Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от информационно-технических воздействий и может быть использовано для проектирования и построения систем защиты автоматизированных систем управления критически важными объектами (АСУ КВО) от одного из основных видов информационно-технических воздействий - разрушающих программных воздействий.
Для обеспечения защищенности АСУ КВО применяются различные меры технического характера, которые реализуются в виде систем защиты.
Согласно [1] технические меры защиты информации (с точки зрения защиты от разрушающих программных воздействий), реализуемые в АСУ КВО в рамках ее системы защиты должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность автоматизированной системы управления и информации;
- доступность технических средств и информации.
При этом реализация указанных технических мер в рамках системы защиты АСУ КВО от разрушающих программных воздействий не должна оказывать отрицательного влияния на штатный режим функционирования АСУ КВО (т.е. не должна снижать производительность АСУ КВО).
Исходя из данных требований, задача проектирования системы защиты АСУ КВО от разрушающих программных воздействий сводится к задаче выбора таких структуры и параметров системы защиты АСУ КВО от разрушающих программных воздействий, чтобы система защиты, отвечающая выбранным структуре и параметрам, позволяла обеспечить минимальное воздействие на производительность защищаемой АСУ КВО при сохранении требуемого уровня защиты от разрушающих программных воздействий и удовлетворяла требованиям по стоимости и потребляемым ресурсам.
Из уровня техники известны способ автоматизированного управления процессом проектирования структуры системы управления техническими системами и устройство для его осуществления [2], которые могут применяться для проектирования многопараметрических объектов.
Недостатком указанных способа и устройства является их узкая специализация - проектирование систем управления техническими системами различного класса, что не позволяет осуществлять проектирование и построение системы защиты АСУ КВО от разрушающих программных воздействий.
Известны также способ и устройство выбора предпочтительного средства защиты информации [3], основанный на использовании оцениваемой выборки, состоящей из нормированных единичных показателей качества, позволяющих создать два эталона Эс - со среднестатистическим уровнем качества и Эл - уровнем лучшего качества. На основе использования этих эталонов из всей совокупности оцениваемых средств выбирается предпочтительный объект, обладающий наибольшим комплексным показателем качества.
Недостатком указанных способа и устройства является невозможность их применения при проектировании системы защиты АСУ КВО от разрушающих программных воздействий, состоящей из нескольких взаимосвязанных элементов с учетом их влияния на производительность защищаемой АСУ КВО.
Целью изобретения является получение наиболее эффективного варианта построения системы защиты АСУ КВО от разрушающих программных воздействий с наименьшим воздействием на производительность защищаемой АСУ КВО.
Для достижения цели изобретения предлагается использовать способ проектирования и построения систем защиты АСУ КВО от разрушающих программных воздействий, основанный на декомпозиции задачи выбора рациональных структуры и параметров системы защиты АСУ КВО от разрушающих программных воздействий по последовательности процедур формирования вариантов построения системы защиты и по подсистемам системы защиты (функциональная декомпозиция).
Декомпозиция по подсистемам основывается на том, что систему защиты АСУ КВО от разрушающих программных воздействий можно представить в виде множества подсистем, решающие определенные задачи и реализующие определенный перечень функций. Исходя из этого, в качестве подсистем, обеспечивающих защищенность АСУ КВО от разрушающих программных воздействий в составе системы защиты, можно выделить:
- подсистему обнаружения разрушающих программных воздействий;
- подсистему противодействия разрушающим программным воздействиям;
- подсистему устранения последствий применения разрушающих программных воздействий.
На фиг. 1 показаны декомпозиция системы защиты на подсистемы в соответствии с целями и задачами системы защиты, а также показаны способы решения задач каждой подсистемой.
На фиг. 2 показано соотношение способов решения задач подсистемами системы защиты с техническими мерами защиты от разрушающих программных воздействий.
Декомпозиция по последовательности выполнения процедур формирования вариантов построения системы защиты будет иметь следующий вид:
формирование множеств Vобн, Vпр, Vустр всех возможных вариантов Аобн, Апр, Аустр построения каждой подсистемы:
Vобн={Aобн i, i∈{1…N}},
Vпр={Aпр i, i∈{1…M}},
Vустр={Aустр i, i∈{1…K}},
где Vобн - множество всех возможных вариантов построения подсистемы обнаружения разрушающих программных воздействий;
Vпр - множество всех возможных вариантов построения подсистемы противодействия разрушающим программным воздействиям;
Vустр - множество всех возможных вариантов построения подсистемы устранения последствий применения разрушающих программных воздействий;
N, М и K - количество всех возможных вариантов построения подсистем обнаружения разрушающих программных воздействий, противодействия разрушающим программным воздействиям и устранения последствий применения разрушающих программных воздействий соответственно;
формирование множества V всех возможных вариантов А построения системы защиты на основе множеств Vобн, Vпр, Vустр множества вариантов системы защиты:
V={Ai, i∈{1…S}},
где S - количество всех возможных вариантов построения системы защиты;
- оценка сформированного множества V вариантов А построения системы защиты и выделение из него подмножества V* вариантов А*, удовлетворяющих требованиям по стоимости и потребляемым ресурсам;
- оценка сформированного множества V* вариантов А* построения системы защиты, удовлетворяющих по стоимости и потребляемым ресурсам и выделение из него подмножества V** вариантов А** построения системы защиты, удовлетворяющих требованиям по защищенности;
- оценка сформированного множества V** вариантов А** построения системы защиты, удовлетворяющих требованиям по защищенности, и выбор из рационального варианта А' построения системы защиты, оказывающего минимальное воздействие на производительность защищаемой АСУ КВО.
Общая схема процесса выбора рационального варианта построения системы защиты АСУ КВО от разрушающих программных воздействий представлена на фиг. 3.
Исходными данными для проектирования и построения системы защиты АСУ КВО от разрушающих программных воздействий являются:
- требуемая эффективность системы защиты АСУ КВО от разрушающих программных воздействий Q*, выражаемая совокупностью показателей, характеризующих способность системы защиты обеспечить минимальный риск от разрушающих программных воздействий и восстанавливаемость АСУ КВО после применения разрушающих программных воздействий;
- максимально допустимая стоимость Сдоп создания системы защиты от разрушающих программных воздействий;
- максимально допустимые требуемые для функционирования системы защиты ресурсы Rдоп.
На этапе формирования множеств всех возможных вариантов построения подсистем производится формирование множества всех возможных вариантов построения подсистемы обнаружения разрушающих программных воздействий, множества всех возможных вариантов построения подсистемы противодействия разрушающим программным воздействиям и множества всех возможных вариантов построения подсистемы устранения последствий применения разрушающих программных воздействий.
Для формирования этих множеств использован метод морфологического анализа [4], преимуществом которого является возможность простой алгоритмизации и компьютерной реализации.
Вариант каждой подсистемы формируется на основе структуры подсистемы, которая представляет собой совокупность элементов L подсистемы, реализующих способы решения задач подсистемы и совокупности параметров F подсистемы, а множество этих вариантов формируется путем перебора всех возможных комбинаций сочетаний элементов подсистемы и их параметров.
Для подсистемы обнаружения разрушающих программных воздействий все возможные варианты формируются исходя из совокупности множеств {Lобн, Fобн}, где Lобн - множество всех существующих средств обнаружения разрушающих программных воздействий, a Fобн - множество совокупностей параметров для каждого средства обнаружения разрушающих программных воздействий.
Для подсистемы противодействия разрушающим программным воздействиям все возможные варианты формируются исходя из совокупности множеств {Lпр, Fпр}, где Lпр - множество всех существующих средств противодействия разрушающим программным воздействиям, a Fпр - множество совокупностей параметров для каждого средства противодействия разрушающим программным воздействиям.
Для подсистемы устранения последствий применения разрушающих программных воздействий все возможные варианты формируются исходя из совокупности множеств {Lустр, Fустр}, где Lустр - множество всех существующих средств резервного копирования и восстановления системы и данных, a Fустр - множество совокупностей параметров для каждого средства резервного копирования и восстановления системы и данных.
Для снижения количества всех возможных вариантов построения каждой подсистемы (с целью уменьшения временных затрат при проектировании системы защиты), для параметров с плавно изменяющимися значениями принимаются три возможных значения: минимальное значение параметра, среднее значение параметра и максимальное значение параметра.
Далее, на этапе формирования множества всех возможных вариантов построения системы защиты АСУ КВО от разрушающих программных воздействий исходя из множеств Vобн, Vпр и Vустр, полученных на предыдущем этапе, с помощью метода морфологического анализа формируется множество V всех возможных вариантов построения системы защиты путем перебора всех возможных комбинаций сочетаний вариантов построения подсистем.
Далее, на этапе оценки стоимости и требуемых ресурсов, производится формирование множества V* - вариантов построения системы защиты АСУ КВО от разрушающих программных воздействий, удовлетворяющих требованиям по стоимости и требуемым для функционирования системы защиты ресурсам:
V*={Ai|(C(Ai)≤Cдоп)∧(R(Ai)≤Rдоп)},
где С и R - стоимость системы защиты и требуемые для функционирования системы защиты ресурсы;
Сдоп и Rдоп - максимально допустимые стоимость и требуемые ресурсы.
Стоимость С системы защиты складывается из стоимости подсистем, входящих в ее состав:
C=Cобн+Спр+Сустр,
где Собн, Спр, Сустр - стоимость подсистемы обнаружения разрушающих программных воздействий, стоимость подсистемы противодействия разрушающим программным воздействиям и стоимость подсистемы устранения последствий применения разрушающих программных воздействий соответственно.
Ресурсы R, требуемые для функционирования системы защиты, определяются двумя показателями: Rвыч - вычислительные ресурсы (требуемый объем памяти, характеристики процессоров и т.п.) и Rлюд - людские (требуемое количество обслуживающего персонала, необходимого для эксплуатации системы защиты):
R={Rвыч, Rлюд}.
В формируемое на данном этапе множество V* отбираются варианты построения системы защиты, стоимость и требуемые для функционирования ресурсы которых не превышают максимально допустимые Сдоп и Rдоп.
На этапе оценки эффективности вариантов построения системы защиты из множества V* отбираются варианты построения системы защиты, удовлетворяющие требуемому уровню защищенности, обеспечиваемому системой защиты, и из отобранных вариантов формируется множество V**:
V**={Ai(Q(Ai)≤Qтреб)},
где Q - совокупность показателей, характеризующих уровень защищенности АСУ КВО, реализуемый системой защиты;
Qтреб - требуемый уровень защищенности АСУ КВО.
В качестве показателей, характеризующих уровень защищенности АСУ КВО от разрушающих программных воздействий, используются коэффициент защищенности АСУ КВО Z [5] и время восстановления работоспособности АСУ КВО после применения разрушающего программного воздействия Твосст:
Q={Z, Tвосст}.
Методика определения коэффициента защищенности АСУ КВО Z изложена в [5]. Сущность методики заключается в проведении тестирования АСУ КВО по двум направлениям: локального тестирования и сетевого. Локальное тестирование заключается в проверке состояния защищенности отдельных элементов АСУ КВО от внутреннего нарушителя. Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку защищенности АСУ КВО в целом.
По итогам локального тестирования определяется локальный коэффициент уязвимости L, который определяется следующим образом:
где Pi - количество открытых портов на i-м элементе АСУ КВО;
Yi - количество портов i-х элементов АСУ КВО, на которых были найдены уязвимости.
По итогам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, объединяющей составные элементы АСУ КВО:
где Ri - количество реализованных разрушающих программных воздействий на i-м элементе АСУ КВО;
Еo - количество основных сценариев моделирования разрушающих программных воздействий;
Аo - количество дополнительных сценариев моделирования разрушающих программных воздействий.
Далее находится коэффициент общей уязвимости системы W, который определяется следующим образом:
W=L⋅S.
Исходя из того что уровень защиты АСУ КВО и уровень общей уязвимости АСУ КВО дополняют друг друга до единицы, коэффициент защищенности системы Z можно определить как:
Z=1-W.
Время восстановления работоспособности АСУ КВО после разрушающего программного воздействия Твосст определяется как сумма общего времени восстановления данных из резервных копий Твосст дан и времени восстановления операционной системы из точек восстановления Твосст ос:
Tвосст=Твосст данн+Твосст ос.
На заключительном этапе выбора рационального варианта построения системы защиты АСУ КВО от разрушающих программных воздействий из множества V**, полученного на предыдущем этапе, выбирается рациональный вариант А' построения системы защиты АСУ КВО от разрушающих программных воздействий, который обеспечивает минимальное воздействие на производительность защищаемой АСУ КВО:
A'=argminAi∈V**K(Ai),
где K - совокупность показателей снижения производительности АСУ КВО при введении в ее состав системы защиты от разрушающих программных воздействий.
Совокупность показателей снижения производительности АСУ КВО представляет собой два комплексных показателя KС - комплексный показатель снижения производительности технической компоненты АСУ КВО (совокупности аппаратных, программных и программно-аппаратных средств АСУ КВО) и KП - комплексный показатель снижения производительности обслуживающего персонала:
K={KС, KП}.
При этом снижение производительности технической компоненты АСУ КВО оценивается как:
KС={KПС; KПАР; KРЕС; KТоткл; KОШ},
где: KПС - коэффициент снижения пропускной способности (количества операций, выполняемой системой за определенный период времени);
KПАР - коэффициент снижения параллелизма (количества операций, выполняемых системой одновременно);
KРЕС - коэффициент увеличения запаса ресурса (количества ресурсов, необходимых для обеспечения роста нагрузки);
KТоткл - коэффициент увеличения времени отклика (времени выполнения одной операции);
KОШ - коэффициент увеличения частоты ошибок (частоты генерации системой исключений типа «отказ в обслуживании»).
Снижение производительности обслуживающего персонала в свою очередь оценивается как:
KП={KТвып; KД},
где: KТвып - коэффициент увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей;
KД - коэффициент повышения дискомфорта при выполнении функциональных обязанностей.
Коэффициент снижения пропускной способности KПС определяется следующим образом:
где kПС - количество операций, выполняемых АСУ КВО за время Тисп до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;
k'ПС - количество операций, выполняемых АСУ КВО за время Тисп после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий, при этом время Тисп определяется исходя из предназначения и выполняемых функций защищаемой АСУ КВО.
Коэффициент снижения параллелизма KПАР определяется по формуле:
где kПАР - количество операций, выполняемых АСУ КВО одновременно до введения в состав АСУ КВО системы защиты разрушающих программных воздействий;
k'ПАР - количество операций, выполняемых АСУ КВО одновременно после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.
Коэффициент увеличения запаса ресурса KРЕС определяется по следующей формуле:
где kРЕС - вычислительные ресурсы, доступные для обеспечения функциональности АСУ КВО до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;
k'РЕС - вычислительные ресурсы, доступные для обеспечения функциональности АСУ КВО после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.
Коэффициент увеличения времени отклика KТоткл определяется следующим образом:
где t'откл - время выполнения одной операции в АСУ КВО после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;
tоткл - время выполнения одной операции в АСУ КВО до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.
Коэффициент увеличения частоты ошибок KОШ определяется по формуле:
где k'ОШ - число случаев генерации АСУ КВО исключений типа «отказ в обслуживании» после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;
kОШ - число случаев генерации АСУ КВО исключений типа «отказ в обслуживании» до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.
Исходные данные для расчета вышеприведенных коэффициентов снижения производительности технической компоненты АСУ КВО определяются в ходе пробного тестирования систем защиты, построенных исходя из возможных вариантов построения этой системы с использованием штатных средств оценки производительности, входящих в состав большинства операционных систем.
Коэффициент увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей KТвып определяется по формуле:
где t'вып - время выполнения операции персоналом АСУ КВО после введения в ее состав системы защиты от разрушающих программных воздействий;
tвып - время выполнения операции персоналом АСУ КВО до введения в ее состав системы защиты от разрушающих программных воздействий.
Исходные данные для определения коэффициента увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей определяются в ходе пробного тестирования системы, путем замера соответствующих отрезков времени.
Коэффициент повышения дискомфорта при выполнении функциональных обязанностей KД определяется путем опроса пользователей в процессе пробного тестировании по заранее сформированным опросным листам. Опросные листы формируются группой экспертов на основании информации о структуре и решаемых задачах защищаемой АСУ КВО.
Для обеспечения возможности сравнения вариантов построения по одному обобщенному показателю производится свертка полученных показателей снижения уровня производительности АСУ КВО. Свертка производится с помощью весовых показателей следующим образом:
K=rcKC+rпKП,
KС=rпсKПС+rпарKПАР+rресKРЕС+rТотклKТоткл+rошKОШ,
KП=rТвыпKТвып+rдKД,
где rс, rп, rпс, rпар, rрес, rТоткл, rош, rТвып, rд - весовые коэффициенты значимости при соответствующих коэффициентах снижения производительности, которые определяются группой экспертов, исходя из структуры защищаемой АСУ КВО и решаемых ею задач.
Таким образом, предлагаемый способ позволит спроектировать и построить систему защиты АСУ КВО от разрушающих программных воздействий, удовлетворяющую требованиям по стоимости, потребляемым ресурсам, эффективности защиты и оказывающей минимальное воздействие на производительность защищаемой АСУ КВО.
Источники информации
1. Методический документ. Меры защиты информации в государственных информационных системах: утв. Директором ФСТЭК 11 февраля 2014 г. // ФСТЭК России. 2014.
2. Пат. 2331097 Российская Федерация, МПК G05B 17/00, G06F 17/50, G06Q 90/00. Способ автоматизированного управления процессом проектирования структуры системы управления техническими системами и устройство для его осуществления / Селифанов В.А., Селифанов В.В., опубл. 10.08.2008.
3. Пат. 2558238 Российская Федерация, МПК G06F 15/16, G06F 17/00. Способ и устройство выбора предпочтительного средства защиты информации / Шемигон Н.Н., Черноскутов А.И., Кукушкин С.С, опубл. 27.07.2015.
4. Одрин В.М. Метод морфологического анализа технических систем. М.: ВНИИПИ, 1989.
5. Мукминов В.А., Хуцишвили В.М., Лобузько А.В. Методика оценки реального уровня защищенности автоматизированных систем. // Программные продукты и системы. 2012. №1(97). С. 39-42.
Изобретение относится к способу построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий. Технический результат заключается в повышении эффективности построения системы защиты автоматизированной системы управления критически важными объектами с наименьшим воздействием на производительность защищаемой автоматизированной системы управления критически важными объектами. Способ содержит этап формирования множества всех возможных вариантов построения подсистем системы защиты от разрушающих программных воздействий, этап формирования множества всех возможных вариантов построения системы защиты от разрушающих программных воздействий, этап оценки стоимости и требуемых ресурсов вариантов построения системы защиты от разрушающих программных воздействий, этап оценки эффективности вариантов построения системы защиты от разрушающих программных воздействий, этап оценки степени влияния вариантов построения системы защиты на защищаемую автоматизированную систему управления критически важным объектом. 3 ил.
Способ построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий, включающий в себя этап формирования множества всех возможных вариантов построения подсистем системы защиты от разрушающих программных воздействий, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, формируют множество возможных вариантов построения подсистемы обнаружения разрушающих программных воздействий, множество возможных вариантов построения подсистемы противодействия разрушающим программным воздействиям и множество возможных вариантов построения подсистемы устранения последствий применения разрушающих программных воздействий, при этом для уменьшения количества возможных вариантов построения подсистем для параметров элементов подсистем с плавно изменяющимися значениями принимают минимальное, среднее и максимальное значение; этап формирования множества всех возможных вариантов построения системы защиты от разрушающих программных воздействий, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, на основе множеств возможных вариантов построения подсистем, полученных на предыдущем этапе, формируют множество всех возможных вариантов построения системы защиты от разрушающих программных воздействий; этап оценки стоимости и требуемых ресурсов вариантов построения системы защиты от разрушающих программных воздействий, в ходе которого с помощью компьютера определяют стоимость и требуемые для функционирования ресурсы всех вариантов построения системы из множества вариантов, сформированного на предыдущем этапе, с помощью компьютера, выбирают варианты, стоимость и потребляемые ресурсы которых не превышают заданных, и далее из этих отобранных вариантов формируют множество вариантов построения системы защиты от разрушающих программных воздействий, удовлетворяющих требованиям по стоимости и потребляемым ресурсам; этап оценки эффективности вариантов построения системы защиты от разрушающих программных воздействий, в ходе которого определяют эффективность вариантов построения системы защиты из множества, сформированного на предыдущем этапе, выбирают варианты, эффективность которых равна или превышает требуемую, и далее из этих отобранных вариантов формируют множество вариантов построения системы защиты от разрушающих программных воздействий, удовлетворяющих требованиям по эффективности, при этом в качестве показателей эффективности используют коэффициент защищенности автоматизированной системы управления критически важным объектом и время восстановления работоспособности автоматизированной системы управления критически важным объектом после применения разрушающих программных воздействий; этап оценки степени влияния вариантов построения системы защиты на защищаемую автоматизированную систему управления критически важным объектом, в ходе которого оценивают уровень снижения производительности защищаемой автоматизированной системы управления критически важным объектом при введении в ее состав вариантов системы защиты от разрушающих программных воздействий, удовлетворяющих требованиям по эффективности из множества, сформированного на предыдущем этапе, и выбирают рациональный вариант построения системы защиты от разрушающих программных воздействий с минимальным уровнем снижения производительности защищаемой автоматизированной системы управления критически важным объектом, при этом в качестве показателя уровня снижения производительности используют комплексный коэффициент снижения производительности, включающий в себя коэффициент снижения производительности технической компоненты защищаемой системы и коэффициент снижения производительности обслуживающего защищаемую систему персонала.
| СПОСОБ И УСТРОЙСТВО ВЫБОРА ПРЕДПОЧТИТЕЛЬНОГО СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ | 2013 |
|
RU2558238C2 |
| СПОСОБ АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ ПРОЦЕССОМ ПРОЕКТИРОВАНИЯ СТРУКТУРЫ СИСТЕМЫ УПРАВЛЕНИЯ ТЕХНИЧЕСКИМИ СИСТЕМАМИ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ | 2007 |
|
RU2331097C1 |
| СПОСОБ ПРОЕКТИРОВАНИЯ СИСТЕМЫ АНТИТЕРРОРИСТИЧЕСКОЙ ЗАЩИЩЕННОСТИ ОБЪЕКТА | 2012 |
|
RU2479014C1 |
| Способ приготовления лака | 1924 |
|
SU2011A1 |
| US 8983635 B2, 17.03.2015. | |||
