Теоретические аспекты информационной безопасности А. С. ВЫДРИН Московский государственный университет им. М. В. Ломоносова УДК 519.72 Ключевые слова: автоматизированная система, контроль защищённости, математическая модель. Аннотация В работе строится формальная модель системы контроля защищённости автоматизированных систем и проводится анализ ошибок принятия решения о состоянии защищённости системы в условиях неполной информации. Abstract A. S. Vydrin, Theoretical aspects of information security, Fundamentalnaya i prikladnaya matematika, vol. 13 (2007), no. 5, pp. 81—102. We construct a formal model of a security control system for automated systems and analyze errors in making decisions concerning the system’s security level in conditions of partial information availability. Основной задачей данной работы является построение математической модели системы контроля состояния защищённости автоматизированных систем, формальная постановка задачи эффективного контроля защищённости в терминах построенной модели, а также анализ ошибок принятия решения о состоянии защищённости автоматизированной системы в условиях неполной информации и получение ряда оценок для них. Полученные результаты показывают, что предлагаемая модель согласуется с практическими соображениями. Результаты данной работы могут быть использованы при практическом создании систем контроля состояния защищённости, а также в качестве методологии при рассмотрении смежных с контролем защищённости вопросов, например вопросов анализа рисков. Автор выражает благодарность М. В. Воронову и А. В. Михалёву за помощь при написании и рецензирование данной работы. 1. Введение Необходимость создания системы управления информационной безопасностью автоматизированных систем предприятий обусловлена отечественными и Фундаментальная и прикладная математика, 2007, том 13, № 5, с. 81—102. c 2007 Центр новых информационных технологий МГУ, Издательский дом «Открытые системы» 82 А. С. Выдрин международными стандартами [1,5,6]. В настоящее время на рынке присутствует ряд систем, позволяющих производить автоматизированный контроль состояния защищённости (например, система «Symantec Enterprise Security Manager», а также аналогичные ей системы). В современном мире структура автоматизированных систем весьма сложна. В частности, прикладные автоматизированные системы (реализующие автоматизацию тех или иных бизнес-функций) работают под управлением определённых операционных систем и используют определённые системы управления базами данных (которые, в свою очередь, функционируют под управлением каких-либо операционных систем), а также сетевые протоколы и сервисы для взаимодействия между компонентами самой прикладной автоматизированной системы и взаимодействия с окружающим миром. Поэтому для полноценного контроля состояния защищённости необходимо рассматривать автоматизированную систему в комплексе, учитывая все «кирпичики», из которых она состоит. Согласно стандарту [1] для контроля состояния защищённости необходимо анализировать настройки ряда параметров автоматизированных систем, например настройки парольной политики (требований к минимальной длине пароля, периода его действия и т. д.), настройки политик разграничения доступа, специфические настройки, имеющие отношение к логике функционирования данной автоматизированной системы и её подсистем, ответственных за информационную безопасность, и т. д. Эти и другие параметры, критичные с точки зрения защищённости автоматизированной системы, будем называть параметрами безопасности. Автоматизированная система контроля состояния защищённости запоминает эталонные настройки данных параметров в своей базе данных. Значения эталонных настроек определяются требованиями стандартов и корпоративной политикой безопасности предприятия. При осуществлении проверки состояния защищённости производится сравнение текущих настроек с эталонными, и в случае выявления несоответствия выдаётся предупреждения о том, что уровень защищённости является неадекватным. Каждый раз при осуществлении проверки производить сравнение настроек абсолютно всех параметров, сохранённых в базе данных, не представляется возможным из-за того, что на проведение такого сравнения требуются существенные вычислительные и временные ресурсы, которые отнимаются у автоматизированной системы в процессе проведения проверки. Если число проверяемых параметров неоправданно велико, это может приводить к существенному снижению работоспособности автоматизированной системы и даже в ряде случаев к отказу в обслуживании. Поэтому среди всех параметров выделяется некоторое подмножество наиболее критичных, они подлежат сравнению, остальные параметры остаются неконтролируемыми. Перечень параметров, подлежащих контролю, в дальнейшем именуется политикой контроля. При отклонении параметра от эталонного значения имеет место потенциальный ущерб, связанный с возможностью реализации угроз информационной безопасности, имеющих отношение к этому параметру. Например, в том случае, Теоретические аспекты информационной безопасности 83 когда выявляются пользователи, имеющие очень слабый с точки зрения возможного вскрытия пароль, возможен несанкционированный доступ к системе от имени этого пользователя, а также доступ к персональным данным, хранимым этим пользователем. Этот ущерб имеет место как для контролируемых параметров, так и для неконтролируемых. Разница лишь в том, что с отклонениями неконтролируемых параметров нам приходится «мириться», значения же отклонений контролируемых параметров мы знаем и имеем возможность вносить коррективы в их настройки. Приведённое выше неформальное описание логики и принципов работы системы контроля состояния защищённости позволило создать формальную математическую модель данной системы, которая может быть полезна при непосредственной реализации систем данного класса. 2. Формальная модель системы контроля защищённости Пусть автоматизированная система имеет N параметров безопасности {π1 , . . . , πN }, где для всех i = 1, N πi принадлежит некоторому множеству Σi (носителю i-го параметра). Как уже говорилось выше, в реальных системах число параметров безопасности весьма велико (например, для операционных систем значение N превышает 1000). На всех множествах Σi некоторым образом вводится функция расстояния между двумя элементами: это вещественная неотрицательная симметричная функция, равная нулю исключительно в случае совпадения элементов. Практически такую функцию ввести нетрудно, поскольку множества Σi зачастую являются либо подмножествами множеств целых или вещественных чисел (числовые параметры систем, например минимальная длина пароля), либо множествами строк определённой длины (строковые параметры систем), либо массивами опять же чисел или строк (например, списки контроля доступа). Таким образом, мы имеем возможность измерить, насколько близко текущее значение измеряемого параметра безопасности к эталонному, сохранённому в базе данных системы контроля защищённости. Будем считать, что на измерение отклонения параметра πi от эталона требуется ti > 0 времени, стоимость потери времени на измерение отклонения параметра πi обозначим через hi = hi (πi ) > 0. Стоимость потерь одного и того же количества времени может быть существенно различной, поскольку отклонения некоторых параметров (например, параметров, связанных с производительностью того или иного компонента автоматизированной системы) возможно измерять исключительно в рамках определённых циклов работы системы. Стоимость прерывания различных циклов, связанных с измерениями параметров, очевидно, может быть совершенно различной (например, стоимость прерывания консолидированных финансовых отчётов гораздо выше стоимости прерывания процесса подготовки к печати офисных документов). 84 А. С. Выдрин В связи с тем, что, как было сказано во введении, практично измерять не все параметры системы, а лишь их часть, вводится следующее понятие. Определение 2.1. Любое подмножество Y ⊂ {1, . . . , N } назовём политикой контроля или множеством контролируемых параметров. При заданной политике контроля Y параметры {πi | i ∈ Y } будем называть контролируемыми параметрами, остальные — неконтролируемыми (в рамках политики контроля Y ). Для любой политики контроля Y определим временные затраты на контроль, выраженные в некоторых условных единицах (например, в деньгах), следующим образом. Определение 2.2. Временные затраты на контроль по политике Y есть hi ti . Lt (Y ) = i∈Y Таким образом, в данной модели мы считаем, что измерения отклонения каждого параметра вносят затраты по отдельности. Это допущение представляется оправданным, поскольку при детальном рассмотрении механизма мультизадачности становится понятным, что время параллельного выполнения задач (особенно чисто вычислительных задач, не использующих аппаратных возможностей устройств ввода-вывода) есть сумма времён их отдельного выполнения. Отметим, что в дальнейшем все рассматриваемые величины, имеющие смысл потерь, выражаются в тех же условных единицах, что и величина Lt . Определим семейство случайных величин {Xi | i = 1, N }, отражающих возможное значение отклонения i-го параметра безопасности от эталонного значения. Для каждого i = 1, N определим вещественную неотрицательную функцию Ci (x), отражающую стоимость отклонения i-го параметра от эталона на величину x, при этом xCi (x) — значение потерь, которые несёт предприятие в случае, если значение i-го параметра безопасности отклонилось на x от эталона. Природу этих потерь мы не рассматриваем в данной работе, полагая лишь, что в них входят все возможные потери (прямые финансовые, косвенные финансовые, репутационные и т. д.). Из практических соображений ясно, что функцию Ci (x) можно считать монотонно неубывающей (а также борелевской) при каждом i = 1, N . Будем считать, что величины Xi независимы в совокупности. Данное допущение связано с тем, что если какая-либо взаимосвязь между отклонениями имеется, мы будем учитывать её в виде отдельных слагаемых, а также в виде стоимости отклонений для каждого из параметров. Введём следующие случайные величины. Определение 2.3. Величины Xi Ci (Xi ), η(Y ) = Xi Ci (Xi ), ξ(Y ) = i∈Y i∈{1,...,N }\Y выраженные в условных единицах, имеют смысл величины ущерба от отклонения контролируемых параметров безопасности от эталона и величины ущерба Теоретические аспекты информационной безопасности 85 от отклонения неконтролируемых параметров безопасности от эталона соответственно. Таким образом, будем считать, что ущерб от отклонения совокупности параметров от эталонных значений есть сумма ущербов от отклонения каждого из параметров. Ущерб считается случайной величиной, поскольку неизвестно, к чему именно приведут расхождения в настройках параметров безопасности: это расхождение может быть использовано злоумышленниками, а может и не быть замечено. Поскольку реальное число параметров безопасности (значение параметра N модели) в реальной системе очень велико, количество контролируемых параметров велико (иначе смысл самого процесса контроля теряется) и при этом практически невозможно контролировать все параметры, то будем считать, что мощности множеств Y и {1, . . . , N } \ Y тоже достаточно велики. Тогда можно считать, что в каждую из сумм для ξ(Y ) и η(Y ) входит большое число слагаемых, а значит, будем в данной модели системы контроля полагать, что случайные величины ξ(Y ) и η(Y ) имеют нормальные распределения: ξ(Y ) = N (a(Y ), σ(Y )2 ), a(Y ), σ(Y ) > 0, η(Y ) = N (b(Y ), ρ(Y )2 ), b(Y ), ρ(Y ) > 0. Пусть U — предельное допустимое значение общих потерь (связанных с отклонениями как контролируемых, так и неконтролируемых параметров), т. е. потери, меньшие U , считаются приемлемыми, большие — неприемлемыми, требующими принятия контрмер. Соответственно, если ξ(Y ) + η(Y ) U , то ситуация считается неопасной, в противной случае ситуация считается опасной. Основная проблема связана с тем, что мы контролируем не все параметры, а только их часть, поэтому о значении величины η(Y ) мы однозначно ничего не знаем (более того, мы даже можем не располагать сведениями о значении параметров b(Y ), ρ(Y )). В то же время система контроля должна принимать решение об уровне опасности ситуации и соответствующим образом реагировать. Критерий принятия решений, основанный лишь на значении величины ξ(Y ) (вернее, её конкретной реализации в данный конкретный момент времени), следующий. Если значение ущерба от отклонения контролируемых параметров ξ(Y ) превышает некоторое заранее заданное значение V , то есть если выполнено неравенство ξ(Y ) > V , система контроля считает ситуацию опасной и принимает адекватные меры (способы принятия этих мер выходят за рамки данной работы и не рассматриваются — по данной проблеме существует множество специализированной литературы). Как и любой статистический критерий принятия решений, данный критерий характеризуется двумя основными параметрами: ошибками первого и второго рода. Ошибка первого рода q1 (Y ) (соответствует ситуации «пропуск цели») — принятие решения об отсутствии опасности в реально опасной ситуации, ошибка второго рода q2 (Y ) («ложная тревога») — наоборот, принятие безопасной ситуации за опасную. Каждая ошибка принятия решения характеризуется затратами 86 А. С. Выдрин (потерями), которые зависят от величин ошибок первого и второго рода. В случае ошибки первого рода q1 (Y ) это в первую очередь затраты, связанные с нарушением информационной безопасности (например, несанкционированный доступ к информации), в случае ошибки второго рода q2 (Y ) — затраты, связанные с реакцией на ложное событие (накладные расходы на ложное реагирование). В рассматриваемой модели системы контроля мы будем считать, что затраты, связанные с ошибками принятия решения, являются линейными функциями от величин этих ошибок, выраженных в условных единицах, т. е. L1 (Y ) = L1 q1 (Y ), L2 (Y ) = L2 q2 (Y ), где параметры L1 , L2 считаются постоянными. Общие потери в результате ошибок контроля будем выражать в условных единицах и считать суммой потерь от ошибок первого и второго рода: Lerr (Y ) = L1 (Y ) + L2 (Y ) = L1 q1 (Y ) + L2 q2 (Y ). Система контроля защищённости приносит совокупные затраты, связанные с осуществлением этого контроля. Это затраты на измерение отклонений параметров и затраты, связанные с ошибками принятия решения. Будем считать эти затраты независимыми (поскольку они имеют совершенно различную природу) и общие затраты, связанные с контролем, при заданной политике контроля Y вычислять по формуле Lctrl (Y ) = Lt (Y ) + Lerr (Y ). После внедрения системы контроля общие потери, связанные с нарушением состояния защищённости, будем вычислять по формуле L(Y ) = ξ(Y ) + η(Y ) + Lctrl (Y ), т. е. будем считать затраты, связанные с отклонением параметров безопасности, и накладные расходы самой системы контроля независимыми, учитывая тот факт, что расходы носят различный характер. Задача эффективного контроля защищённости заключается в нахождении такой политики контроля Y , при которой значение совокупных потерь L(Y ) минимально. Зачастую на практике данное требование дополняется ограничениями сверху на величины ошибок первого и второго рода. Формально можно записать L(Y ) → min, q1 (Y ) q˜1 , q2 (Y ) q˜2 . Поскольку величина L есть случайная величина, то выражение L(Y ) → min следует понимать как минимизацию некоторой «разумной» детерминированной характеристики величины L, например её среднего значения, верхней границы доверительного интервала с определённым уровнем надёжности и т. д. Структура функций ξ(Y ), η(Y ), Lt (Y ) является понятной с математической точки зрения, поведение же функций существенно зависит от значений входящих в них весовых коэффициентов и других величин (распределения величин Xi , вида функций Ci (x), величины коэффициентов hi и ti ), получить Теоретические аспекты информационной безопасности 87 которые возможно только эмпирически, причём для каждой автоматизированной системы значения этих коэффициентов будет различаться. Вместе с тем возможно определить общий характер этих функций, что имеет существенное значение для решения задач эффективного контроля. Ниже делается попытка изучения обобщённых характеристик поведения Lerr (Y ), функции потерь, связанных с ошибками принятия решений. В частности, мы покажем, что при некоторых (разумных с практической точки зрения) ограничениях при усилении политики контроля возможно существенно уменьшить величины ошибок первого и второго рода, а стало быть, значение функции потерь Lerr . Кроме того, из данного факта будет следовать, что ограничения q1 (Y ) q˜1 , q2 (Y ) q˜2 , участвующие в постановке задачи эффективного контроля, реализуемы в рамках усиления политики контроля, т. е. задача эффективного контроля является корректной, а вся модель в целом «разумной» с практической точки зрения. Таким образом, объектом дальнейших рассмотрений будут функции ошибок первого и второго рода q1 (Y ) и q2 (Y ). Для краткости мы будем опускать параметр Y , считая, что изменения политики контроля (параметра Y ) учтены в рассматриваемых ниже изменениях параметров a(Y ), σ(Y ), b(Y ), ρ(Y ), которые также будут использоваться без упоминания параметра. 3. Явные выражения для ошибок контроля Явные выражения для ошибок первого и второго рода даются непосредственно определением ошибок статистического критерия. Предложение 3.1. Ошибки q1 и q2 могут быть вычислены по формулам q1 = P(ξ V | ξ + η > U ), q2 = P(ξ > V | ξ + η U ). (1) Определение 3.2. Для непосредственного вычисления ошибок q1 и q2 введём дополнительные величины q11 = Eξ Pη (η > U − ξ)I(ξ V ) , q12 = Eξ Pη (η > U − ξ) , q21 = Eξ Pη (η U − ξ)I(ξ > V ) , q22 = Eξ Pη (η U − ξ) , где индекс случайной величины означает, что соответствующая вероятность и ожидание берутся для данной величины (по мере, соответствующей данной величине). На основе выражений (1) относительно несложно доказывается следующее утверждение (подробности доказательства данного факта могут быть найдены в [4]). Предложение 3.3. С учётом введённых величин значения ошибок могут быть вычислены по формулам q11 q21 q1 = , q2 = . (2) q12 q22 88 А. С. Выдрин В дальнейшем для расчётов значений ошибок первого и второго рода мы будем использовать выражения (2) и определение 3.2, но предварительно докажем несколько полезных утверждений. Лемма 3.4. q22 = P(ξ + η U ). Доказательство. Данное утверждение непосредственно следует из теоремы Фубини, применение которой существенно облегчается, поскольку величины ξ и η имеют непрерывную плотность распределения. Следствие 3.5. q12 = P(ξ + η > U ). Следующие утверждения очевидны. Лемма 3.6. q12 + q22 = 1. Лемма 3.7. Поскольку ξ и η — независимые случайные величины, распределённые по нормальному закону, то ξ + η = N (a + b, σ 2 + ρ2 ). Из данных утверждений следуют явные выражения для значений q12 и q22 : U − (a + b) U − (a + b) , q12 = 1 − q22 = 1 − Φ , (3) q22 = Φ σ 2 + ρ2 σ 2 + ρ2 где функция Φ(x) (функция Лапласа) определена равенством 1 Φ(x) = √ 2π x t2 e− 2 dt. −∞ Определение 3.8. Пусть D = U − a − b. Предложение 3.9. В реальной ситуации D 0, и мы рассматриваем только этот случай. Математическое доказательство данного утверждения не представляется возможным, однако пояснить смысл и справедливость данного предложения достаточно просто. Как было отмечено выше, справедливо равенство D , q12 = Φ − σ 2 + ρ2 при этом q12 есть уровень опасности — вероятность возникновения опасной ситуации в результате расхождения текущих настроек системы с эталонными значениями. Если D < 0, то ввиду монотонности функции Φ(x) справедливо неравенство 1 q12 > Φ(0) = , 2 т. е. опасная ситуация возникает более чем в половине случаев, что совершенно неприемлемо с точки зрения здравого смысла и любой методологии анализа рисков (см. [5, 6]). Поэтому в случае, когда опасная ситуация возникает более чем в половине случаев, необходимо применение мероприятий базового характера, Теоретические аспекты информационной безопасности 89 как организационных, так и программно-технических, построение эффективной системы контроля состояния защищённости в данном положении невозможно. Для явного вычисления значений ошибок осталось получить явные выражения для величин q11 и q21 . Оказывается, между ними существует достаточно простая связь, которая будет использоваться нами в дальнейшем. Лемма 3.10. Справедливо равенство q21 = q11 + q22 − P(ξ V ). Доказательство. Определим следующие случайные величины, являющиеся функциями от случайной величины ξ: ξ1 (ξ) = Pη (η > U − ξ), ξ2 (ξ) = I(ξ V ). Тогда в соответствии с определением 3.2 справедливы утверждения q11 = E(ξ1 ξ2 ), q21 = E (1 − ξ1 )(1 − ξ2 ) . Но тогда в силу свойств математического ожидания q21 = 1 − Eξ1 − Eξ2 + E(ξ1 ξ2 ) = 1 − Eξ1 − Eξ2 + q11 . При этом Eξ2 = E I(ξ V ) = P(ξ V ) по основному свойству математического ожидания и индикатора, Eξ1 = q12 по утверждению 3.5. Значит, по лемме 3.6 q21 = 1 − q12 − P(ξ V ) + q11 = q11 + q22 − P(ξ V ). Утверждение леммы 3.10 доказано. Из свойств нормальной случайной величины непосредственно следует, что имеет место равенство V −a P(ξ V ) = Φ . σ Справедливо ещё одно простое утверждение, которое проверяется непосредственно и которое справедливо в силу чётности плотности нормальной величины N (0, 1). Лемма 3.11. Для любого значения x справедливо равенство Φ(−x) + Φ(x) = 1. Вычислим теперь значение q11 , исходя из выражения для математического ожидания функции от случайной величины, имеющей непрерывную плотность распределения: q11 = Eξ Pη (η > U − ξ)I(ξ V ) = ∞ (x−a)2 1 1 − Pη (η U − x) I(x V ) √ e− 2σ2 dx = = 2πσ −∞ 90 А. С. Выдрин =√ 1 2πσ 1 =√ 2πσ V (x−a)2 U −b−x 1−Φ e− 2σ2 dx = ρ −∞ V Φ −∞ x+b−U ρ e− (x−a)2 2σ 2 dx. (4) Таким образом, мы получили явное выражение для величин q11 , q12 , q21 , q22 , входящих в выражения (2), а значит, и для ошибок первого и второго рода. 4. Оптимальное значение порога принятия решения Нетрудно заметить, что значения величин q11 и q21 , а значит, и ошибки первого и второго рода зависят от порога принятия решения — величины V (при этом значения q12 и q22 от порога V не зависят, что вытекает из смысла этих четырёх величин). Логично ожидать, что некоторые значения параметра V будут более подходящими (точный смысл данного утверждения будет раскрыт ниже), чем остальные. Критерием оптимальности в данном случае, очевидно, служит только условие минимизации потерь в результате ошибок, т. е. Vopt : Lerr (Vopt ) = min Lerr (V ), V (5) если рассматривать функцию Lerr как функцию от параметра V (при фиксированных значениях всех остальных параметров). Вычислим явно значение Vopt . Используя утверждения, доказанные выше, получим q11 + q22 − Φ V σ−a L1 V −a q11 L2 L2 + L2 = + Φ q11 − Lerr = L1 + L2 . q12 q22 q12 q22 q22 σ Вычислим производную функции Lerr : L1 V −a dLerr L2 d L2 dq11 = − Φ + = dV q12 q22 dV q22 dV σ 2 (V −a)2 V +b−U 1 1 L1 L2 L2 1 − (V −a) √ √ e 2σ2 = Φ + e− 2σ2 − = q12 q22 ρ q σ 2πσ 2π 22 (V −a)2 L1 V +b−U L2 1 L2 e− 2σ2 + =√ Φ . − q q ρ q 2πσ 12 22 22 Таким образом, производная Lerr по V по знаку эквивалентна функции L1 V +b−U L2 L2 δ(V ) = + , Φ − q12 q22 ρ q22 поскольку второй множитель всегда строго положителен. Теоретические аспекты информационной безопасности 91 Найдём значения V0 , при которых производная функции Lerr обращается в нуль: dLerr (V0 ) = 0 ⇐⇒ δ(V0 ) = 0 ⇐⇒ dV L2 V0 + b − U L2 q12 L2 − L2 q22 q ⇐⇒ Φ = . = L1 22 L2 = ρ L1 q22 + L2 q12 L2 + (L1 − L2 )q22 +q q 12 22 Определение 4.1. Будем рассматривать функцию f (t) = L2 − L2 t , L2 + (L1 − L2 )t где переменная t определена на отрезке [0; 1]. Легко проверяется следующее вспомогательное утверждение относительно нововведённой функции f . Лемма 4.2. Функция f (t) определена корректно и монотонно убывает на отрезке [0; 1]. Из леммы 4.2 следует, что функция f (t) принимает наибольшее значение при t = 0, а наименьшее при t = 1. Непосредственной подстановкой проверяется, что f (0) = 1, f (1) = 0. Поскольку в качестве t в уравнении для V0 фигурирует U −a−b q22 = Φ ∈ ]0; 1[, σ 2 + ρ2 получаем следующее утверждение. Лемма 4.3. Уравнение для оптимального V0 всегда имеет единственное решение. Из монотонности функции Φ(x) выводим следующее утверждение. Лемма 4.4. При V < V0 функция Lerr монотонно убывает, а при V > V0 монотонно возрастает. Таким образом, в точке V0 функция Lerr достигает минимума, что означает, что Vopt = V0 (см. (5)). Выделим уравнение для оптимального значения параметра V , поскольку оно понадобится нам в дальнейшем: V0 + b − U Φ (6) = f (q22 ). ρ При дальнейших рассуждениях будем полагать, что значение параметра V уже является оптимальным, т. е. выполнено равенство V = V0 . Сформулируем ключевое предложение, условия которого будем считать выполненными в дальнейших рассуждениях. Предложение 4.5. В реальной ситуации справедливо неравенство L1 L2 , т. е. пропуск опасной ситуации более нежелателен с точки зрения потерь, чем ложное установление опасной ситуации. 92 А. С. Выдрин Легко проверить следующее утверждение. Лемма 4.6. При L1 L2 для любого t ∈ [0; 1] справедливо неравенство f (t) 1 − t. В случае L1 = L2 неравенство превращается в равенство. Из данной леммы следует, что для оптимального V при L1 L2 в силу монотонности функции Φ(x) справедливо неравенство V0 + b − U a+b−U ⇐⇒ Φ = f (q22 ) q12 = Φ ρ σ 2 + ρ2 ⇐⇒ a+b−U V0 + b − U . ρ σ 2 + ρ2 (7) Данное неравенство даёт верхнюю оценку значения параметра V0 и в случае L1 = L2 превращается в равенство (что непосредственно следует из леммы 4.6). 5. Поведение ошибок при усилении политики контроля Поскольку явные выражения для вычисления ошибок первого и второго рода q1 и q2 получены, а также получено уравнение оптимального порога принятия решения, важно ответить на вопрос, как изменяются ошибки первого и второго рода при усилении политики контроля. Здравый смысл подсказывают, что при некоторых дополнительных условиях они должны убывать (чем большее число параметров мы контролируем, тем меньше ошибаемся). Для начала преобразуем выражение для вычисления q11 к следующему виду: 1 q11 = √ 2π V −a σ Φ −∞ σy − D ρ e− y2 2 dy. (8) В дальнейшем мы будем пользоваться представлением q11 именно в таком виде. Пусть производится усиление политики контроля, т. е. часть параметров системы переходят из разряда неконтролируемых в число контролируемых, т. е. вместо политики контроля Y мы рассматриваем более мощную политику контроля Z (справедливо строгое включение Y ⊂ Z). Тогда, как нетрудно убедиться, происходит преобразование случайных величин ξ(Y ) и η(Y ): ξ(Z) = ξ(Y ) + ζ(Y, Z), η(Z) = η(Y ) − ζ(Y, Z), где случайная величина ζ(Y, Z) определена равенством Xi Ci (Xi ). ζ(Y, Z) = i∈Z\Y Будем считать, что число параметров, перешедших в разряд контролируемых, также достаточно велико, т. е. достаточно велика мощность множества Z \ Y . Теоретические аспекты информационной безопасности 93 Это действительно так в реальных системах контроля, поскольку в них все параметры безопасности сгруппированы в области контроля в соответствии с их логическим смыслом: например, параметры, отвечающие за парольную политику, параметры, отвечающие за безопасность сетевого взаимодействия, и т. д. С точки зрения контроля состояния защищённости, при усилении политики контроля мы добавляем ещё одну область контроля, т. е. начинаем контролировать не один дополнительный параметр, а несколько (как правило, несколько десятков), поэтому приведённое допущение вполне оправданно. В соответствии с этим предположением, а также в соответствии с предположенной ранее независимостью случайных величин Xi получим, что случайную величину ζ = ζ(Y, Z) можно считать распределённой по нормальному закону, т. е. ζ = N (c, τ 2 ), причём c < b, τ < ρ. Таким образом, c учётом свойств независимых нормально распределённых случайных величин усиление политики контроля соответствует преобразованию a = a + c, b = b − c, 2 2 σ = σ + s, ρ2 = ρ2 − s, c, s > 0, c < b, s < ρ2 . В дальнейшем мы рассматриваем усиление политики контроля именно в таком виде. Лемма 5.1. При усилении политики контроля значение выражения V σ−a зависит только от значения D и не зависит от значений a и b по отдельности. Доказательство. Исходя из выражения (6) для V , получаем, что V +b−U = Φ−1 f (q22 ) ⇐⇒ V = ρΦ−1 f (q22 ) + U − b ⇐⇒ ρ ⇐⇒ V − a = ρΦ−1 f (q22 ) + U − a − b = ρΦ−1 f (q22 ) + D. Поскольку значения q22 и D являются инвариантами данного преобразования, получаем утверждение леммы. Лемма 5.2. При изменении политики контроля изменение параметров a и b можно не учитывать. Доказательство. Очевидно, что D является инвариантом преобразования усиления контроля, равно как и σ 2 + ρ2 . Таким образом, учитывая представление q12 и q22 , получаем, что последние величины также не изменяются в процессе усиления контроля. Значение q11 выражается только через D и значение 94 А. С. Выдрин выражения V σ−a (см. (8)), через них же выражается значение q21 (см. (3.10)). Применение леммы 5.1 завершает доказательство. Учитывая последние леммы, мы сводим преобразование усиления контроля к следующему: 2 2 σ = σ + s, 2 2 ρ = ρ − s, 0 < s < ρ2 . При этом мы считаем, что a, b, U , L1 , L2 — константы. Значения параметра s, для которых выполнены неравенства 0 < s < ρ2 , будем называть допустимыми значениями параметра s. Кроме введённой ранее величины D, которая является инвариантом нашего преобразования, введём ещё одно обозначение для величины, которая также не изменяется в процессе проведения усиления контроля: C = −Φ−1 f (q22 ) > 0. Исследуем поведения ошибок первого и второго рода в случае усиления политики контроля, т. е. при увеличении параметра s. Для этого мы установим некоторые свойства поведения величин q1 и q2 как функций от s, в частности, нас интересует монотонность поведения. В связи с этим мы будем считать параметр s меняющимся непрерывно. Безусловно, это не совсем соответствует изначальной модели (согласно определению случайных величин ξ, η, ζ параметр s изменяется скачкообразно при изменении политики контроля), но если мы установим факт монотонного поведения ошибок первого и второго рода как функций от непрерывно меняющегося параметра s, то, очевидно, и в случае скачкообразного изменения данного параметра все факты, относящиеся к монотонности, останутся в силе, что нам и требуется для решения задачи этого раздела. Итак, будем считать, что параметр s меняется непрерывно, что позволяет использовать аппарат классического математического анализа (предельные переходы, дифференцирование) для исследования характера поведения ошибок первого и второго рода в случае усиления политики контроля. Определение 5.3. Введём обозначение w(s) = V (s) − a . σ Лемма 5.4. Функция w(s) монотонно возрастает по s. Доказательство. Как было показано ранее, −C ρ2 − s + D √ w(s) = , σ2 + s Теоретические аспекты информационной безопасности откуда после несложных вычислений и преобразований получаем 1 dw C(σ 2 + ρ2 ) (s) = √ −D . ds 2( σ 2 + s)3 ρ2 − s 95 (9) По лемме 4.6 имеет место неравенство f (q22 ) 1 − q22 = q12 . Тогда в силу монотонности функции Φ(x) D D Φ−1 f (q22 ) Φ−1 (q12 ) = − =⇒ −Φ−1 f (q22 ) = C , 2 2 2 σ +ρ σ + ρ2 и σ 2 + ρ2 −1 = ρ2 − s D = √ σ 2 + ρ2 − ρ2 − s 2( σ 2 + s)3 ρ2 − s D √ σ 2 + ρ2 − ρ > 0. 2( σ 2 + s)3 ρ2 − s dw D (s) √ ds 2( σ 2 + s)3 Лемма доказана. Исследуем теперь характер поведения q11 как функции от s. Определение 5.5. Введём функцию √ w(s) √ y2 σ 2 + sy − D e− 2 dy. Φ q(s) = 2πq11 (s) = 2 ρ −s −∞ Далее мы будем рассматривать производную функции q по параметру s и оценивать её знак. После вычислений получим w(s)2 1 e− 2 h(s), q (s) = √ 2 ρ2 − s σ 2 + s где h(s) = Φ(−C) C(σ 2 + ρ2 ) − D σ2 + s ρ2 − s C2 1 − √ e− 2 . 2π (10) Предложение 5.6. Знак функции q (s) совпадает со знаком функции h(s) при всех допустимых значениях s. Доказательство. Утверждение следует из того, что значение первого множителя в выражении для q (s) строго положительно при всех допустимых значениях переменной s. Таким образом, наше исследование характера поведения функции q(s) будет сводиться к изучению характера поведения функции h(s). Нам понадобятся некоторые предварительные утверждения. 96 А. С. Выдрин Предложение 5.7. Будем считать, что справедливо неравенство V (s) a при всех допустимых s. Аргументировать данное предложение можно следующим образом. Мы принимаем решение о наличии опасности, исходя исключительно из значений отклонений контролируемых параметров. Если условия предложения 5.7 не вы полнены, то в среднем мы фиксируем опасность с вероятностью P ξ > V (s) . Поскольку V (s) < a, то данная вероятность больше 12 , а это значит, что мы фиксируем опасность более чем в половине случае измерения отклонений, чего в реальности обычно не происходит. Если же пропуск опасных ситуаций действительно невероятно критичен, причём гораздо более опасен, чем ложное срабатывание, то в данной ситуации часто оптимальным контролем является полный контроль. К этому вопросу мы вернемся чуть позже. Ввиду монотонного возрастания функции w(s) (а стало быть, и функции V (s)) согласно лемме 5.4 предложение 5.7 эквивалентно следующему предложению. Предложение 5.8. Будем считать, что справедливо неравенство V (0) a ⇐⇒ w(0) 0. Независимо от истинности утверждения этого предложения верна следующая лемма. Лемма 5.9. Существует допустимое значение s0 , такое что при всех допустимых s s0 выполнено неравенство w(s) 0. Доказательство. Имеем w(s) 0 ⇐⇒ −C ρ2 − s + D √ 0 ⇐⇒ C ρ2 − s D. 2 σ +s Ясно, что существует допустимое s0 , такое что при всех допустимых s s0 это неравенство выполнено. Лемма доказана. Таким образом, согласно лемме 5.9 неравенство w(s) 0 начинает рано или поздно выполняться (при допустимых значениях s), что вполне согласуется с практическими соображениями, заключающимися в том, что при приближении политики контроля к полной опасная ситуация возникает менее чем в половине случаев, о чём уже было сказано раньше, при обосновании использования предложения 5.8. Лемма 5.10. Неравенство C(σ 2 + ρ2 ) − D σ2 + s эквивалентно неравенству w(s) 0. ρ2 − s C Теоретические аспекты информационной безопасности 97 Доказательство. Справедлива цепочка неравенств C(σ 2 + ρ2 ) − D ρ2 − s C ⇐⇒ Cσ 2 + Cρ2 − D ρ2 − s Cσ 2 + Cs ⇐⇒ 2 σ +s ⇐⇒ C(ρ2 − s) D ρ2 − s ⇐⇒ C ρ2 − s D. Оставшаяся часть доказательства получается из доказательства леммы 5.9. Следствие 5.11. Существует такое допустимое значение s0 , что при всех допустимых значениях переменной s s0 справедливо неравенство C2 1 h(s) Φ(−C)C − √ e− 2 = ζ(C). 2π В случае выполнения условия V (0) 0 можно положить s0 = 0. Лемма 5.12. Для любого неотрицательного C справедливо неравенство ζ(C) < 0. Доказательство. Имеем (−C)2 C2 dζ 1 1 (C) = √ e− 2 (−1)C + Φ(−C) − √ e− 2 (−C) = Φ(−C) > 0. dC 2π 2π Таким образом, функция ζ(C) строго возрастает по C. Найдём теперь значение предела lim ζ(C). Пусть C→+∞ ζ1 (C) = Φ(−C)C = Φ(−C) 1 C . Тогда по правилу Лопиталя верны следующие равенства: Φ (−C) lim ζ1 (C) = lim = lim C→+∞ C→+∞ ( 1 ) C→+∞ C (−C) √1 e− 2 2π − C12 2 (−1) = C2 t 1 1 √ C 2 e− 2 = lim √ te− 2 = 0. t→+∞ C→+∞ 2π 2π = lim Также очевидно, что lim e− C→+∞ C2 2 = 0, значит, lim ζ(C) = 0. Ввиду строгого C→+∞ возрастания функции ζ(C) получаем утверждение леммы. Лемма 5.12 и предложение 5.11 приводят к следующему предложению. Предложение 5.13. Найдётся такое допустимое значение s0 , что при всех допустимых s s0 справедливо неравенство q (s) < 0, т. е. значение величины q11 монотонно убывает по s при s s0 . В случае когда выполнено неравенство V (0) a, значение s0 равно нулю, т. е. величина q11 монотонно убывает при всех допустимых значениях s. 98 А. С. Выдрин Доказательство. По определению функции q(s) знак q11 (s) совпадает со знаком q (s). Как было отмечено выше (см. предложение 5.6), знак q (s) совпадает со знаком h(s). В то же время найдётся такое допустимое значение s0 , что при всех допустимых s s0 выполнено h(s) < 0 в силу неравенства леммы 5.11 и результата леммы 5.12. При этом при выполнении условия V (0) > a верно (s) < 0 при s s0 , значит, равенство s0 = 0. Таким образом, получаем, что q11 значение q11 убывает при усилении политики контроля в области s s0 . Таким образом, мы провели исследование поведения функции h(s). Все результаты, полученные выше, позволяют сформулировать и доказать итоговую теорему. Теорема 5.14. Найдётся такое допустимое значение s0 , что при всех допустимых s s0 значения ошибок принятия решений первого и второго рода q1 и q2 , а также величины потерь Lerr , связанных с неверным принятием решения, монотонно убывают при возрастании параметра s (т. е. при усилении политики контроля). В случае когда выполнено предположение V (0) > a, значение s0 равно нулю, поэтому значения ошибок принятия решений q1 и q2 , а также потерь, связанных с ними, монотонно убывают при всех допустимых параметрах s, т. е. монотонно убывают при любом усилении политики контроля. Доказательство. Как было отмечено ранее, величины q12 и q21 остаются неизменными в процессе усиления политики контроля. В то же время по мере усиления политики контроля (т. е. при увеличении значения переменной s) значение величины q11 убывает в соответствии с предложением 5.13 при s s0 , где s0 — некоторое допустимое значение, равное нулю при V (0) a. Посколь, получаем, что значение ошибки q1 также монотонно убывает при ку q1 = qq11 12 s s0 . По лемме 3.10 V −a q21 = q11 + q22 − Φ . σ Так как значение V σ−a монотонно возрастает по s (при усилении политики контроля) согласно лемме 5.4, значение q11 монотонно убывает, а значение q22 остаётся постоянным при s s0 , мы получаем, что значение q21 также мо, нотонно убывает при возрастании величины s при s s0 . Так как q2 = qq21 22 значение ошибки q2 монотонно убывает при усилении политики контроля (при возрастании параметра s) в области s s0 . Общие потери в результате ошибок принятия решения Lerr также убывают ввиду линейной зависимости величины Lerr от убывающих при s s0 значений ошибок q1 и q2 (с положительными коэффициентами зависимости L1 и L2 ). Как уже отмечалось, при выполнении условия V (0) a верно равенство s0 = 0, что полностью доказывает теорему. Доказанная теорема подтверждает справедливость эмпирических соображений, что при некоторых ограничениях (предложение 5.8) ошибки принятия решения и связанные с ними потери должны уменьшаться. Теоретические аспекты информационной безопасности 99 Если утверждение предложения 5.8 не выполнено, т. е. значение параметра L1 существенно больше значения параметра L2 , то результат данной теоремы остаётся справедливым при условии s s0 . Более того, расчёты с применением компьютера показывают, что значение ошибки q1 при s < s0 возрастает, а затем убывает согласно лемме 5.10, и в конечном итоге при значении s, близком к критическому (равному ρ2 ), значение ошибки q1 близко к нулю, что лишний раз подтверждает справедливость соображений реальности: если пропуск цели невероятно критичен, то лучше контролировать все параметры системы. Докажем ещё одну важную для модели системы контроля теорему, имеющую очевидный практический смысл. Теорема 5.15 (об уменьшении ошибок при приближении политики контроля к полной). При выполнении условия L1 L2 имеет место следующее утверждение : lim q1 (s) = lim q2 (s) = 0. 2 2 s→ρ −0 s→ρ −0 Доказательство. Смысл теоремы заключается в том, что при приближении политики контроля к полной, т. е. когда практически все параметры системы являются контролируемыми, значения ошибок принятия решения стремятся к нулю. Покажем, что это действительно так. Как было показано выше, −C ρ2 − s + D V −a √ (s) = w(s) = , σ σ2 + s следовательно, D , lim w(s) = 2 s→ρ2 −0 σ + ρ2 поскольку переменные C и D — инварианты преобразования политики контроля, √ а функции ρ2 − s и σ 2 + s непрерывны по s. Сначала докажем, что lim q11 (s) = 0. 2 s→ρ −0 Доказательство будем проводить в несколько этапов. Докажем сначала, что при всех допустимых значениях параметра s для всех y ∈ ]−∞; w(s)] выполнено σ(s)y − D < 0. ρ(s) Действительно, поскольку функция σ(s)y−D строго возрастает по параметру y, ρ(s) достаточно доказать, что σ(s)w(s) − D < 0. ρ(s) Ввиду неравенства (7), справедливого при условии L1 L2 , а также ввиду неравенства D = U − a − b > 0 выполнены соотношения 100 А. С. Выдрин −a)(s) σ(s) (V σ(s) −D σ(s)w(s) − D = = ρ(s) ρ(s) V (s) − a − (U − a − b) V (s) + b − U a+b−U = = < < 0. ρ(s) ρ(s) σ 2 + ρ2 Теперь мы можем воспользоваться леммой 5.12 и получить следующую важную оценку: 2 σ(s)y − D 1 σ(s)y − D −1 1 Φ √ exp − σ(s)y−D ρ(s) 2 ρ(s) 2π ρ(s) 2 1 1 σ(s)y − D −1 √ exp − = σ(s)w(s)−D 2 ρ(s) 2π ρ(s) 2 1 1 σ(s)y − D −1 = √ exp − = V (s)+b−U 2 ρ(s) 2π ρ(s) 2 1 1 σ(s)y − D −1 = √ exp − = 2 ρ(s) Φ−1 (f (q22 )) 2π 2 1 1 σ(s)y − D −1 = √ exp − = 2 ρ(s) −C 2π 2 1 1 σ(s)y − D =√ exp − . 2 ρ(s) 2πC Из данного неравенства получаем оценку для функции q(s): w(s) q(s) −∞ 2 2 1 1 σ(s)y − D y √ exp − exp − dy = 2 ρ(s) 2 2πC 1 =√ 2πC w(s) −∞ 1 exp − 2 σ(s)y − D ρ(s) 2 +y 2 1 i. dy ≡ √ 2πC Интеграл i, участвующий в данной оценке, относительно несложно вычислить. Приведём только окончательное выражение и оценку для него: 2 − 2(σD 2 +ρ2 ) i=e √ √ ρ(s) 2πΦ −w(s) 2π . 2 2 σ +ρ σ 2 + ρ2 ρ(s) Тогда получим следующую оценку для функции q(s): 0 < q(s) √ 1 √ ρ(s) 1 1 2π = ρ(s) = ρ2 − s. 2πC C σ 2 + ρ2 C σ 2 + ρ2 σ 2 + ρ2 Теоретические аспекты информационной безопасности 101 √ 12 остаётся постоянным (т. е. не зависит от параметра s), а значение выражения ρ2 − s стремится к нулю при s → ρ2 − 0, получаем, что Таким образом, ввиду того что значение C 1 lim q11 (s) = √ 2π s→ρ2 −0 Поскольку q1 = q11 q12 , σ +ρ2 lim q(s) = 0. s→ρ2 −0 q11 → 0, q12 не меняется при изменении s, получаем, что lim q1 (s) = 0. s→ρ2 −0 Из леммы 3.10 имеем q21 = q11 + q22 − Φ w(s) . Как было показано выше, D D =⇒ lim Φ w(s) = Φ = q22 lim w(s) = s→ρ2 −0 s→ρ2 −0 σ 2 + ρ2 σ 2 + ρ2 в силу непрерывности функции Φ(x). Значит, при s → ρ2 − 0 имеем q11 (s) → 0, и значение q22 не q22 − Φ w(s) → 0 =⇒ q21 (s) → 0. Значит, так как q2 = qq21 22 меняется при изменении s, получаем lim q2 (s) = 0. s→ρ2 −0 Теорема доказана. Таким образом, мы построили математическую модель системы контроля защищённости, исследовав ошибки принятия решения об уровне опасности на основе неполной информации, получили аналитические выражения, позволяющие производить оценку ошибок в зависимости от полноты политики контроля. Согласно результатам настоящей работы, ошибками принятия решения можно управлять путём варьирования применяемой политики контроля. Нами были получены выражения для потерь, связанных с неверным принятием решений, и показано, что чем более полным является контроль, тем меньше величина таких потерь, что согласуется с практическими соображениями. В то же время, вообще говоря, поведение таких потерь в случае усиления политики контроля может быть нетривиальным, что также показано в работе. При разработке модели и получении результатов были сделаны некоторые предположения, которые, возможно, могут быть смягчены или отменены при дальнейшем развитии модели (например, вместо независимых случайных величин могут рассматриваться случайные величины с известной функциональной зависимостью или определёнными ограничениями на функцию взаимной корреляции этих величин, также, в принципе, могут быть рассмотрены нелинейные функции суммарного ущерба). Однако введённые ограничения позволили провести анализ характера поведения функции потерь при ошибках принятия решения в условиях неполной информации и получить ряд интересных с практической точки зрения результатов. 102 А. С. Выдрин Результаты данной работы могут быть использованы в качестве методологического базиса при практическом создании систем контроля состояния защищённости, а также при рассмотрении смежных с контролем защищённости вопросов, например анализа и управления рисками, ввиду того что проблемы информационной безопасности и проблемы управления рисками во многом похожи. Литература [1] ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. [2] Девянин Н. П. Модели безопасности компьютерных систем. — М.: Академия, 2005. [3] Курило А. П., Зефиров С. Л., Голованов В. Б. и др. Аудит информационной безопасности. — М.: БДЦ-пресс, 2006. [4] Ширяев А. Н. Вероятность-1. Вероятность-2. — М.: МЦНМО, 2004. [5] ISO/IEC 27001:2005. Information Technology. Security Techniques. Information Security Management Systems. [6] ISO/IEC IS 17799-2005. Information Technology. Code of Practice for Information Security Management.