Общая математическая модель защиты информации
Костин Н.А.

Рассматривается теория информационной борьбы как система знаний о характере, законах, закономерностях, принципах, формах и способах ее подготовки и ведения.

В настоящее время информатика становится не только лидирующим, но и доминирующим направлением современного научно-технического прогресса, основным фронтом развернувшейся в мире борьбы за научно-техническое и экономическое превосходство. Темпы развития информационной, особенно компьютерной, техники и технологии, масштабы ее внедрения являются беспрецедентными для мировой истории. Таким образом, информатизация (компьютеризация, электронизация) становится одним из важнейших факторов общественного развития, едва ли не решающим участником исторического соперничества на мировой арене.

При этом указанное соперничество все чаще приобретает форму активной борьбы, которую в последнее время все чаще называют информационной борьбой. Учитывая роль и значение информационной борьбы в современном мире можно с достаточным основанием считать информационную борьбу частной категорией войны. При этом под войной понимается сложное общественно-политическое явление, которое представляет собой совокупность различных видов борьбы, вт. ч. политической, экономической, вооруженной, информационной и другой, которую ведут между собой общественные системы, нации, государства для достижения своих политических целей. Таким образом, информационная борьба является важнейшей составной частью войны, при этом ввиду своей специфики представляется и как самостоятельным видом борьбы, так и составным элементом любой другой формы борьбы. Роль и место информационной борьбы в войне показаны на рис. 1. Особенностью ее является также то, что она ведется постоянно, как в мирное, так и в военное время.

В условиях современной научно-технической революции значение теории информационной борьбы значительно повышается. Интенсивное развитие средств информационной борьбы, появление новых видов информационного оружия создают предпосылки для решения задач информационной борьбы в короткие сроки даже в глобальном маcштабе.

Теорию информационной борьбы следует рассматривать как систему знаний о характере, законах, закономерностях, принципах, формах и способах ее подготовки и ведения.

Целью информационной борьбы является обеспечение необходимой степени собственной информационной безопасности и снижения уровня информационной безопасности противостоящей стороны до значения, не обеспечивающего ее существования и развития.

Эта цель достигается решением ряда задач, основными из которых являются поражение объектов информационной среды противостоящей стороны и защита собственной информации.

Цели и задачи информационной борьбы определяют в целом ее содержание, а следовательно, и структуру теории информационной борьбы как систему знаний о ней. Подходя с этих позиций, к основным видам информационной борьбы следует отнести поражение информации противника (наступательные действия) и защиту собственной информации (оборонительные действия).

Таким образом, с учетом вышесказанного структура теории информационной борьбы должна состоять из общих основ, теории поражения информации и теории защиты информации.

Структура теории и содержание ее составных частей приведены на рис. 2.

Базируясь на общих основах, дополняя друг друга, составные части теории информационной борьбы должны обеспечить в совокупности решение всего комплекса задач информационной борьбы.

ОБОСНОВАНИЕ И ВЫБОР ТИПА МОДЕЛИ

Для изучения задачи защиты информации необходимо построить модель этого явления. К моделям защиты информации целесообразно предъявить те же общие требования, что и к моделям сложных систем подобного типа.

Анализируя особенности задачи защиты информации и требования к ее модели, можно заключить, что в рассматриваемом общем случае модель защиты информации должна обладать следующими свойствами: по масштабу моделируемых процессов соответствовать обеспечению информационной безопасности в масштабе государства, региона, района или отдельного обобщенного объекта защиты, т. е. должна быть общей; по интерпретации моделируемого процесса должна быть стохастической; по способу моделирования — в виде совокупности аналитических и логических зависимостей; по решаемой задаче — оптимизирующей; по назначению — исследовательской, штабной и учебно-тренировочной. Указанными качествами может обладать общая математическая модель, характеризуемая по методу разработки как имитационно-эвристическая и по методу решения как функционально-логическая.

Модель предназначается для использования при разработке замысла защиты информации при принятии решения, в ходе планирования, предотвращения и нейтрализации угроз информационной безопасности.

Модель служит для анализа и оценки источников угроз информационной среде государства (общества), расчета и выбора наилучшей по заданному показателю качества стратегии защиты информации и оценки ее эффективности. Под стратегией защиты информации понимаются методы оценки источников угроз информационной среде государства (общества), выбора объектов защиты, рационального назначения сил и средств защиты информации (средств противодействия — СП), порядка и способов их применения, прогнозирования возможного хода и исхода решения задачи защиты информации, оценки ее эффективности.

Можно предположить, что разработанная на основе указанных требований и обладающая вышеперечисленными свойствами Имитационно-эвристическая математическая модель защиты информации позволит прогнозировать развитие и исход решения задачи защиты информации с позиций новых качественных характеристик, обусловленных главным образом близким соответствием модели и моделируемого явления, а также динамикой пространственно-временных взаимодействий (противодействий) между дестабилизирующими факторами (источниками угроз) и силами и средствами противодействия (СП), используемыми для решения задачи защиты информации.

ИСХОДНЫЕ ДАННЫЕ ДЛЯ МОДЕЛИРОВАНИЯ

Исходную информацию, на основе которой осуществляется моделирование, условно можно разделить на три группы.

1 группа — условно-постоянная информация, представляет собой тактико-технические характеристики, нормативы, коэффициенты, априори стабильные правила решения задач (основной массив базы знаний) и другие данные, используемое при моделировании. Она заранее вводится в ЭВМ и используется для всех вариантов расчета, при этом может изменяться и корректироваться.

2 группа — оперативная информация, содержит элементы замысла, данные об источниках угроз и силах и средствах защиты информации.

Дестабилизирующие факторы и способы их реализации рассматриваются в масштабе государства, по направлениям, регионам (районам) и по объектам сосредоточения усилий. Данные об источниках угроз (дестабилизирующих факторах) вводятся заранее и по мере поступления разведывательной информации.

Данные о своих объектах защиты информации и средствах противодействия (средствах защиты) вводятся заранее и постоянно уточняются в ходе планирования и решения задачи защиты информации.

3 группа — переменная информация, включает нормативную информацию, которая меняется в ходе моделирования.

Конкретное содержание исходной информации рассматривается далее при описании отдельных блоков модели.

ФОРМАЛИЗАЦИЯ ПРОЦЕССА ЗАЩИТЫ ИНФОРМАЦИИ, УЧИТЫВАЕМЫЕ ФАКТОРЫ И ОГРАНИЧЕНИЯ

Действия по защите информации в государстве, на направлении (в районе) и объекте рассматриваются как применение средств противодействия на этапах предотвращения угроз и нейтрализации воздействия дестабилизирующих факторов.

На каждом направлении, в районе, на объекте моделирование проводится в виде массированного воздействия источников угроз на информационные объекты данного направления (района). Направление (район) представляется в модели в виде формализованного направления (района), задаваемого координатами на карте, который характеризуется шириной по фронту и глубиной.

Количество направлений (районов) в регионе, стране, количество массированных воздействий источников угроз, например, огневых и радиоэлектронных ударов, действий средств СПМВ и МПВ, количество и продолжительность этапов решения задачи защиты информации являются составной частью информации о замысле и частично могут задаваться служащим-оператором. Решение задачи защиты информации, как нам уже известно, является процессом непрерывным, но при моделировании мы вынуждены ввести указанные временные ограничения.

Время воздействия дестабилизирующих факторов, например, огневых и радиоэлектронных ударов, воздействия средств СПМВ и МПВ рассчитывается или задается служащим-оператором. Время между ударами определяется возможностями по подготовке сил и средств огневого поражения, РЭП, СПМВ и МПВ к повторным и последующим ударам и систематическим действиям.

МАТЕМАТИЧЕСКОЕ ОПИСАНИЕ МОДЕЛИ

Исходя из вышесказанного, предлагаемое математическое описание модели защиты информации основывается на базе теорий статистических решений, нечетких множеств и математической логики. Математическое представление модели (рис. 3) включает семь абстрактных пространств К, V, L, А, С, Н и Ψ, экспертные и функциональные оценки к, j, v, l, с, h, ψ, априорные вероятности источников угроз π (к), Р (jk/k), Р (к/jk), условные вероятности Р (jk/l), Р (к/l), Р (K/L), и решающую функцию D (а/К, С).

Пространство дестабилизирующих факторов (источников угроз) К образовано множеством абстрактных областей k по одной на каждый фактор

k ⊂ K, K ≠ Ø (1)

Под угрозой информации будем понимать меру возможного возникновения дестабилизирующих факторов, т.е. явлений и событий, следствием которых возможны такие воздействия на информационную среду, которые могут привести к нарушению (или опасности нарушения) физической целостности информации, несанкционированному получению (или возможности такого получения) информации и несанкционированному размножению информации.

Нетрудно видеть, что источниками внешних дестабилизирующих факторов (внешней средой их появления) являются:

политические, военные, экономические структуры, разведывательные и специальные службы иностранных государств;

преступные международные группы, формирования и отдельные лица;

природные явления.

Источниками внутренних дестабилизирующих факторов (внутренней средой их появления) являются:

• органы государственной власти;
• политические, экономические и иные структуры государства; технические системы и устройства, технология информационных процессов, программное обеспечение;
• обслуживающий персонал информационных систем и средств; граждане, общественные и иные организации.
• Способы воздействия дестабилизирующих факторов на объекты защиты информации подразделяются на физические, радиоэлектронные, информационные, программно-математические, морально-психологические и организационно-правовые.

Физические способы включают:

• поражение (уничтожение или разрушение) средств обработки информации и связи (нарушение физической целостности информации);
• поражение (уничтожение, разрушение или хищение) машинных или других оригиналов носителей информации (нарушение физической целостности информации);
• хищение информации из библиотек, архивов, банков и баз данных, программных или аппаратных ключей и средств криптографической защиты информации (несанкционированное получение информации).

Радиоэлектронными способами являются:

• перехват информации в технических каналах ее утечки (несанкционированное получение информации);
• перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи (несанкционированное получение и модификация информации);
• воздействие на парольно-ключевые схемы (нарушение физической целостности, несанкционированное получение и модификация информации);
• радиоэлектронное поражение (подавление) линий связи и радиоэлектронных средств систем управления (нарушение физической целостности информации).

К информационным способам относятся:

• несанкционированный доступ к информационным ресурсам (это может привести к нарушению физической целостности, несанкционированному получению и несанкционированному размножению информации);
• манипулирование информацией (дезинформация, сокрытие или искажение информации - нарушение физической целостности информации);
• незаконное копирование данных в информационных системах (несанкционированное получение и размножение информации);
• нарушение технологии информационного процесса (нарушение физической целостности, несанкционированное получение или размножение информации).

Программно-математические способы включают:

• внедрение программ-вирусов (нарушение физической целостности информации);
• установку программных и аппаратных закладных устройств (нарушение физической целостности информации);
• уничтожение или модификацию данных в информационных системах (нарушение физической целостности информации).

Морально-психологические способы включают:

• воздействие на персонал информационных систем с целью нарушения физической целостности, несанкционированного получения или размножения информации;
• использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства, т.е. нарушающих целостность, приводящих к модификации информации.

Организационно-правовые способы включают:

• невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере, приводящие к нарушению физической целостности информации;
• неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Анализ способов воздействия дестабилизирующих факторов на объекты защиты информации показывает, что существуют три основных вида нарушения информации: нарушение физической целостности (поражение) информации, несанкционированное получение информации и несанкционированное размножение информации.

Таким образом, каждый фактор (источник угрозы) k может быть реализован различными способами jk. Например, вооруженные силы и спецслужбы враждебных иностранных государств могут осуществить физическое уничтожение информационного объекта ударами авиации, ракетных войск, артиллерии, группами специального назначения, а также путем организации пожара или имитации другого стихийного бедствия. Следовательно, каждая из областей k содержит точки jk, отображающие способы реализации воздействия этого фактора (источника угрозы) k на объект защиты. Вероятность существования источника угрозы (область k) определяется априорной вероятностью π (к). Вероятность реализации jk угрозы k определится условной вероятностью Р (jk/k). Тогда вероятность совместного распределения угрозы k и способов ее реализации jk будет определяться зависимостью

P (k, jk) = π (k) P (jk/k). (2)

Выражение (2) совместно с пространством К будет составлять математическое описание оценки источников угроз, т.е. результат работы разведывательной системы.

Таким образом, появление областей k с присущими им полной совокупностью характеристик, в том числе и способами реализации jk, в пространстве К управляется функцией плотности вероятности Р (к, jк). Она определяет вероятность существования источников угроз со всей совокупностью их характеристик, в т.ч. и вероятностью реализации конкретного способа их воздействия на объект защиты. На практике целесообразно выбор этой функции рандомизировать.

Пространство информационных объектов L представляет собой множество точек l по одной на каждый объект

{l} ⊂ L, L ≠ Ø (3)

Надежная защита информации может быть эффективной, если она будет надежна на всех объектах и во всех элементах информационной среды общества, которые могут быть подвергнуты воздействию дестабилизирующих факторов. В связи с этим принципиальное значение имеет однозначное определение и формирование полных перечней тех объектов и элементов, которые могут быть подвергнуты воздействию дестабилизирующих факторов с целью нарушения защищенности информации и могут быть достаточно четко определены (обособлены) с целью организации защиты информации.

Под объектом защиты информации будем понимать информационный объект, в котором находится или может находиться подлежащая защите информация.

С учетом указанных условий, а также принимая во внимание вышеназванные принципы формирования, объекты защиты информации государства могут быть сгруппированы в следующие классы (соответствующие компонентам информационной среды государства):

1) все виды информационных ресурсов;

2) система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;

3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;

4) система формирования общественного сознания (мировоззрение, политические взгляды, моральные ценности и пр.), базирующаяся на средствах массовой информации и пропаганды;

5) граждане, общественные организации, как носители информации, в том числе их права на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.

Таким образом, к сфере защиты информации относятся в той или иной степени практически все объекты информационной среды государства. При этом в различных областях жизнедеятельности общества и государства имеются свои наиболее важные в информационном отношении, а также слабые и уязвимые с точки зрения защиты информации объекты. Предъявив дополнительно эти условия, сформируем перечень объектов защиты информации в различных областях жизнедеятельности общества и государства. Например, выявлен полный перечень структурных объектов защиты информации в АСОД. Пока, к сожалению, это единственный пример.

Отображение точек пространства К в точки пространства L, т.е. воздействие источников угроз k, а точнее, реализация конкретных способов воздействия jk источников угроз k на объекты l информационной среды, описываются вероятностным законом. Определим его условной вероятностью:

Р (jk/l) — условная вероятность воздействия способа реализации jk угрозы k на объект защиты l;

Р (к/l) — условная вероятность воздействия угрозы k всеми способами на объект защиты l;

Р (K/L) — условная вероятность воздействия всех угроз К на все объекты защиты L

Р (jk/l): jk→ l,

Р (k/l): k →l, (4)

Р (K/L): K→ L.

Пространство важности информационных объектов V образовано множеством точек V_l, каждая из которых отображает важность соответствующего информационного объекта l. Понятие "важность" в данном случае имеет относительное значение, наиболее часто под ним подразумевают оценку ущерба от реализации способа воздействия jk дестабилизирующего фактора k на объект l. Отображение точек l пространства L в точки V_l пространства V осуществляется по аналитическим или экспертным Оценкам

l→V_l|jk→l, k→l, K→L (5)

Пространство средств противодействия (СП) или иначе средств защиты С включает в себя множество точек c_{i, jk, k, l} из которых соответствует конкретному средству защиты информации, будь то охранная структура, техническое устройство, использование шифра и т.п.

{c_{i, jk, k, l} }⊂ C, C≠Ø (6)

При этом точкам c_{i, jk, k, l} соответствует i-е средство по противодействию jk-му способу реализации k-й угрозы объекту защиты l.

Совокупности c_{jk, k, l} точек c_{i, jk, k, l} соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса объекта l от jk-гo способа реализации k-й угрозы.

Совокупности с_{k, l} точек c_{i, jk, k, l} соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса объекта 1 от всех способов реализации k-й угрозы.

Совокупности с_l точек c_{i, jk, k, l} соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса объекта l от всех угроз.

Совокупности С точек c_{i, jk, k, l} соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса всех объектов от всех угроз.

Пространство оценок эффективности средств защиты Н представляет собой совокупность точек h.

Здесь под точкой h_{i, jk, k, l} понимается значение удельной эффективности средства противодействия c_{i, jk, k, l} , которое показывает степень эффективности выполнения c_{i, jk, k, l} средством защиты своих функций по противодействию jk-му способу реализации k угрозы объекту l. Иначе, удельная эффективность h_{i, jk, k, l} есть вероятность того, что данный способ jk реализации угрозы k объекту l будет предотвращен.

Совокупность h_{jk, k, l} точек h_{i, jk, k, l} будет представлять требуемую вероятность того, что данный способ jk реализации угрозы к объекту l будет предотвращен.

Совокупность h_{k, l} точек h_{i, jk, k, l} будет представлять требуемую вероятность того, что k-я угроза объекту l будет предотвращена.

Совокупность h_l точек h_{i, jk, k, l} будет представлять требуемую вероятность того, что все угрозы объекту l будут предотвращены.

Совокупность Н точек h_{i, jk, k, l} будет представлять требуемую вероятность того, что все угрозы всем объектам защиты будут предотвращены.

Отображение точек с и их совокупностей пространства С на пространство Н осуществляется по аналитическим или экспертным оценкам

c_{i, jk, k, l} → h_{i, jk, k, l}

c_{i, jk, k, l} → h_{jk, k, l}

c_{k, l} → h_{k, l} (7)

c_l→ h_l

C→H

Пространство оценок стоимости средств противодействия Ψ содержит множество точек ψ, каждая из которых соответствует значению стоимости конкретного средства противодействия с. При этом под "стоимостью" средства противодействия следует подразумевать как финансовые затраты на приобретение и применение этого средства, так и условные затраты, выражаемые любыми безотносительными единицами.

Отображение точек с пространства С на пространство Ψ осуществляется по аналитическим или экспертным оценкам

c_{i, jk, k, l} → ψ_{i, jk, k, l}

c_{i, jk, k, l} → ψ_{jk, k, l}

c_{k, l} → ψ_{k, l} (8)

c_l→ ψ_l

C→Ψ

Пространство решений А состоит из элементов а, которые представляют собой решения на основе возможных воздействий дестабилизирующих факторов k на объект защиты l и применения имеющихся средств защиты с. Алгоритмом решения является решающая функция D (а/к, с), определенная на пространствах К, V, L, С, Н и Ψ и принимающая значение из А. Решающая функция осуществляет отображение точек из пространства источников угроз К, пространства информационных объектов L и пространства средств защиты С в пространство решений А. Это отображение носит вероятностный характер, т.е. для каждого k (jk) и c_{i, jk, k, l} будет существовать функция плотности вероятности D (a/jk, c_{i, jk, k, l}) из пространства решений А.

Таким образом, решающая функция D (а/k, с) вместе с пространствами А, К, V, L, С, Н и Ψ образует математическую модель процесса защиты информации. Синтез оптимального процесса защиты информации сводится к нахождению закона отображения D (а/k, с), наилучшего в смысле принятого показателя качества.

Алгоритм работы решающей функции D (а/k, с) на основании вышесказанного в общем виде будет следующим.

1. Основываясь на априорных данных об источниках угроз k, способов их воздействия на защищаемые объекты jk, которые вследствие как естественной, так и искусственно создаваемой неопределенностью относительно истинных параметров разведываемых источников угроз не могут обеспечить полную расшифровку параметров угрозы К (t, j). Неформальными методами оценивания по заданному критерию качества определяется оценка характеристик К (t, jk) угрозы k. По полученной оценке К (t, jk) с соответствующей вероятностью делается вывод (решение а_k = D (a/jk, k) об угрозе k, т.е. источник угрозы идентифицируется и определяются его характеристики.

2. Выбирается стратегия защиты информации (решение а_с = D (а/с), т.е. производится рациональный выбор средств защиты и выбирается наилучший по заданному критерию способ применения этих средств на информационном объекте l с целью предотвращения и нейтрализации воздействия дестабилизирующих факторов (источников угроз).

Следовательно, решение а в общем виде является функционалом от функций а_k и а_с и представляет вывод о характеристиках источников угроз противника, силах и средствах защиты информации своих сил и наилучшего по выбранному критерию способа их применения для решения задачи защиты информации объекта l или их совокупности L:

a→ f (a_k, a_c), (9)

иначе решающую функцию можно представить в виде

D (a/K, C) → D (ak/K) ∧ D (ac/C). (10)

Пространство А удобно разбить на пять подпространств

A^w⊂ A, w= (11)

точки которых а определяют решающую функцию D для пяти уровней системы информационной безопасности, т.е. в каждом из-под пространств A^w1…. А^w5 находятся точки а, определяющие решающие функции D для соответствующих уровней системы информационной безопасности.

Иначе говоря, в подпространстве A^w1 будут находиться точки а₁, определяющие решающую функцию, которая представляет собой алгоритм работы i-го средства противодействия c_{i, jk, k, l} конкретному способу jk реализации определенной угрозы k объекту защиты l.

a₁ → D (a/jk, c_{i, jk, k, l}) = D (a/jk) ∧ D (a/ c_{i, jk, k, l}). (12)

В подпространстве А^w2 будут находиться точки а₂, определяющие решающую функцию, которая представляет алгоритм организации работы всех средств противодействия c_{jk, k, l} конкретному способу jk реализации определенной угрозы k объекту l.

a₂ → D (a/jk, c_{jk, k, l}) = D (a/jk) ∧ D (a/ c_{jk, k, l}). (13)

В подпространстве A^w3 будут находиться точки a₃, определяющие решающую функцию, которая представляет алгоритм реализации и координации действий всех средств противодействия c_{k, l} всем способам реализации угрозы k объекту l.

a₃ → D (a/k, c _{k, l}) = D (a/k) ∧ D (a/ c _{k, l}), (14)

для всех j⊂ J.

В подпространстве A^w4 будут находиться точки а₄, определяющие решающую функцию, которая представляет алгоритм реализации и координации действий всех средств противодействия с₁ от всех предполагаемых угроз объекту l.

a₄ → D (a/k, c _k) = D (a/k) ∧ D (a/ c _l), (15)

для всех k ⊂ К.

В подпространстве A^w5 будут находиться точки a₅, определяющие решающую функцию, которая представляет алгоритм реализации и координации действий всех средств противодействия С от всех предполагаемых угроз k для всех объектов защиты l.

a₅ → D (a/K, C) = D (a/K) ∧ D (a/C), (16)

для всех l⊂ L.

Выражения функционалов (12—16) в явном виде будут определяться конкретными условиями обстановки, т. е. соответствовать конкретным объектам защиты, источникам угроз и способам их реализации, средствам противодействия и способам их применения для защиты информации. Ясно, что вид этих функционалов будет весьма разнообразный. В настоящее время известен вид этих функционалов лишь для узкого класса объектов защиты, например, для АСОД.

________________________________________________

Костин Н.А. - доктор технических наук, профессор

---

&copy Информационное общество, 1996, вып. 6, с. 13-25