ПОСТРОЕНИЕ МОДЕЛЕЙ СТРУКТУРНОГО И ПАРАМЕТРИЧЕСКОГО СИНТЕЗА СПЕЦИАЛИЗИРОВАННЫХ СИСТЕМ, ВКЛЮЧЕННЫХ В СОСТАВ СИСТЕМЫ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК

CONSTRUCTION OF MODELS OF STRUCTURAL AND PARAMETRIC SYNTHESIS OF SPECIALIZED SYSTEMS INCLUDED IN THE COMPOSITION OF THE SYSTEM OF DETECTION, PREVENTION AND LIQUIDATION OF CONSEQUENCES OF COMPUTER ATTACKS

Sergei Konovalenko

postgraduate of Krasnodar higher military school,

Russia, Krasnodar

Igor Korolev

doctor of Engineering, Professor, Professor of the department of protected information technologies, Krasnodar higher military school,

Russia Krasnodar

Novoselov Daniil

cadet of Krasnodar higher military school,

Russia Krasnodar

АННОТАЦИЯ

В статье определены возможные направления совершенствования функционирования системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на объекты критически важной информационной инфраструктуры. Представлены основные этапы и мероприятия, выполняемые в рамках структурного и параметрического синтеза специализированных систем, включенных в состав системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.

ABSTRACT

The article outlines possible directions for improving the functioning of the system for detecting, preventing and liquidation the consequences of computer attacks on objects of a critical information infrastructure. The main stages and activities performed within the framework of the structural and parametric synthesis of specialized systems included in the system for detecting, preventing and liquidation the consequences of computer attacks are presented.

Ключевые слова: параметрический синтез; система обнаружения, предупреждения и ликвидации последствий компьютерных атак; специализированная система; структурный синтез.

Keywords: parametric synthesis; specialized system; structural synthesis; system of detection, prevention and elimination of consequences of computer attacks.

Функционирование системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее по тексту – СОПКА) на объекты критически важной информационной инфраструктуры (далее по тексту – ОКВИИ) осуществляется посредством применения специализированных систем, на основе которых формируются определенные функциональные подсистемы СОПКА [2, 3, 5, 6]:

1. Подсистема управления специализированными системами СОПКА.

2. Подсистема сбора, хранения и корреляции событий информационной безопасности (далее по тексту – ИБ).

3. Подсистема источников событий ИБ, к которой относят следующие специализированные системы:

- сетевые и хостовые системы обнаружения вторжений (атак);

- системы мониторинга;

- средства анализа защищенности;

- средства антивирусной защиты и т.п.

В настоящее время мировой и отечественный рынок информационных технологий предлагает достаточно расширенный перечень специализированных систем, которые могут эксплуатироваться в функциональных подсистемах СОПКА. В результате чего, при построении подсистемы источников событий ИБ и подсистемы сбора, хранения и корреляции событий ИБ перед лицом, принимающим решение (далее по тексту – ЛПР), возникает задача по выбору необходимых и наиболее подходящих специализированных систем, которые соответствуют общим и специальным требованиям, предъявляемым нормативными правовыми актами [2, 3, 5, 6 и др.] и ЛПР. Стоит обратить внимание на то, что при построении подсистемы источников событий ИБ осуществление правильного выбора специализированных систем является не достаточным условием, способствующим повышению эффективности оценки состояния защищенности ОКВИИ, так как выбранные специализированные системы могут предоставлять однотипные параметрические данные (далее по тексту – ПД), тем самым повышать загруженность сетевого трафика и интерфейсов специализированных систем, включенных в подсистему сбора, хранения и корреляции событий ИБ.

В целях повышения эффективности построения функциональных подсистем СОПКА и оценки состояния защищенности ОКВИИ предлагаем провести:

1. Структурный синтез специализированных систем, под которым будем понимать процесс выбора специализированных систем, реализуемый в целях формирования рациональной структуры подсистемы источников событий ИБ, подсистемы сбора, хранения и корреляции событий ИБ.

2. Параметрический синтез специализированных систем, под которым будем понимать процесс формирования комплексного образа контролируемого ОКВИИ.

Построение моделей структурного и параметрического синтеза специализированных систем представим в виде общей последовательности следующих этапов [1, 4, 7-10]:

1 этап – построение вербальной модели синтеза.

2 этап – построение концептуальной модели синтеза.

3 этап – построение математической модели синтеза.

4 этап – построение программной модели синтеза.

5 этап – оценка адекватности спроектированной модели синтеза.

Построение вербальной модели синтеза включает [1, 4, 7-10]:

- содержательное описание (приближенное представление) проектируемой модели синтеза на уровне качественных категорий (назначение, цели, задачи и т.п.);

- определение общей совокупности элементов проектируемой модели синтеза и их возможных состояний;

- построение обобщенной структуры проектируемой модели синтеза (определение внутренних и внешних связей);

- анализ существенных свойств (признаков) проектируемой модели синтеза на предмет соответствия общим и специальным требованиям.

Построение концептуальной модели синтеза включает [1, 4, 7-10]:

- определение качественных и количественных характеристик модели синтеза;

- описание процесса функционирования проектируемой модели синтеза;

- анализ существенных свойств (признаков) проектируемой модели синтеза на предмет соответствия общим и специальным требованиям.

Построение математической модели синтеза включает [1, 4, 7-10]:

- формализованное описание структуры и процесса функционирования модели синтеза;

- анализ существенных свойств (признаков) проектируемой модели синтеза на предмет соответствия общим и специальным требованиям.

Процесс построения программной модели синтеза заключается  в [1, 4, 7-10]:

- выборе языка и средств программирования модели синтеза;

- проведении расчетов необходимых ресурсов на составление и отладку программы;

- представлении математической модели в виде программной модели синтеза.

В рамках 5-го этапа построения модели синтеза осуществляется [1, 4, 7-10]:

- тестирование (эксперимент) программной модели синтеза;

- выявление недостатков спроектированной модели синтеза и их устранение (корректировка или переработка модели);

- проверка спроектированной модели синтеза на предмет соответствия общим и специальным требованиям;

- сравнительная оценка эффективности спроектированной модели синтеза;

- формирование выводов о пригодности спроектированной модели синтеза к применению по предназначению.

В связи с тем, что проектирование различных моделей представляет собой творческий процесс, представленная последовательность и содержание этапов построения моделей структурного и параметрического синтеза является одним из возможных вариантов и предоставляет право внесения в нее дополнительных операций.

В целях возможной практической реализации моделей структурного и параметрического синтеза специализированных систем детализируем отдельные мероприятия, выполняемые в рамках представленных этапов построения моделей.

К мероприятиям, выполняемым в рамках структурного синтеза специализированных систем, отнесем:

- анализ существующего положения дел;

- выбор специализированных систем.

В рамках анализа существующего положения дел осуществляется [1, 4, 7-10]:

1. Поиск существующего (действующего) аналога (прототипа) подсистемы СОПКА, который полностью соответствует общим требованиям и частично соответствует специальным требованиям. Аналог (прототип) может быть взят в качестве исходного варианта (примера построения подсистемы СОПКА). Стоит отметить, что практически всегда исходный вариант (пример) подвергается полному изменению под воздействием различных факторов.

2. Декомпозиция существующего (действующего) аналога (прототипа) подсистемы СОПКА, а также описание специализированных систем, входящих в его состав.

3. Изучение расширенного спектра современных специализированных систем, предлагаемых мировым и отечественным рынком в сфере информационных технологий.

4. Формирование номенклатуры (перечня, списка) специализированных систем, с последующим описанием моделей этих систем. Сформированная номенклатура специализированных систем должна в полном объеме соответствовать общим и специальным требованиям, предъявляемым нормативными правовыми актами и ЛПР.

В рамках выбора специализированных систем, включенных номенклатуру, осуществляется:

1. Экспертный анализ специализированных систем.

2. Выбор специализированных систем на основе результатов экспертного анализа.

Стоить обратить внимание, что анализ существующего положения дел, осуществляемый в рамках структурного синтеза, может быть полностью выполнен независимыми экспертами (специалистами), но в целях возможного самостоятельного анализа, рассмотрим вариант обобщенного описания модели специализированной системы и декомпозиции существующих (действующих) аналогов (прототипов) подсистем СОПКА.

Описание модели специализированной системы представлено на рисунке 1.

Рисунок 1. Модель специализированной системы

Модель специализированной системы (рис.1) характеризуется:

- множеством входных ПД (Y), поступающих от контролируемых ОКВИИ на вход системы;

- множеством управляющих воздействий (V), направленных на регулирование внутренних варьируемых параметров системы;

- множеством внешних факторов (условий) (B), под воздействием которых функционирует система;

- множеством функциональных возможностей (функций) (H) системы;

- множеством выходных ПД (X), формирующих образы контролируемых ОКВИИ;

- обратной связью, используемой для самоконтроля системы.

Процесс декомпозиции аналога (прототипа) подсистемы СОПКА представлен на рисунке 2 и заключается в разделении рассматриваемого аналога (прототипа) подсистемы СОПКА на конечное множество структурных элементов (источников событий ИБ; систем сбора, хранения и корреляции событий ИБ), в определении внутренних связей (между элементами подсистемы) и внешних связей (между элементами подсистемы и средой).

Рисунок 2. Декомпозизия модели аналога (прототипа) подсистемы СОПКА

Каждому структурному элементу аналога (прототипа), представленному на рис. 2, присущи определенные функции, которые формируют множество H={h₁, ..., h_n, …, h_m} функциональных возможностей подсистемы СОПКА. По аналогии, Y={y₁, ..., y_n, …, y_m}, V={v₁, ..., v_n, …, v_m}, B={b₁, ..., b_n, …, b_m},      X={x₁, ..., x_n, …, x_m}. Особо стоит отметить то, что:

- различные комбинации внешних факторов (условий) из множества В способны оказывать воздействие на различные структурные элементы модели аналога (прототипа) подсистемы СОПКА, если эти воздействия являются критичными, то подсистема переходит в состояние не работоспособности;

- определенные выходные ПД (x₁) конкретных структурных элементов могут являться входными ПД (y_m) других структурных элементов модели аналога (прототипа) подсистемы СОПКА, на основе чего делаются выводы о наличии внутренних связей между ними.

В рамках представленной модели аналога (прототипа) (рис. 2) следует:

x₁=h₁(y₁, v₁, b₁), x_n=h_n(y_n, v_n, b_n), x_m=h_m(x₁, v_m, b_m),                  (1)

Из (1) можно сделать вывод о том, что модель аналога (прототипа) подсистемы СОПКА (рис. 2) является статической, так как не учитывает множество возможных его состояний (Q), которые могут меняться как непрерывно, так и в дискретные моменты времени, причем эти изменения могут носить обратимый или необратимый характер. Отсюда, динамическая модель аналога (прототипа) подсистемы СОПКА может быть представлена в виде:

X=H(Q(Y), V, B),                                         (2)

где Q – совокупность состояний, характеризующая аналог (прототип) подсистемы СОПКА в данный момент времени, которая позволяет прогнозировать его поведение.

Необходимо обратить внимание, что одна и та же специализированная система или аналог (прототип) подсистемы СОПКА могут быть описаны с различной степенью точности (полноты). Степень точности описания зависит от уровня знаний и опыта специалиста, занимающегося структурным синтезом специализированных систем, а также оказывает непосредственное влияние на построение рациональной структуры подсистем СОПКА.

К основным мероприятиям, выполняемым в рамках параметрического синтеза специализированных систем, отнесем:

- процесс объединения ПД, поступающих от различных источников событий ИБ, в группы, описывающие уязвимости ОКВИИ, признаки компьютерных атак и т.п.;

- формирование комплексного образа контролируемого ОКВИИ.

Сформированный комплексный образ контролируемого ОКВИИ передается в центральную систему сбора, хранения и корреляции событий ИБ, в которой осуществляется его детальный анализ и выявляются присущие ему уязвимости.

В рамках практической реализации структурного и параметрического синтеза специализированных систем предлагаем разработать «программный модуль обработки результатов экспертного анализа специализированных систем» и «программный модуль синтеза образов ОКВИИ», которые позволят:

1. Оценить достоверность результатов экспертного анализа специализированных систем.

2. Повысить эффективность решений, принимаемых ЛПР, направленных на формирование рациональной структуры функциональных подсистем СОПКА.

3. Сформировать комплексный образ контролируемого ОКВИИ с присущими ему уязвимостями.

4. Снизить нагрузки на сетевой трафик между подсистемой источников событий ИБ и центральной подсистемой сбора, хранения и корреляции событий ИБ.

5. Разгрузить вычислительные ресурсы центральной системы сбора, хранения и корреляции событий ИБ.

6. Своевременно выявлять известные и новые уязвимости ОКВИИ.

Таким образом, реализация указанных этапов и мероприятий структурного и параметрического синтеза специализированных систем может способствовать увеличению эффективности функционирования СОПКА и повышению достоверности результатов оценки состояния защищенности контролируемых ОКВИИ.

Список литературы:

1. Казиев В.М. Введение в анализ, синтез и моделирование систем: учебное пособие. – 2-е издание. – М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2007. – 244 с.
2. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации [Электронный ресурс]: указ Президента Российской Федерации от 12.12.2014 г. № К-1274. – Режим доступа: http://ivo.garant.ru/#/document/71127868. – (Дата обращения: 10.03.2017).
3. Меры защиты информации в государственных информационных системах. Методический документ [Электронный ресурс]: утвержден ФСТЭК России от 11.02.2014 г. – Режим доступа: http://ivo.garant.ru/#/document/70591518. – (Дата обращения: 10.03.2017).
4. Норенков И.П., Маничев В.Б. Основы теории и проектирования САПР: Учебник для вузов по спец. «Вычислительные машины, комплексы, системы и сети». – М.: высшая школа, 1990. – 335 с.
5. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды [Электронный ресурс]: приказ ФСТЭК России от 14.03.2014 г. № 31. – Режим доступа: http://ivo.garant.ru/#/document/70690918. - (Дата обращения: 10.03.2017).
6. Об утверждении требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [Электронный ресурс]: приказ ФСТЭК России от 11.02.2013 г. № 17 (ред. от 15 февраля 2017 г. № 27). – Режим доступа: http://ivo.garant.ru/#/document/70391358. – (Дата обращения: 10.03.2017)
7. Основы общей теории систем: учебное пособие. – Часть 1/А.А. Понов, И.М. Телушкин, С.Н. Бушуев и др. – СПб.: ВАС, 1992. – 248 с.
8. Основы общей теории систем: учебное пособие. – Часть 2/А.А. Понов, И.М. Телушкин, С.Н. Бушуев и др. – СПб.: ВАС, 1992. – 332 с.
9. Поцелуев А.В. Статистический анализ и синтез сложных динамических систем. – М.: Машиностроение, 1984. – 208 с.
10. Силин В.Б. Поиск структурных решений комбинаторными методами. – М.: Издательство МАИ, 1992. – 216 с.