Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Анализ математического аппарата и методов, применяемых для оценки безопасности объектов информатизации

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(3)
()
Опубликовано в:

Ни одно направление деятельности не может считаться научным, если у него нет достойного математического обоснования. Ещё великий Леонардо да Винчи по этому поводу говорил: «Ни одно человеческое исследование не может называться истинной наукой, если оно не прошло через математические доказательства» [1].Сегодня это уже аксиома. Некоторые исследователи даже утверждают, что «наука начинается там, где появляется измерение», правда, при этом уточняют, что «не надо путать измерение и математику» [2]. Математика — это не наука. Это — язык науки. Аблексимов Н. в своей статье приводит высказывание Нильса Бора, который говорил, что математика — это нечто значительно большее, чем наука, поскольку она является языком науки. И, по мнению Н. Аблексимова, наименее формализованы большинство разделов химии, геология и практически все гуманитарные науки. 

К какому направлению относится наука о безопасности, а особенно наука, исследующая проблемы информационной безопасности, – к гуманитарному или естественно-научному, определить довольно трудно. Сегодня термин «информационная безопасность» трактуется подавляющим большинством и учёных, и практиков в техническом аспекте и в меньшей степени в гуманитарном. Тем не менее «информационная безопасность» сегодня довольно популярная тема. Поисковые системы дают для этого термина сотни миллионов ссылок на ресурсы. Однако, если к термину «информационная безопасность» добавить слово «математика», то это количество снижается на порядок» [3]. И это говорит не о том, что «информационная безопасность представляет собой организационно-техническую задачу, а не научную проблему» [3], а наоборот – это говорит о слабой научной проработке проблемы информационной безопасности. И, прежде всего, – проработки методологической. Хорошо методологически проработанная теория может быть легко переведена на любой язык, в том числе и на язык математики. Трудно, а порой невозможно, подвести математику под эзотерику, каковой сегодня, по сути, является артикулируемая официальной наукой и конституированная российским законодательством парадигма информационной безопасности. При этом, как считают авторы статьи [4], «многие авторы анализируют существующие подходы к определению понятий теории [безопасности], и почти все из них едины во мнении о необходимости их формального математического описания.

Сегодня в том, что большинство называет информационной безопасностью (и что, по сути, является безопасностью информации), математика наиболее активно применяется для решения задачи шифрования данных, то есть для решения вопросов защиты информации криптографическими методами.

В общем же технологии формального описания процессов обеспечения безопасности информации строятся на:

- теории конечных автоматов;

- теории множеств;

- теории графов;

- временной и математической логике;

- алгебраических спецификациях [5].

Авторы статьи [5] поясняют, что «применяемый для описания модели математический аппарат вносит некоторые ограничения на степень детализации процессов защиты, что обусловлено различием физической сущности описываемых с помощью используемых понятий процессов. Например, – уточняют они – модели, основанные на теории множеств, с большей детальностью описывают процессы контроля доступа к ресурсам системы, так как имеют развитый аппарат определения взаимоотношений между множествами объектов-ресурсов и объектов-пользователей. В то же время модели, основанные на теории графов, позволяют более глубоко определить процессы защищенной передачи данных».

Основываясь на анализе принципов описания процессов защиты данных и используемого при этом математического аппарата, авторы выделяют четыре класса формальных моделей безопасности:

– модели трансформации состояний конечного автомата;

– модели заимствования и передачи полномочий;

– семантические модели;

– модели информационных потоков [5].

Авторы статьи [4], на основании проведенного ими анализа, пишут, что некоторые исследователи проблемы безопасности отождествляют с проблемой надёжности и пытаются применить математический аппарат, используемый в теории надёжности, где широко используется аппарат теории вероятности и математической статистики. Исходя из этого, авторы статьи делают вывод, что «поскольку понятия надежности и безопасности близки, очевидно, основным математическим подходом к исследованию безопасности должен стать вероятностно-статистический подход», и что «применение формальных методов к описанию безопасности также позволит более четко определить связь между понятиями безопасности и надежности».

Однако вероятностно-статистический подход на практике применяется довольно редко и в специфических случаях. Его, как правило, применяют для подтверждения правильности выводов, сделанных на основании экспертных оценок, но не для того, чтобы на основании произведенных расчётов делать такие выводы. Это обусловлено, прежде всего, тем, что для получения достоверного результата необходимы достоверные исходные данные. А их в сфере безопасности и, особенно в сфере безопасности объектов информатизации, в России нет. Нет, во-первых, потому что не создан механизм сбора такой информации, а, во-вторых, потому что потерпевшие довольно часто скрывают информацию о произошедших у них инцидентах, дабы не потерпеть ещё и репутационные издержки. Если и осуществляется отдельными компаниями деятельность по сбору и анализу статистических данных, то делается это на основании зарубежного опыта, который в России, практически, не применим, так как у России и здесь свой особенный путь и своё уникальное, не имеющее аналогов в мире, законодательство.

Есть и исследователи проблем безопасности, которые отождествляют безопасность с риском и пытаются применить математический аппарат этой теории, который, в основном, базируется на:

- теории вероятностей;

- статистическом анализе;

- алгебре логики и событий;

- системном анализе.

Например, авторы статьи [4] пишут: «Риск является важнейшим показателем безопасности, так как характеризует объект с точки зрения его способности препятствовать образованию ущерба». Конечно же, с такой точкой зрения согласиться нельзя. Риск не является показателем безопасности. Риск есть атрибут деятельности субъекта, который является основной причиной возникновения ситуаций, при которых и самому субъекту, и его окружению может быть причинён вред (нанесён ущерб) [6]. Но то, что «данный показатель никак не характеризует другую сторону отношения безопасности – источник опасности», совершенно справедливо.

Система защиты, которая должна строиться на основании произведенных расчётов, должна учитывать не только специфику деятельности самого субъекта (что, конечно же, очень и очень важно), но и внешние условия. Поэтому необходимо математическое описание не только рисков и их последствий, но и угроз, исходящих от внешней среды.

Такие попытки предпринимают многие исследователи проблем безопасности, особенно в сфере защиты информации в автоматизированных системах обработки информации. В качестве примера рассмотрим статью [7], в которой авторы «анализируют традиционные качественные показатели защищенности ресурсов автоматизированных систем» и делают вывод, что «для оценки защищенности информационных и программных ресурсов автоматизированных систем необходимо применять количественные показатели». Авторы статьи предлагают свой подход к расчёту таких показателей и поясняя его пишут: «…все представленные выражения достаточно просты и вычисляемы. Адекватность полученных количественных оценок защищенности АС легко определяется на базе аппарата теории вероятности, теории массового обслуживания и теории надежности». При этом в приводимых ими формулах присутствуют:

- вероятность обеспечения целостности информации, хранимой и обрабатываемой в АС;

- вероятность обеспечения доступности информации, хранимой и обрабатываемой в АС;

- вероятность сохранения конфиденциальности информации;

- интенсивность воздействия на АС, осуществляемой с целью внедрения источника опасности;

- среднее время активизации проникшего в АС источника опасности;

- период диагностики целостности информационных и программных ресурсов АС;

- задаваемый период непрерывного безопасного функционирования АС;

Есть в этих формулах также некие «весовые коэффициенты свойств защищенности информации» и ещё с десяток, практически, неопределяемых параметров. О какой простоте выражений и вычисляемости, входящих в них параметров, может идти речь? Заявления, подобные приведенному выше, – чистой воды спекуляции.

Произведенный короткий анализ позволяет сделать вывод о том, что формализация процессов обеспечения безопасности вообще и безопасности информации, хранящейся и обрабатываемой в автоматизированных системах, действительно является сложной научной задачей, актуальность которой постоянно повышается. При этом необходимо иметь в виду, что никто и никогда не сможет с большой степенью вероятности вычислить потенциального нарушителя, направление атаки, методы, способы и средства, используемые для её осуществления. В подавляющем большинстве случаев беда приходит оттуда, откуда никто не ждал: нападения совершаются не через уязвимости, а через те места, которые не вызывали никаких сомнений в их надёжности; наибольший ущерб организации причиняют не хакеры, а свои собственные сотрудники и так называемые регуляторы; атаки осуществляют те, от кого никто не ждал, и даже белки [8].

На самом деле и угроз, и их источников может быть неограниченно много. При этом подавляющее большинство угроз никогда не будет реализовано, а источниками угроз, в пределе, являются все материальные объекты. И только маленькая толика источников угроз представляет реальную опасность, то есть могут совершить атаку, результаты которой невозможно спрогнозировать заранее и тем более подсчитать ущерб, который может быть причинён объекту безопасности в результате нападения.

Можно более-менее точно определить классы возможных источников опасности. Это будет нечёткое число, но оно будет конечно и, более того, не очень большим и будет зависеть от степени детализации, допускаемой исследователем. Начинать классификацию источников опасности целесообразно с разделения их на три больших класса:

- антропогенные;

- техногенные;

- фюсиогенные (природные) [9].

Далее эти классы можно поделить на роды, виды, подвиды и так далее.

Но для многих «безопасников», наверняка, покажется странным следующее утверждение: источник опасности не оказывает, практически, никакого влияния на процесс формирования системы защиты информационных ресурсов субъекта любого структурного уровня сложности, будь то индивид, организация или государство. Абсолютно неважно, кто или что станет источником опасности и по какой причине может выйти из строя сервер: из-за низкого качества «железа», падения метеорита, землетрясения, наводнения, атаки террористов, бомбового удара ВВС США, таргетированной атаки кибертеррористов или киберхулиганов. Другими словами, источники угроз представляют собой некое множество, границы которого определить невозможно.  Здесь важно другое – то, что любой из источников может нанести вполне определённый вид ущерба, размеры которого, кстати, также определить априори невозможно. Получается, что вид ущерба – нечёткое число, а размер ущерба – нечёткое множество. Но при этом можно точно сказать, что видов угроз информационным ресурсам, хранящимся и обрабатываемым на любом объекте информатизации, всего шесть:

- некорректное уничтожение информации;

- искажение информации;

- неправильная статусофикация информационного ресурса;

- нарушение установленного статуса информации;

- установка некорректных условий доступа к информации;

- нарушение установленного порядка доступа [10].

Но определить заранее какой из видов ущерба причинит та или иная атака того или иного источника опасности, опять же, невозможно.

Получается, все элементы, которые необходимо так или иначе учитывать при построении системы обеспечения безопасности информации, хранящейся и обрабатываемой на любом объекте информатизации – источники риска; источники угроз; виды угроз; уязвимости; потенциальные нарушители; методы и способы нападения; технические средства, используемые для атаки; направление атаки; возможно причинённый ущерб и другие – представляют собой либо нечёткие множества, либо нечёткие числа. Исходя из этого авторы считают, что наилучшие результаты в теории безопасности даст применение именно математики нечётких множеств.

 

Источник: АГАСОФИЯ

 

Оцените материал:
Total votes: 161
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Геннадий, добрый день!

Прочел с удовольствием и двояким чувством. Жаль, что нет списка литературы на который идкт ссылки по тексту( интересно кто автор некоторых работ).

По сути:

1. Если убрать ИБ и заменить на ЗИ - готов подлписаться под практически всем. Есть по тексту рефрен в сторону ЗИ, но, уверен, большинство этого не заметит, и будут считать, что все это про ИБ(((. Это их окончательно запутает.

2. Есть места спорные с позиции основ ИБ. Для примера - про то, что "источник опасности не оказывает, практически, никакого влияния на процесс формирования системы защиты информационных ресурсов..." - оказывает, только несколько на более тонком уровне.

3. С рисками не все так однозначно. Тут я на Вашей стороне. Интересно кто автор [ 4 ]? Риски (RM) и ИБ(ЗИ) - направления взаимовлияющие но разные. Сейчас идет попытка современных "специалистов от ИБ" залезть на поляну RM. Кончится это для них плачевно.

4. "Авторы статьи [4], на основании проведенного ими анализа, пишут, что "...некоторые исследователи проблемы безопасности отождествляют с проблемой надёжности ..." - тоже интересно автор кто? Тот же №4(((. Мне понятно почему они так упрощают. Когда нет понимания отличия ИБ от ЗИ, тогда и вырастают такие ответвления, что позволяет "притянуть" математику к ИБ! Она есть в ЗИ, есть и в ИБ, но только в других местах!

А если без вредности - хорошая полезная статья для подумать тем кто в теме ИБ реально, но только не для "ряженных" торгашей от ИБ))).

Спасибо и Удачи.

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

Не стал утяжелять пост библиографическими ссылками. Они есть в первоисточнике – на АГАСОФИИ.

Всё верно, речь в статье конечно же идёт о ЗИ. Это подчёркивает название и заключение. По тексту использую привычную для подавляющего большинства терминологию с оговорками.

Про источник опасности – тоже всё верно. Именно так: на тонком уровне.

Авторы [4] - Носырева Е.В., Носырева Л.Л. Ссылка на их статью есть на АГАСОФИИ.

В теории надёжности есть вполне себе работающий мат. аппарат. Я думаю, что именно поэтому его пытаются притянуть и к ИБ/БИ/ЗИ.

Уверен, что математика нечётких множеств будет наиболее адекватной проблеме безопасности вообще, в т.ч. и ИБ, но, опять же, согласен, с совершенно другими параметрами, нежели ЗИ. Другое дело, что заниматься разработкой ни того, ни другого мне не с руки: много других вопросов, требующих неотложного решения. Очень хотелось, чтобы кто-то из молодых учёных заинтересовался этой темой. Я бы помог в плане методологии. Но, к сожалению, гораздо легче переписать никчёмную, но общепризнанную лабудень, чем разрабатывать нечто новое. Риска меньше. Истинное знание нужно единицам. Массам довольно позитивного. ;-(

 

Спасибо, Михаил!

up
4 users have voted.
Аватар пользователя riskmn

Я нашел ссылки и прочел их работу. Редкостная ересь. Видимо нужны публикации для дисера. Ржачка полная, когда челы абсолютно не в теме и пишут то, что накопировали у других. За уши притянут так много, что запутаться можно полностью.

Жаль, что это выдают за науку. 

Не  знаю их лично, но впечаление ужасно негативное.

ладно - бумага все вытерпит, а большинство и так не поймет.

Очень похоже на наши шутки из времен обучения. Старый баян, о мне нравится :" Поскольку этот фалиант (более 200 страниц) никто читать небудет - то ставим в устройство деревянный транчформатор".

Жаль, что в такой шутке только доля шутки(((( 

up
4 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.