 3.1), состоящей из наклонных и
вертикальных звеньев.
Рисунок 3.1 - Изменение производительности ЛИС в части запаса
к созданию эмулированных объектов
В момент 
производительность ЛИС в части создания ложных объектов скачком увеличивается на 
. Следовательно, функция имеет разрывы в точках 
. В рамках исследования оптимальности стратегии владельца АИС
будем считать, что эта функция непрерывна справа.
Пусть 
- плата за обслуживание единичного ложного объекта в течение
единицы времени. Поскольку можно считать, что величина запаса объектов к
эмуляции не меняется в течение малого интервала времени (
дифференциал, т.е. бесконечно малая), то затраты за выделенные
ресурсы в течение интервала времени 
, где 
- интервал планирования, пропорциональны (с коэффициентом
пропорциональности
) площади под графиком и равны
(3.3)
Пусть 
- плата за увеличение производительности ЛИС. В рамках нашего
исследования учтем, является разовой затратой на изменение ресурсов ЛИС и не зависит
от размера изменения производительности.
Пусть 
- число изменений производительности, пришедших в интервале 
. При этом включаем изначальную производительность в момент 
и не включаем изменение в момент 
(если такая происходит). Тогда суммарные издержки на изменение
производительности на протяжении исследования равны 
. Следовательно, общая стоимость смены стратегий защиты ЛИС и
расходов на содержание ложных объектов за время равны
(3.4)
означает, что общие издержки работы ЛИС зависят от значений функции
при всех 
. Область определения 
при фиксированном - не множество чисел, а множество функций. Общие издержки,
очевидно, возрастают при росте активности злоумышленника. Поэтому можем
использовать средние издержки, приходящиеся на единицу времени. Средние
издержки на поддержание эффективной работы ЛИС за время равны
(3.5)
Поскольку эмуляция объектов происходит с постоянной интенсивностью
и дефицит не допускается, то польза от работы ЛИС пропорциональна горизонту
планирования, а средняя польза постоянна. Следовательно, максимизация пользы
эквивалентна минимизации издержек или средних издержек на поддержание
эффективной работы ЛИС.
Если задать моменты увеличения производительности ЛИС и величины
числа эмулированных объектов, то будет полностью определена функция при всех . Верно и обратное - фиксация функции , полностью определяет моменты увеличения производительности ЛИС и
количество эмулированных объектов. И то, и другое будем называть планом работы
управления ресурсами ЛИС. Для его оптимизации необходимо выбрать моменты
времени 
. увеличения производительности и размеры увеличения числа
эмулированных объектов .
Таким образом, модель работы ЛИС в рамках теории игр описывается
четырьмя параметрами - (интенсивность эмуляции ложных объектов), (плата за обслуживание единичного ложного объекта в течение
единицы времени), (плата за увеличение производительности ЛИС), (горизонт планирования). В целях оптимизации эффективности ЛИС
необходимо выбрать значения параметров так, чтобы минимизировать средние издержки
работы ЛИС при фиксированном.
В связи с тем, что владелец АИС заинтересован в минимизации
расходов на излишнюю производительность, оптимальный план следует искать среди
тех планов, у которых все зубцы доходят до оси абсцисс, т.е. увеличение
производительности необходимо проводить в момент, когда запас объектов к
эмуляции равен 0.
План, для которого запас производительности для эмуляции равен 0
(т.е. 
назовем напряженным.
Покажем, что от произвольного плана всегда можно перейти к
напряженному, уменьшив при этом издержки. Пусть с течением времени при
приближении к моменту 
увеличения производительности 
уровень ресурсов не стремится к 0, а лишь уменьшается до 
. Тогда рассмотрим новый план увеличения производительности с теми
же моментами увеличения и их величинами, за исключением величин в моменты и 
.
А именно, заменим:
- 
на 
;
- на 
.
Тогда график уровня ресурсов ЛИС параллельно сдвинется вниз на
интервале (0,
, достигнув 0 в , и не изменится правее точки (рисунок 3.2).
Рисунок 3.2 - Графическое представление напряженного плана
Таким образом, издержки по увеличению производительности не
изменятся, а издержки по излишнему выделению ресурсов уменьшатся на величину,
пропорциональную с коэффициентом пропорциональности площади параллелограмма, образованного прежним и новым положениями
графика уровня ресурсов на интервале (0,
В результате первого шага получен план, в котором крайний слева
зубец достигает оси абсцисс. Следующий шаг проводится аналогично, только момент
времени 
заменяется на . Если есть такая возможность, второе наклонное звено графика
уровня ресурсов ЛИС параллельно сдвигается вниз, достигая в крайней правой
точке 
оси абсцисс. Аналогично поступаем со всеми остальными зубцами,
двигаясь слева направо. В результате получаем напряженный план. На каждом шаге
издержки по излишнему выделению ресурсов либо сокращались, либо оставались
прежними (если соответствующее звено графика не опускалось вниз).
Следовательно, для полученного в результате описанного преобразования
напряженного плана издержки по излишнему выделению ресурсов меньше, чем для
исходного плана, либо равны (если исходный план уже являлся напряженным).
Следующим шагом необходимо оптимизировать интервалы между
увеличением производительности.
При фиксированном числе поставок затраты на увеличение ресурсов не
меняются. Следовательно, достаточно минимизировать затраты на обслуживание ложных
объектов.
Для напряженных планов увеличение производительности однозначно
определяются с помощью интервалов между увеличением производительности:
(3.6)
(3.7)
Действительно, очередное увеличение производительности 
совпадает с размером ресурсов в момент 
, расходуется с интенсивностью единиц эмулированных объектов в одну единицу времени и полностью
исчерпывается к моменту .
Для напряженного плана издержки на обслуживание эмулированных
ложных объектов
(3.8)
Следовательно, для минимизации обслуживания ложных объектов среди
напряженных планов с фиксированным числом поставок достаточно решить задачу
оптимизации
(3.9)
Введем новые переменные
(3.10)
Тогда
(3.11)
Поскольку
то 
, следовательно, с учетом предыдущего равенства имеем
(3.12)
Сумма квадратов всегда неотрицательна. Она достигает минимума,
равного 0, когда все переменные равны 0, т.е. при 
. Тогда
(3.13)
При этих значениях 
выполнены все ограничения оптимизационной задачи по снижению
затрачиваемых ресурсов. Таким образом, издержки по обслуживание эмулированных
ложных объектов равны
(3.14)
Средние издержки (на единицу времени) таковы:
(3.15)
Поскольку к моменту T ресурсы должны быть израсходованы,
общий объем увеличения производительности за время T должен совпадать с
общим объемом запросов злоумышленника, следовательно, равняться 
. Тогда справедливо балансовое соотношение (аналог закона
Ломоносова-Лавуазье сохранения массы при химических реакциях):
или
(3.16)
Средние издержки (на единицу времени) можно выразить как
функцию размера партии Q:
(3.17)
Задача состоит в минимизации по Q. При этом возможная
величина поставки принимает дискретные значения, так как
. Изучим
функцию 
, определенную при Q > 0. При приближении к 0 она ведет
себя как гипербола, при росте аргумента - как линейная функция. Производная
имеет вид
(3.18)
Производная монотонно возрастает, поэтому рассматриваемая
функция имеет единственный минимум
(3.19)
где 
- функция, описывающая запас ресурсов ЛИС;
- интенсивность эмуляции ложных объектов;
- плата за увеличение производительности ЛИС;
- плата за обслуживание единичного ложного объекта в течение
единицы времени.
Сформируем алгоритм максимизации эффективности работы ЛИС и
схематично изобразим на рисунке 3.3.
Таким образом, исследовав функцию, описывающую затраты на
поддержание производительности ЛИС с целью своевременного создания
эмулированных объектов, мы разработали формулу по управлению оптимальностью
запаса ресурсов, необходимого ЛИС для поддержания успешного противостояния
злоумышленнику.
Рисунок 3.3 - Алгоритм управления эффективность работы ЛИС
3.2
Оптимизация ресурсов, расходуемых ЛИС в процессе работы
Рассмотрим проблему оптимизации ресурсов ЛИС с заданными
параметрами с последующим управлением. Пусть ЛИС с целью поддержания
защищенности АИС в течении 60 секунд от реализации атаки злоумышленника с
интенсивностью необходимо эмулировать 20ед. ложных объектов за 1 сек. Стоимость
поддержания одного эмулированного объекта в работоспособном состоянии в течении
1 секунды составляет 50 руб. Периодическая плата за увеличение
производительности ЛИС составляет 15.000руб. Сформируем оптимальный план
поддержания ЛИС в состоянии постоянной защищенности в течении 60 сек. и
исследуем оптимальность при изменении параметров.
В таком случае = 20 (ед/сек), S =50 (руб. /ед. сек), g =15000 (руб. /ресурсы),=
30 (сек). По формуле (3.17) рассчитываем
Множество допустимых значений для Q имеет вид
Таким образом, 
и 
=120. Первое значение определяет напряженный план с шестью
зубцами, второе - с пятью.
(3.20)
В таком случае
Поскольку 
, то 
.
Таким образом, можно сделать вывод о том, что оптимальным является
напряженный план с шестью зубцами.
Рисунок 3.4 - Оптимальное управление ресурсами ЛИС
Оценим излишние затраты на ресурсы по сравнению с планом . Для плана с 
интервал между поставками составляет 
Таким образом пополнения ресурсов ЛИС с целью эмуляции объектов
произойдут в моменты
;
;
;
;
;
Следующий этап пополнения ресурсов должен был бы состояться за
пределами планированного промежутка защищенности Т=30сек., в момент 
.
Рисунок 3.5 - Оценка оптимальности управления ресурсами ЛИС
Таким образом, оптимальный уровень ресурсов состоял бы из 5 полных
циклов увеличения производительности и одного неполного. К моменту Т=30сек.
пройдет 
с момента последнего увеличения ресурсов. Таким образом к моменту
T будут содержаться ресурсы, дающие
возможность к эмулированию 328 ед. ложных объектов. План не является напряженным, а потому не является оптимальным в
рамках данной задачи. Т.к. осталась возможность эмулировать 328 ложных
объектов, за обслуживание необходимо платить.
Таким образом, общие издержки в плане можно оценить за вычетом стоимости шестого роста
производительности
Таким образом, из-за дискретности множества допустимых значений
издержки возросли на 1400 руб. При этом оптимальный размер партии (100 ед/сек.)
отличается от = 109,5 ед/сек на 9,5ед., т.е. 
- различие на 9,5%.
3.3 Выводы по
третьей главе
Таким образом, мы разработали уникальный подход к управлению
работой ЛИС, основанный на оптимизации производительности, выделяемой ложной информационной
системе для создания эмулированных объектов. Кроме того, мы разработали
алгоритм управления эффективностью ЛИС, доказали оптимальность полученного
значения ресурсов для максимальной эффективности и практичность применения
разработанной нами методики, рассчитав необходимую производительность для ЛИС с
конкретными заданными параметрами.
4.
Организационно-экономическая часть
4.1
Формирование этапов и перечня работ по оценке рисков и анализа эффективности
работы ложной информационной системы по различным игровым сценариям
В ходе выполнения данной работы были исследованы и
разработаны методики оценки информационных рисков реализации атак с учетом
работы ложной информационной системе. Рассмотренные в работе вопросы в
совокупности являются новым подходом к решению проблемы обеспечения
безопасности с точки зрения противодействия атакам.
Данный раздел включает в себя расчет затрат на тему
исследования, определение договорной цены разработки и ее экономическую
эффективность.
4.2
Определение трудоемкости исследования по оценке рисков и анализа эффективности
работы ложной информационной системы по различным игровым сценариям
Разработка политики безопасности прикладного характера
осуществляется в несколько этапов, содержание и организацию выполнения которых
регламентирует ГОСТ 15101-2010 "Порядок проведения
научно-исследовательских работ":
- разработка технического задания
исследования;
- выбор направления исследования;
- теоретические и аналитические
исследования;
- обобщение результатов исследования;
- оценка результатов исследования.
Для определения трудоемкости разработки математических
моделей был использован метод удельных весов. Для этого экспертным путем
установим удельные веса вышеперечисленных этапов разработки в общей
трудоемкости исследования (таблица 4.1).
Таблица 4.1 - Соотношение этапов исследования по трудоемкости
|
Наименование этапа исследования
|
Удельный вес этапа исследования, %
|
|
Разработка технического задания исследования
|
5
|
|
Выбор направления исследования
|
15
|
|
Теоретические и аналитические исследования
|
65
|
|
Обобщение результатов исследования
|
10
|
|
Приемка результатов исследования
|
5
|
|
Итого:
|
100
|
Для расчета трудоемкости этапа разработки математических
моделей, оценки рисков и анализа эффективности работы ложной информационной
системы при реализации атак с учетом работы ЛИС целесообразно выбрать этап
"Теоретические и аналитические исследования", поскольку его работы
можно оценить с высокой степенью точности, что соответственно увеличит точность
оценки трудоемкости выполнения сравнительного анализа в целом. Этап разбивается
на работы, и трудоемкость каждой из них оценивается экспертным методом.
Соотношение работ выбранного этапа по трудоемкости заносится в таблицу 4.2.
Таблица 4.2 - Трудоемкость работ этапа "Теоретические и
аналитические исследования"
|
Наименование работы
|
Трудоемкость работы, чел. - ч.
|
|
Обзор сущности атак с учетом работы ЛИС
|
50
|
|
Способы реализации атак в АИС
|
65
|
|
Изучение реализации атак с учетом работы ЛИС
|
70
|
|
Построение математической модели атак с учетом
работы ЛИС в АИС
|
290
|
|
Анализ динамики рисков реализации атак с учетом
работы ЛИС в АИС
|
275
|
|
Итого:
|
750
|
Общая трудоемкость выполнения работы научного исследования
определяется по формуле:
|
|
(4.1)
|
где 
- общая трудоемкость выполнения научного исследования выраженная
в чел. - ч;
- трудоемкость рассчитанного этапа, чел. - ч.;
- удельный вес этапа в общей трудоемкости, %.
Согласно формуле (4.1) и таблице 4.2 общая трудоемкость
исследования равна:
чел. - ч.,
(4.2)
Процентом от общей трудоемкости исследования определяется
трудоемкость каждого этапа выполнения оценки информационных рисков реализации
атак несанкционированного доступа к терминалам платежных систем (таблица 4.3).
Таблица 4.3 - Соотношение этапов разработки по трудоемкости
исследования
|
Наименование этапа исследования
|
Удельный вес этапа исследования, %
|
Трудоемкость этапа исследования, чел. - ч.
|
|
Разработка технического задания исследования
|
5
|
60
|
|
Выбор направления исследования
|
15
|
180
|
|
Теоретические и аналитические исследования
|
65
|
734
|
|
Обобщение результатов исследования
|
10
|
120
|
|
Приемка результатов исследования
|
5
|
60
|
|
Итого:
|
100
|
1154
|
Количество исполнителей, одновременно работающих по данной
разработке, определяется по следующей формуле:
(4.3)
где Д - продолжительность рабочего дня (полезное время),
часов;
м - количество рабочих дней в месяце (169,2час / 8час);
- сложившийся средний коэффициент выполнения планового задания (
);
- директивный срок выполнения темы, мес.
Директивный срок выполнения темы - это период преддипломной
практики и дипломного проектирования. При прохождении преддипломной практики
берется реальный срок, установленный для данной темы. В данном случае
.
Следовательно, требуемое число исполнителей равно:
Распределение исполнителей исследования по профессиям и работам
научного исследования производится методом экспертных оценок, исходя из
содержания исследования, обеспечения полной загрузки исполнителей.
Месячный оклад отдельного исполнителя рассчитывается по следующей
формуле:
(4.4)
где S - месячный оклад работника бюджетной
сферы, руб.,
- коэффициент i-го бюджетного
разряда.
Месячный оклад руководителя (14 разряд) = 5965 · 4,87 = 29049,55
руб.
Месячный оклад инженера (6 разряд) = 5965 · 1,83 = 10915,95 руб.
Часовой заработок руководителя равен 29049,55/169,2 = 171,69 руб.
Часовой заработок инженера равен 10915,95/169,2 = 64,52 руб.
Данные о составе исполнителей представлены в таблице 4.4.
Таблица 4.4 - Состав исполнителей дипломного проекта
|
Профессия исполнителя
|
Кол-во
|
Разряд
|
Тарифный коэффициент
|
|
Руководитель, к. т. н.
|
1
|
14
|
4,87
|
29049,55
|
|
Инженер
|
1
|
6
|
1,83
|
10915,95
|
4.3
Разработка календарного плана проведения исследования по оценке рисков и
анализа эффективности работы ложной информационной системы по различным игровым
сценариям
Календарный план проведения исследования представляет модель
процесса ее выполнения. Календарный план является элементом оперативного
планирования и исходным документом для оптимального управления ходом реализации
конечной цели исследования, а также служит условием определения затрат на
проведение разработки. Для разработки плана используются методы сетевого
планирования и управления.
Первоначально формируется полный перечень работ по выполнению
оценки рисков с учетом работы ложной информационной системы при реализации
атак.
Трудоемкость каждого этапа распределяется по его работам
экспертным путем. Для построения сетевого графика необходимо установить
технологическую последовательность и зависимость работ друг от друга, что
отражается на сетевом графике при помощи кодирования работ (путь i-j).
Продолжительность выполнения работ рассчитывается по
следующей формуле:
(4.5)
где 
- длительность работы для пути i-j сетевого графика,
календарных дней;
,4 - коэффициент перевода рабочих дней в календарные.
Трудоемкость, количество исполнителей по работам определяется
опытным путем в соответствии с таблицами 4.1 - 4.4.
Исходные данные для построения и расчета графика выполнения работы
сведены в таблицу 4.5.
Таблица 4.5 - Исходные данные для построения и расчета
сетевого графика выполнения работ по исследованию реализации атак с учетом
работы ЛИС
|
Наименование работы
|
Трудоемкость работы, чел. - ч.
|
Количество исполнителей, чел.
|
Продолжительность работы, календ. дн.
|
Код работы, i-j
|
|
1
|
2
|
3
|
4
|
5
|
|
Разработка ТЗ:
|
60 чел-ч
|
|
Научное прогнозирование
|
12
|
2
|
1
|
1-2
|
|
Анализ периодических изданий и публикаций по
тематике работы
|
10
|
1
|
1
|
2-3
|
|
Определение объема работ по дипломной работе
|
10
|
2
|
1
|
3-4
|
|
Разработка требований к дипломной работе и
согласование их с руководителем
|
6
|
2
|
2
|
4-6
|
|
Определение порядка приемки работ
|
7
|
1
|
1
|
4-5
|
|
Составление план-графика выполнения разработки
и исследования риск-модели атаки
|
3
|
1
|
1
|
5-6
|
|
Разработка ТЗ и его согласование
|
4
|
1
|
1
|
6-7
|
|
Составление сметы затрат, оценка договорной
цены, экономической эффективности
|
8
|
1
|
1
|
7-8
|
|
Выбор направления исследования:
|
180 чел-ч
|
|
Изучение научной литературы
|
35
|
1
|
4
|
8-9
|
|
Составление аналитического обзора
|
20
|
1
|
2
|
9-10
|
|
Формулирование возможных направлений решений
задач и их сравнительная оценка
|
15
|
1
|
2
|
10-11
|
|
Сбор, изучение научно-технической литературы,
нормативно-технической документации об аналогах
|
30
|
1
|
4
|
11-14
|
|
Выбор и обоснование принятого направления
исследования и способа решения поставленной цели
|
15
|
1
|
2
|
10-12
|
|
Прогнозирование экономической эффективности от
внедрения новой технологии
|
15
|
1
|
2
|
12-13
|
|
Разработка общей методики проведения
исследования
|
30
|
2
|
2
|
13-14
|
|
Составление и рассмотрение промежуточного
отчета
|
25
|
1
|
3
|
14-15
|
|
Теоретические и аналитические исследования:
|
734 чел-ч
|
|
Выявление угроз безопасности атак с учетом
работы ЛИС
|
23
|
1
|
2
|
15-16
|
|
Изучение особенностей атак с учетом работы ЛИС
|
11
|
1
|
1
|
16-17
|
|
Моделирование процесса реализации атак с учетом
работы ЛИС
|
18
|
1
|
2
|
17-18
|
|
Построение аналитической риск-модели в условиях
реализации атак с учетом работы ЛИС
|
124
|
1
|
9
|
18-19
|
|
Разработка рекомендаций по снижению риска
реализации атаки
|
137
|
1
|
12
|
16-19
|
|
Построение вероятностной модели информационного
риска на основе построенной модели атак
|
84
|
1
|
7
|
19-20
|
|
Расчет функций чувствительности информационного
риска к изменению его параметров
|
115
|
1
|
9
|
23-24
|
|
Математическое исследование модели
информационного риска
|
49
|
1
|
3
|
24-25
|
|
Математическое исследование движения
информационного риска вследствие изменения его параметров
|
68
|
1
|
5
|
19-21
|
|
Выработка критериев оптимального управления
информационным риском
|
49
|
1
|
5
|
21-22
|
|
Поиск области оптимального информационного
риска
|
26
|
1
|
3
|
22-23
|
|
Обобщение результатов исследования:
|
120 чел-ч
|
|
Обобщение результатов предыдущих этапов
|
21
|
1
|
2
|
25-26
|
|
Оценка полноты решения задачи
|
12
|
1
|
1
|
26-27
|
|
Проведение дополнительных теоретических
исследований
|
26
|
1
|
2
|
26-28
|
|
Разработка предложений по реализации
результатов разработки
|
34
|
1
|
3
|
28-29
|
|
Составление научного отчета согласно
требованиям дипломной работы
|
27
|
1
|
3
|
30-29
|
|
Приемка результатов исследования
|
60 чел-ч
|
|
Составление информационной документации
|
15
|
1
|
1
|
27-30
|
|
Рассмотрение результатов оценки информационных
рисков реализации атак с учетом работы ЛИС
|
25
|
1
|
2
|
29-31
|
|
Оформление акта приемки
|
20
|
1
|
2
|
31-32
|
Построим сетевой график согласно данным, представленным в
таблице 4.5 (рисунок 4.1).
Рисунок 4.1 - Сетевой график выполнения работ
Путь на сетевом графике, на котором все резервы работ равны
нулю, называется критическим. На рисунке 4.1 он показан жирной чертой. При этом
не входящие в критический путь работы в процессе проведения разработки
планируется выполнять параллельно работам, лежащим на критическом пути,
согласно построенному сетевому графику.
Нормативный срок выполнения работы составляет 4 месяца или
122 календарных дня. На работу было затрачено 72 календарных дней,
следовательно, время выполнения исследования не превышает нормативного.
4.4 Расчет
сметной стоимости и договорной цены исследования по оценке рисков и анализа
эффективности работы ложной информационной системы по различным игровым
сценариям
Сметная стоимость рассчитывается в калькуляционном разрезе и
включает следующие статьи:
- материалы, покупные изделия и
полуфабрикаты;
- специальное оборудование для научных и
экспериментальных работ;
- основная заработная плата исполнителей
разработки;
- дополнительная заработная плата
исполнителей разработки;
- единый социальный налог (30% от основной
заработной платы);
- научные и производственные командировки;
- оплата работ, выполненных сторонними
организациями и предприятиями;
- косвенные (накладные) расходы.
Расчет прямых статей затрат представляется в таблицах 4.6 -
4.7.
Таблица 4.6 - Расчет стоимости материалов и покупных изделий
|
Наименование материала, изделия
|
ГОСТ, марка, размер и т.п.
|
Цена за 1 ед., руб.
|
Расход
|
|
|
|
натур ед.
|
руб.
|
|
Ручка шариковая Ластик Карандаш Бумага для
печати Диск CD-RW
|
"Centropen" "KOH-I-NOOR"
"Matic" "SvetoCopy" "TDK"
|
15 7 10 168 30
|
3 1 1 2 1
|
45 7 10 336 30
|
|
Итого:
|
|
|
|
428
|
|
Транспортно-заготовительные расходы
|
|
|
|
60
|
|
Всего:
|
|
|
|
488
|
Часовой заработок инженера (6 разряда) рассчитывается:
месячный оклад / 169,2 = 10915,95/169,2 = 64,52 руб. /ч.
Часовой заработок руководителя (14 разряда) рассчитывается:
месячный оклад / 169,2 = 29049,55/169,2 = 171,69 руб. /ч.
Здесь 169,2 ч - номинальный месячный фонд времени работника
(норматив в РФ).
Таблица 4.7 - Расчет основной заработной платы исполнителей
|
Этап дипломного проектирования
|
Трудоемкость этапа, чел. - ч.
|
Исполнители
|
Заработная плата, руб.
|
|
|
Должность
|
Часовой заработок, руб.
|
|
|
Разработка плана выполнения дипломного проекта
|
22 38
|
Руководитель Инженер
|
171,69 64,52
|
3777,18 2451,76
|
|
Выбор направления исследования
|
65 115
|
Руководитель Инженер
|
171,69 64,52
|
11159,85 7419,8
|
|
Теоретические и аналитические исследования
|
80 654
|
Руководитель Инженер
|
171,69 64,52
|
13735,2 42196,1
|
|
Обобщение результатов дипломного проектирования
|
32 88
|
Руководитель Инженер
|
171,69 64,52
|
5494,08 5677,76
|
|
Приемка дипломного проекта
|
20 40
|
Руководитель Инженер
|
171,69 64,52
|
3433,8 2580,8
|
|
Итого:
|
1154
|
|
|
97926,23
|
При выполнении оценки информационных рисков реализации атак с
учетом работы ЛИС не требуется специального оборудования для проведения
исследования, дополнительных расходов и привлечения сторонних разработчиков.
Дополнительная заработная плата составляет 20% от основной и
равна:
Отчисления на социальные нужды определяются процентом от всей
заработной платы (по нормативу РФ - 30%) и составляют:
Прибыль планируется 10% от себестоимости темы.
Общая смета затрат представлена в таблице 4.8.
Таблица 4.8 - Калькуляция сметной стоимости НИР и расчет
договорной цены
|
Наименование статьи затрат
|
Сумма, руб.
|
|
2. Основная заработная плата исполнителей
|
|
|
3. Дополнительная заработная плата исполнителей
|
|
|
4. Единый социальный налог
|
|
|
5. Затраты на командировки
|
0
|
|
Итого сметная стоимость работы
|
152766,00
|
|
Прибыль
|
15276,6
|
|
Договорная цена работы
|
168042,6
|
Таким образом, договорная цена НИР составит 168042,60 рублей.
4.5
Прогнозирование ожидаемого экономического эффекта от использования результатов
исследования по оценке рисков и анализа эффективности работы ложной
информационной системы по различным игровым сценариям
Общенаучный эффект характеризуется приростом новой
научно-технической информации, полученной в результате проведения исследований
и предназначенной для дальнейшего развития науки. Показатель общенаучного
эффекта определяется как:
(4.6)
Где 
- показатель ценности научной информации;
- показатель уровня распространения информации;
,6 и 0,4 - весовые коэффициенты показателей.
Полученные в ходе выполнения настоящей разработки результаты с
точки зрения ценности научной информации представляют собой существенное усовершенствование,
дополнение и уточнение ранее достигнутых результатов. Поэтому показатель
ценности научной информации принимается равным
.
Показатель уровня распространения информации определяется по
формуле:
(4.7)
где
- показатель уровня представления результатов исследований в
научных публикациях;
- показатель уровня представления результатов исследований на
научных конференциях;
,56 и 0,44 - весовые коэффициенты показателей.
Показатель рассчитывается по формуле:
(4.8)
где 
- общее количество исполнителей темы, чел.;
- количество К-го вида научных публикаций по материалам
исследования;
- показатель относительной важности К-го вида научных
публикаций.
Значения коэффициентов и количества публикаций определяются для:
- книги, монографии: 
, 
;
- статьи в журналах: 
, 
;
- статьи во внутривузовских изданиях: 
, 
.
Отсюда, показатель уровня представления результатов исследования в
научных публикациях будет равен:
Показатель определяется по формуле:
(4.9)
где 
- количество докладов и сообщений К-го вида на научных
конференциях по материалам исследований;
- показатель относительной важности К-го вида конференций.
Результаты работы не были представлены на конференциях,
соответственно
.
Показатель уровня распространения информации равен:
.
И, соответственно, показатель общенаучного эффекта будет равен:
Все вышеописанные показатели представлены в таблице 4.9.
Таблица 4.9 − Результаты расчета общенаучного эффекта
исследования