1. СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ В
КОРПОРАТИВНИХ МЕРЕЖАХ ЗВ’ЯЗКУ, ЯКІ
МАЮТЬ ВЛАСТИВІСТЬ ЖИВУЧОСТІ
Юрій Гарасим
lp.edu.ua, snt-security.lp.edu.ua
2. Актуальність дослідження властивості живучості
СЗІ в КМЗ
Системи захисту інформації (СЗІ) в корпоративних мережах зв’язку (КМЗ)
на цей час є багаторівневими ієрархічними структурами, що містять в собі
множину вузлів, які пов’язані між собою певним чином.
Особливістю СЗІ в КМЗ є те, що структурні елементи СЗІ розміщуються на
структурних елементах (СЕ) КМЗ – виникає взаємодія та взаємозалежність
підсистеми СЗІ і КМЗ (а ще підтримуючою інфраструктурою – живлення,
охолодження, кондиціювання).
lp.edu.ua, snt-security.lp.edu.ua 2
3. Актуальність дослідження властивості живучості
СЗІ в КМЗ
Приклади багаторівневих ієрархічних мережевих структур
lp.edu.ua, snt-security.lp.edu.ua 3
4. Актуальність дослідження властивості живучості
СЗІ в КМЗ
Такій конструкції властива вразливість, яка визначається тим, що за рахунок
великої кількості вузлів і зв’язків між ними (враховуючи, що нормальне
функціонування декількох вузлів ієрархічної мережі можливе лише за умови
нормального функціонування одного основного вузла, який називають керуючим)
нерідко проявляється «каскадний ефект», коли збій в одному якомусь місці
зумовлює перевантаження і вихід з ладу багатьох інших елементів системи
захисту.
lp.edu.ua, snt-security.lp.edu.ua 4
5. Актуальність дослідження властивості живучості
СЗІ в КМЗ
Проектування нових СЗІ в КМЗ та розвиток вже існуючих пов’язані з
проблематикою прийняття рішень щодо використання наявних мережевих
структур, наприклад:
• управління потоками;
• розподілу ресурсів між вузлами.
lp.edu.ua, snt-security.lp.edu.ua 5
6. Актуальність дослідження властивості живучості
СЗІ в КМЗ
Перераховані проблеми тісно пов’язані із завданням
визначення зв’язності та живучості існуючої або
проектованої системи захисту.
Для розглянутих систем характерна наявність не лише
об’єктивної, але і суб’єктивної невизначеності, коли деякі
параметри системи відомі окремим користувачам, але не
відомі ЛПР (людині, що приймає рішення) або іншим
користувачам.
Відповідальність за прийняті рішення зобов’язує
акуратно розмежувати невизначені і випадкові
неконтрольовані фактори: випадковість повинна бути
теоретично обгрунтована (і підтверджена результатами
застосування, наприклад, статистичних методів), наявна
інформація про функції розподілу, випадкові величини, які
використовуються, повинні бути вказані явно.
lp.edu.ua, snt-security.lp.edu.ua 6
7. Ідеальна система захисту інформації
«Уявімо собі спробу створити універсальну тварину: вона
повинна добре літати, бігати, плавати, рити землю і лазити по
деревах. Така універсальна тварина, напевно, змогла б
успішно виживати в складних умовах навколишнього середовища
на нашій планеті і потіснила б інші види. Проте, творці такої
тварини дуже скоро побачать, що великі крила заважають їй
копати глибокі нори; що пухнасте хутро, яке так добре зігріває в
холодних умовах, заважає швидко плавати; що ласти, які так
зручні для плавання, позбавляють тварину можливості лазити по
деревах. Вона почне програвати життєвий простір іншим, добре
адаптованим до конкретних умов тваринам. Звідси
різноманітність видів, що вижили в результаті природного
відбору.»
В.Ефремов «К вопросу о живучести систем»
lp.edu.ua, snt-security.lp.edu.ua 7
8. Ідеальна система захисту інформації
«Захист від…» «Що, якщо…?»
lp.edu.ua, snt-security.lp.edu.ua 8
9. Оцінювання властивості живучості СЗІ в КМЗ
Якщо в одних випадках відмова або
недостовірний результат функціонування СЗІ в КМЗ
може зумовити лише певні незручності у роботі, тоді
в інших (наприклад, в оборонних структурах
держави, банківській системі, корпоративних
мережах зв’язку) серйозність наслідків відмов не
викликає сумнівів.
Функціонування СЗІ в КМЗ, враховуючи
невизначеність ситуацій, вплив чинників
дестабілізації (ЧД), ймовірні відмови, потребує
оцінки живучості систем як характеристики
ефективності функціонування за умов
невизначеності впливу ЧД.
lp.edu.ua, snt-security.lp.edu.ua 9
10. Оцінювання властивості живучості СЗІ в КМЗ
Проблема оцінки живучості вимагає аналізу і
синтезу СЗІ на основі комплексу критеріїв та методів,
які дають змогу встановлювати обґрунтований вибір
характеристик надійності, ефективності, надлишковості,
відмовостійкості тощо.
Аспекти проблеми оцінки живучості СЗІ
розкриваються через: методи забезпечення необхідного
рівня живучості, створення моделей, які описують стан
зовнішнього та внутрішнього середовища систем
захисту, структурні та функціональні зміни в них тощо.
lp.edu.ua, snt-security.lp.edu.ua 10
11. Особливості СЗІ в КМЗ
відкритість: дає змогу легко виконувати розширення СЗІ в КМЗ, шляхом додавання нових
ресурсів;
паралельність: передбачає можливість одночасного виконання декількох процесів на різних
структурних елементах СЗІ в КМЗ, які можуть взаємодіяти під час їхнього виконання;
масштабованість: можливість додавання нових властивостей і методів оброблення
інформації СЗІ в КМЗ;
відмовостійкість: здатність СЗІ в КМЗ забезпечити стійкість до апаратних чи програмних
відмов, підтримати часткову функціональність за рахунок наявної надлишковості (апаратної,
програмної, часової тощо);
прозорість: приховується різниця в представленні даних
і способах доступу користувачів до ресурсів;
забезпечення прозорості реплікацій; фактів виникнення
відмов у СЗІ в КМЗ та відновлення ресурсу тощо;
спільність використання ресурсів: вирішення задачі
підвищення економічності, забезпечення можливості
гнучкого розподілу робіт з дорогими ресурсами;
складність;
непередбачуваність реакції СЗІ в КМЗ на вплив ЧД.
lp.edu.ua, snt-security.lp.edu.ua 11
12. Внесок вчених у розвиток теорії живучості
в Україні та у світі
Значний внесок в розроблення питань загальної теорії живучості систем внесли
роботи учених Дудикевича В.Б., Хорошка В.О., Рябинина И.А., Крапивина В.Ф.,
Парфенова Ю.М., Флейшмана Б.С., Котельникова В.А.
Тематика живучості корпоративних та інформаційних мереж описана в роботах
та наукових публікаціях вітчизняних дослідників: Додонова А.Г., Флейтмана Д.В.,
Харыбина А.В, Павлова І.М.
Варто зазначити, що кількість закордонних публікацій за цією тематикою
набагато більша, ніж вітчизняних. Серед закордонних учених можна виокремити
переважно роботи учених Росії: Громова Ю.Ю., Черкесова Г.Н., Зиновьева П.А.;
США: Ellison R.J., Deepak R., Китаю: Chenxi W., Yu L. та інших.
lp.edu.ua, snt-security.lp.edu.ua 12
13. Нормативна база
ДСТУ 2860-94. Надійність техніки. Терміни та визначення
Живучість – властивість об’єкта зберігати обмежену
працездатність в умовах зовнішніх діянь, що призводять до
відмов його складових частин. Примітка. Живучість
характеризує властивість oб’єкта протистояти розвитку
критичних відмов при будь-яких умовах експлуатації,
включаючи і ті, що не передбачені документацією.
ДСТУ В 3265—95. Зв’якок військовий. Терміни та
визначення
Живучість системи військового зв’язку – здатність системи
військового зв’язку забезпечувати управління військами
[силами] в умовах дії зброї противника.
ДСТУ 2506-94. Засоби обчислювальної техніки.
Відмовостійкість і живучість. Загальні технічні вимоги
lp.edu.ua, snt-security.lp.edu.ua 13
14. Живучість систем захисту інформації
(information security system survivability)
Властивість систем захисту інформації, яка полягає у
здатності зберігати та виконувати встановлений об’єм
власних цільових функцій у відповідному середовищі з
врахуванням різних зовнішніх та внутрішніх чинників
дестабілізації, що можуть зумовлювати відмови її
структурних елементів за рахунок відповідної зміни
структури і поведінки системи, зберігаючи мінімально
допустимий рівень якості функціонування відповідно до
встановлених рівнів деградації із подальшим відновленням
початкового стану ефективного функціонування протягом
встановленого часу.
lp.edu.ua, snt-security.lp.edu.ua 14
15. Узгодження властивості живучості з іншими
властивостями складних систем
Властивість живучості дає змогу складній системі (СС) зберігати
цілісність в екстремальних для неї умовах (за умови впливу чинників
дестабілізації), пристосуватися до них, змінюючи поведінку, структуру, і/або мету
функціонування.
Стійкість системи – це здатність СС повертатися в початковий стан
функціонування після впливу ЧД, які зумовили перехід системи з цього стану; це
активне збереження системою визначених характеристик безвідносно до того, чи
виконують вони яку-небудь роль у загальній системі.
Надійність є комплексною властивістю системи, яка полягає в її здатності
виконувати (в певних умовах функціонування) задані функції, зберігаючи свої
основні характеристики в певних межах.
Відмовостійкість – властивість системи зберігати работоздатність у випадку
виникнення відмови одного або декількох структурних елементів.
Адаптивність – властивість системи пристосовуватися до змінних умов
внутрішнього і зовнішнього середовища шляхом використання різних механізмів
пристосування.
lp.edu.ua, snt-security.lp.edu.ua 15
16. Модель оцінки живучості
Потокова модель оцінки
систем з розгалуженою
живучості
структурою
Модель оцінки живучості за
Логіко-ймовірнісні моделі
результатами виконання
оцінки живучості
завдання
Ймовірнісно поліноміально
Модель оцінки живучості за
процедурна модель оцінки
станом системи
живучості
Аналітична модель оцінки
Процедурні моделі оцінки
живучості через поліном
живучості
Тутте
Модель оцінки живучості з
Структурна модель оцінки
МОДЕЛІ ОЦІНКИ ЖИВУЧОСТІ
використанням технології
живучості
штучних нейронних мереж
lp.edu.ua, snt-security.lp.edu.ua
Модель оцінки живучості Функціональна модель
для підсистем front-end оцінки живучості
Модель оцінки живучості
для підсистем back-end
Класифікація моделей оцінки живучості
16
17. Недоліки існуючих моделей оцінки живучості щодо
застосування їх до СЗІ в КМЗ
1. Процедурні моделі оцінки живучості за багатьма показниками перевершують інші види
моделей. Проте, у випадку, якщо необхідно здійснити оперативну оцінку живучості
складної розподіленої СЗІ в КМЗ їх застосування обмежене зростанням об’ємів
обчислення та їх тривалістю.
2. Логіко-ймовірнісні моделі є простими у застосуванні, дають можливість оцінити
властивість живучості системи за умови багаторазового впливу ЧД. Їх використання
найчастіше супроводжується застосуванням алгебри логіки. Проте, їх застосування для
оцінки живучості СЗІ в КМЗ дає змогу отримати приблизне значення.
3. Функціональна та структурна моделі не враховують характерні для СЗІ в КМЗ впливи
ЧД.
4. Використання потокової моделі обмежене стохастичними графами, які лежать в її
основі.
5. Застосування ймовірнісно поліміально процедурної моделі може бути неефективним для
багатьох систем, що пов’язано із великими часовими затратами (використовує прямий
перебір станів системи).
lp.edu.ua, snt-security.lp.edu.ua 17
18. СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ ЗА
Приймання рішення про структуру СЗІ в КМЗ
ВИБОРУ ВАРІАНТУ СТРУКТУРИ
ОБГРУНТУВАННЯ КРИТЕРІЇВ
ВЛАСТИВІСТЮ ЖИВУЧОСТІ
Модель вибору структури і алгоритму формування множини альтернатив
Визначення критерію вибору варіанту структури СЗІ в КМЗ
Визначення рівня деградації Алгоритм функціонування СЗІ в
показників якості функціонування КМЗ за умови впливу ЧД
КОРПОРАТИВНІЙ МЕРЕЖІ ЗВ’ЯЗКУ
Формування критерію живучості СЗІ в КМЗ
ОЦІНКИ ЖИВУЧОСТІ СИСТЕМ
Структурне
МАТЕМАТИЧНИХ МОДЕЛЕЙ
Мат. модель оцінки Мат. модель оцінки Мат. модель
ЗАХИСТУ ІНФОРМАЦІЇ В
живучості за станом живучості за результатами потокової оцінки
АДАПТАЦІЯ ТА АНАЛІЗ
представлення
системи виконання завдання живучості
Розроблення математичних моделей оцінки живучості СЗІ в КМЗ
методу оцінки
живучості
Визначення показників живучості Визначення методики оцінки
СЗІ в КМЗ живучості СЗІ в КМЗ
СЗІ в КМЗ
КОРПОРАТИВНІЙ МЕРЕЖІ ЗВ’ЯЗКУ
СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ В
Структурна модель оцінки живучості СЗІ в КМЗ
МОДЕЛІ ОЦІНКИ ЖИВУЧОСТІ
РОЗРОБЛЕННЯ СТРУКТУРНОЇ
Модель поведінки СЗІ в
Модель чинників дестабілізації
КМЗ після впливу ЧД
Модель захищеної КМЗ Модель загроз Модель порушника
Аналіз характеристик СЗІ
Модель загроза-захист СЗІ в КМЗ
в КМЗ
lp.edu.ua, snt-security.lp.edu.ua 18
19. Структурна модель поведінки СЗІ в КМЗ, яка має
властивість живучості після впливу ЧД
Модель
загроз так так
ЧД ПН ЧД Перехід в 2 Виконання завдання 3
Модель новий стійкий
порушника ні
стан ні
Роз-
виток
ПН ЧД
так Відновлен- так
1 2
ня
(резервування,
ні адаптація, ні
реконфігуруван-
ня)
ЗЗЖ
ні
1
ВН ЧД
так
де: 1 - аварія; 2 - роботоздатна; 3 - виконання завдання; ЗЗЖ – засоби забезпечення
живучості, ПН - первинні наслідки, ВН - вторинні наслідки.
lp.edu.ua, snt-security.lp.edu.ua 19
21. Структурна модель оцінки живучості
СЗІ в КМЗ
ЧД
Н ПР
РПН
ПН ЧД
ПВЗ
Модель Модель
загроз порушника
В
ЗЗЖ
ВН ЧД
3
СЗІ в КМЗ
2
1
lp.edu.ua, snt-security.lp.edu.ua 21
22. Приклади засобів (методів, технологій) забезпечення
живучості СЗІ в КМЗ
1. Вимоги до архітектури СЗІ в КМЗ: паралельність, програмованість, переналаштованість,
модульність, багатофункціональність, самоорганізація і самонавчання.
2. Введення засобів і механізмів реконфігурування, адаптування, резервування, поступової
деградації.
3. Організація децентралізованого управління ресурсами, спеціальних процедур
системного відновлення.
4. Вибір основних засобів контролю, діагностики, відновлення.
5. Визначення рівня програмно-апаратної взаємозамінюваності.
6. Забезпечення заданого рівня надійності елементарних складових.
7. Фізичні засоби захисту від втрати живлення, охолодження, перемагнічування тощо.
8. Введення засобів локалізації відмов системи ПЗ, діагностики, відмов, відновлення і
перерозподілу завдань.
9. Визначення можливості використання альтернативних алгоритмів маршрутизації.
10. Інші. lp.edu.ua, snt-security.lp.edu.ua 22
23. Показники оцінки живучості СЗІ в КМЗ, які формують
критерій живучості Surv
Живучість системи за умови ������-разового впливу ЧД:
������������ = 1 − ������ ������ = ������ ������ = 1 ������������ .
������-живучість
������ = ������ − 1.
������-живучість
������ = ������������������ ������ ������������ .
Середня кількість ЧД, що зумовлює втрату роботоздатності СЗІ в КМЗ
������ = ∞ ������ ������ .
������=0
Середній запас живучості
������ = ������ − 1.
Умовна функція живучості
������ ������ ������������ = ������������ ������ = ������ ������ ������������ ������ ������ ������0 .
Функція живучості СЗІ в КМЗ за умови n-разового впливу ЧД
������ ������ ������������ = ������ ������, ������ = ������ ������������ ������ ������������ ������ .
������=1
Безумовна функція живучості
������ ������ = ∞ ������ ������������ ������ ������ ������������ = ������ ������ ������������ ������������ ������ .
������=1 ������=1
Ймовірність встановлення зв’язку із заданим відсотком СЕ після впливу ЧД
������������ −1 5������ −5
������ = 1 − ������������������ −������ ������=0 ������! ������ ������ .
lp.edu.ua, snt-security.lp.edu.ua 23
24. Початок
1
Стан Д0
2
Контроль і захист
3 5
Ні Чи виявлено відмову? Відновлення
Так
Робота СЗІ в КМЗ із заданими Д0
4
Чи необхідний Ні показниками якості
інший рівень?
функціонування
Так
6
Ні Чи можливий Робота СЗІ в КМЗ із Д1
рівень Д1?
погіршеними показниками
7 Так 9
якості функціонування
Перехід на Д1 Відновлення
8
Чи можливий Так Робота СЗІ в КМЗ в режимі
Д2
рівень Д0? очікування
10 Ні
Перехід на Д2
11 12 Зупинка СЗІ в КМЗ
Чи можливий Так
Відновлення
Д3
рівень Д0?
13 Ні
Перехід на Д3 Д4
Знищення СЗІ в КМЗ
Кінець
Блок-схема алгоритму функціонування СЗІ в КМЗ за Рівні деградації якості функціонування
умови наявності в ній відмов СЗІ в КМЗ
lp.edu.ua, snt-security.lp.edu.ua 24
26. Способи підвищення живучості
• "Модифікація конструкції" - підхід, який пов'язаний з прогнозуванням виникнення відмов і створення умов,
що мінімізують ймовірність їх виникнення. Наприклад, використання різних платформ для виконання
критичних функцій.
• "Природний відбір" - тестування, тестування і ще раз тестування.
• "Селекція" - підхід, який базується на відборі успішних рішень - успішна практика. Причину успіху можуть
бути не очевидними, проте, сам факт виживання системи вселяє оптимізм як у замовника системи, так і у
проектувальника.
• "Навчання" - знання дають змогу навченому користувачеві уникати появи ситуацій, які зумовлюють
відмови, аварії (наприклад, людський фактор, методи та засоби соціальної інженерії тощо). Це порівняно
не дуже ефективний метод захисту, який досить залежить від кваліфікації користувача і може
застосовуватися лише в обмеженій сфері систем.
• "Тривожне сповіщення " - наприклад, сигнал тривоги системи антивірусного захисту чи системи
виявлення/запобігання атак за умови виникнення підозрілих дій зі сторони користувача, підсистем тощо
для подальшого прийняття рішення відповідальною особою за захист інформації.
• "Блокування" - аварійного стану можна уникнути, якщо використовуються додаткові пристрої або
логіка, яким делегуються права управління системою за умов виявлення ознак аварії, атаки тощо.
• "Переведення в безпечний стан" - аварійного стану можна уникнути, якщо існує впевненість у виявленні
її ознак до реалізації і вдається перевести її в стан, який вважається безпечним (наприклад, при підвищенні
температури в серверній у холодну пору року можна відкрити вікна, проте необхідно вимкнути обладнання
від мережі живлення, уникати появи конденсату).
• "Перемикання на резервний канал" - такий підхід, як правило, використовується в системах, які не
мають безпечного стану (наприклад, охолодження, водовідведення, пожежогасіння, сигналізація тощо).
• "Використання додаткового обладнання" - наприклад, використання технології демілітаризованої зони у
корпоративних мережах зв'язку, антивірусного захисту на шлюзах, технології "антиспам".
• "Обмеження доступу, попереджувальні повідомлення" - паролі або попереджувальні записи
використовуються там, де необхідно проводити роботи щодо обслуговування систем захисту при
вимкнених засобах захисту інформації.
lp.edu.ua, snt-security.lp.edu.ua 26
27. Поточний стан забезпечення живучості
СЗІ в КМЗ
«…кластеризация, дублирование infosec систем – с автоматической
перезагрузкой и под управлением искусственного интеллекта…»
«…Ну а система безопасного хранения и управления криптографическими
ключами/сертификатами – тут уж не до живучести и самовосстановления на
искусственном интеллекте :-))), нужно обязательно обеспечить хотя-бы
хранение резервных копий ключей…»
Denis Kravchenko
«…RAID, failover router (firewall, IPS, UTM ...), мesh networking, кластерінг і
т.д. і т.п. …»
«…Описи RAID Level чітко дають описують до чого система здатна і коли
вона втратить функціонування…»
«…При оцінці ризиків експерти завжди керуються "живучістю" системи…»
Vladimir Gninyuk
lp.edu.ua, snt-security.lp.edu.ua 27
28. Поточний стан забезпечення живучості
СЗІ в КМЗ
«…1.Не надо путать отказоустойчивость системы и живучесть системы
безопасности. первое – малая часть второго.
2. Пример поддержки живучести: защита от DoS по критериям аномалий
разного вида трафика, эвристический анализ антивирусных систем итд.
Самым живым примером можно представить sshguard – автоматическая
блокировка ssh-сессии при аномальном поведении.
3. Самое главное в живучести есть интеллект системы, который принимает
решения на каких-то неявных факторах. ...»
«…На самом деле живучесть системы можно охарактеризовать простыми
требованиями, которые можно вынести в SLA по системе безопасности…»
Alexander Yakimenko
«…о процессе разработки систем ЗИ для военных целей - так там, ясное дело,
главное не дать врагу себя побороть/подавить/заглушить/выключить. Оттуда и
живучесть - как понятие того, какой урон способна выдержать система.…»
Evgeniy Tarasov
lp.edu.ua, snt-security.lp.edu.ua 28
29. Поточний стан забезпечення живучості
СЗІ в КМЗ
«…Зрештою в нормативних документах по інформаційній безпеці теж не
зустрічав такого терміну, хоча рано чи пізно в них потрібно буде вносити
зміни й доповнення...»
Andriy Mikolyash
«…Лично я понял «живучесть» как сумму доступности и целостности…»
Alexander Eroschev
«…оцінка властивості живучості СЗІ в КМЗ є основою для здійснення вибору
її структури за властивістю живучості як характеристики ефективності
функціонування…»
Iurii Garasym
lp.edu.ua, snt-security.lp.edu.ua 29
30. Висновки
властивість живучості СЗІ в КМЗ є характеристикою ефективності функціонування;
для СЗІ в КМЗ завдання забезпечення високої живучості ставиться лише в тих
випадках, коли вона повинна працювати автономно протягом тривалого часу;
властивість живучості може оцінюватися щодо різних рівнів організації СЗІ в КМЗ
(функціонального, структурного, елементного);
задача забезпечення живучості СЗІ в КМЗ полягає в тому, щоб у будь-який момент
часу існувала підсистема апаратно-програмних засобів (функціональна підсистема)
для виконання цілі функціонування;
довіра і залежність від КМЗ, СЗІ зумовлюють надання їм властивості живучості –
здатності протидіяти чинникам дестабілізації: порушенням, розрушенням, збоям та
помилкам різних видів при виконанні системою власної основної цільової функції.
lp.edu.ua, snt-security.lp.edu.ua 30
