Rozdział monografii: `Bazy Danych: Nowe Technologie`, Kozielski S
Transkrypt
Rozdział monografii: `Bazy Danych: Nowe Technologie`, Kozielski S
Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 Rozdział 39 w Atrybuty związane z opisem bezpieczeństwa w w Streszczenie. Artykuł jest próbą zebrania i przedstawienia informacji na temat opisu jakościowego i ilościowego zjawisk związanych z bezpieczeństwem systemu informacyjnego. Stanowi element prowadzonych od kilku lat badań nad określeniem zasad budowy systemu informacyjnego dla jednostki samorządu. 1 Wstęp da .b pl s. Istnieje szereg definicji bezpieczeństwa systemu komputerowego. W szczególności w [1] zawarte są dwie definicje. − System bezpieczny nie powoduje bezpośredniego zagrożenia życia lub zdrowia człowieka. − System bezpieczny nie powoduje strat finansowych właściciela. Bezpieczeństwo systemu samorządowego stanowiącego przedmiot badań w kontekście, których powstał niniejszy artykuł określone zostało jako stan, w którym minimalizowane są ewentualne straty finansowe dla podmiotu. Rozpatrywane są tu zagadnienia związane z atrybutami bezpieczeństwa, metodami formalnymi opisu oraz badania bezpieczeństwa systemów komputerowych. Przedstawione tu rozważania są wynikiem badań nad wyborem aparatu matematycznego oceny bezpieczeństwa systemu informacyjnego jednostko samorządu terytorialnego i znalazły zastosowanie w stworzonej przez autora metodzie analitycznej. Przesłanki ku temu przedstawione zostały m.in. w [5] i [6]. 2 Atrybuty związane z opisem bezpieczeństwa Celem stwierdzenia, że coś jest bezpieczne, należy przedstawić fakty w postaci wartości określonych atrybutów. Mogą to być zarówno atrybuty jakościowe jak i ilościowe. Atrybuty są determinowane przez architekturę systemu [2]. Oznacza to, że odpowiedni dobór składników architektury systemu pozwala na sterowanie – w najbardziej pożądanym przypadku – mierzalnym poziomem bezpieczeństwa. Analiza systemu a także proces projektowania[4], mogą w znacznym stopniu zostać ułatwione poprzez systematyczne zorganizowanie związków między architekturą a atrybutami, zarówno jakościowymi jak i ilościowymi. Cecha systematyczności tej funkcji pozwala na rekonfigurowanie Grzegorz Filipczyk Politechnika Śląska, Instytut Informatyki, ul. Akademicka 16, 44-100 Gliwice, Polska email:[email protected] (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 G. Filipczyk architektur, tak by możliwe było zapewnienie określonego poziomu atrybutu poprzez decyzję projektanta o zastępowaniu jednego zbioru mechanizmów bezpieczeństwa innym. 2.1 Atrybuty jakościowe w Wspólne cechy atrybutów jakościowych stanowią efekt wyodrębniania dotyczących ich informacji. Atrybut jakościowy charakteryzowany jest przez trzy elementy: bodziec zewnętrzny, odpowiedź oraz decyzję architektoniczną [2]. Przez bodziec rozumie się zdarzenie, wobec którego architektura zobowiązana jest udzielić odpowiedzi. Odpowiedź architektury musi być oparta o dokładnie zdefiniowane wymagania wynikające z atrybutu, sformułowane w sposób konkretny, mierzalny i możliwy do obserwacji. Decyzje architektoniczne są to aspekty architektury, które mają wpływ na osiągnięcie wymaganych odpowiedzi. Są to m.in. komponenty, relacje i ich właściwości. w w 2.2 Atrybuty ilościowe da .b Atrybuty ilościowe mają podstawowe znaczenie w ocenie bezpieczeństwa systemu komputerowego. Ich istota oparta jest na wartościach statystycznych i prawdopodobieństwie zajścia zdarzenia związanego z bodźcem a także prawdopodobieństwie wystąpienia odpowiedzi architektury [7]. Komponenty architektury mogą być opisywane analitycznie przez dziesiątki różnych parametrów a wybór odpowiednich do procesu analizy bezpieczeństwa stanowi zasadniczy problem w pracy z atrybutami ilościowymi. Najbardziej znanym parametrem opisującym odpowiedzi architektury jest MTBF (ang. mean time between failure) tj. średni czas do awarii komponentu. pl s. 2.2.1 Dostępność Dostępność stanowi podstawowy atrybut jakościowy systemu. Oznacza przekonanie o możliwości architektury do realizacji założonych funkcji w określonym czasie i miejscu. Bodźcami w przypadku dostępności są błędy, zarówno sprzętowe jak programowe, które powodują awarię systemu. Odpowiedź systemu mierzy się za pomocą następujących wielkości: − niezawodności, liczonej jako prawdopodobieństwo niewystępowania awarii w określonym przedziale czasu, − średniego czasu do awarii, − dostępności stanu ustalonego, − poziomu usługi, jaki system świadczy w zależności od sytuacji sprzętowej lub programowej. Decyzje architektoniczne dotyczące atrybutu dostępności związane są z następującymi mechanizmami: − powielania zasobów, − tworzenia kopii zasobów, − wykrywania błędów, − przywracania normalnych warunków pracy. Zilustrowano to na rys. 1. 402 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 Atrybuty związane z opisem bezpieczeństwa w da .b w w Rys. 1. Charakterystyka dostępności [2] Każdy z wymienionych tu elementów związany jest z postawieniem określonego pytania. Dla bodźca przykładowe pytanie mogłoby brzmieć „Czy awaria może doprowadzić do zaprzestania działania podsystemu i dalej do strat finansowych?”, natomiast dla odpowiedzi np. „Ile czasu zajmuje wykrycie awarii?”. pl s. 2.2.2 Poufność Poufność jest drugim obok dostępności atrybutem bezpieczeństwa. Oznacza przekonanie o możliwości architektury do zapewnienia stanu niedostępności informacji dla podmiotów nieuprawnionych. Bodźcami są tu błędy użytkownika, działania intruza oraz błędy programowe narażające chronioną informację na nieautoryzowane ujawnienie. System, poprzez zastosowanie odpowiednich składników architektonicznych odpowiada za pomocą mierzalnych wielkości, takich jak: − moc mechanizmu kryptograficznego, − tzw. okno możliwości ataku, − związanych z polityką haseł: moc alfabetu, ważność, długość, złożoność, − związanych z mechanizmami biometrycznymi: stopień błędnej akceptacji, stopień błędnego odrzucenia. Istnieje także zbiór odpowiedzi niemierzalnych lub trudnomierzalnych, jak: − ograniczenie terytorialne przetwarzania informacji, − klasyfikacja podmiotów, 403 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 G. Filipczyk w − klasyfikacja obiektów, − stopień integracji podsystemów przetwarzających informację. Decyzje architektoniczne mające wpływ na odpowiedzi systemu na bodźce związane z poufnością to: − zastosowanie mechanizmów dostępu, − zastosowanie mechanizmów programowych, − audyt systemu, − klasyfikacja informacji ze względu na wymagane bezpieczeństwo, − zastosowanie mechanizmów sprzętowych, w tym utylizacja danych. Zilustrowano to na rys. 2. da .b w w Rys. 2. Charakterystyka poufności (opr. własne) pl s. 2.2.3 Integralność Integralność mówi o tym, że architektura zapewnia niezmienność informacji poza sytuacją uprawnionej modyfikacji. Bodźcami architektonicznymi są tu głównie działania intruza oraz zaniechania operatora, błędy programowe oraz – w mniejszej mierze – sprzętowe. W zależności od rodzaju bodźca, decyzja architektoniczna polega na wyborze spośród mechanizmów: − programowych (detekcyjnych, jak funkcje skrótu, podpisy, kody detekcyjne), − sprzętowych (nadmiarowych: zwielokrotnienia komponentów np. SFTIII, rozproszeniowych: rozdział odpowiedzialności np. w macierzach), − związanych z kompozycją funkcjonalną systemu, pozwalających na maskowanie zjawisk takich jak dystrybucja błędu lub efekt kumulacji [4], − integrujących podsystemy (on-line, za pomocą struktur pośrednich, izolujących ze wględu na propagację błędów). 404 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 Atrybuty związane z opisem bezpieczeństwa w da .b w w Rys. 3. Charakterystyka integralności (opr. własne) Wynikiem decyzji architektonicznej jest uzyskanie konkretnej odpowiedzi systemu, wyrażającej się m.in. przez: − moc algorytmu kryptograficznego, − długość klucza, − średnie czasy awarii, powrotu do normalnej pracy i inne, − stopień tolerancji błędów, − stopień integracji podsystemów, − krotność detekcji lub korekcji. Zilustrowano to na rys. 3. pl s. Wskazując podstawowe atrybuty bezpieczeństwa w kontekście ich związku z architekturą badanego systemu informacyjnego należy zwrócić uwagę na to, że istnieje tu problem dążenia do specjalizacji oceny w zależności od rodzaju badanego systemu. Inne bowiem pytania należy zadać analizując system bankowy, inne – analizując system produkcyjny firmy a jeszcze inne – system jednostki samorządu terytorialnego. Z tego wynika, że odmienne znaczenie, w zależności od rodzaju badanego systemu mają cechy takie jak poziom usług, średni czas do awarii itp. Metoda badawcza wykorzystująca te cechy w procesie analizy bezpieczeństwa musi uwzględniać różnice, wynikające ze specyfiki obszarów działania systemów. 3 Reprezentacja ilościowa atrybutów bezpieczeństwa Istnieje możliwość stworzenia poprawnego semantycznie i zrozumiałego, również intuicyjnie, aparatu opisu ilościowego tych atrybutów. Przykładami takich prac są [3], [7] i [8]. 405 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 G. Filipczyk w Badany system informacyjny (tu: system jednostki samorządu) definiuje się jako akceptujący działania intruza (ang. intrusion tolerant system)[5]. System taki pozwala na wrogą działalność mając w obronie cechy rekonfiguracji, regeneracji oraz odnawiania zasobów po incydentach. Z praktycznego punktu widzenia model taki realizuje delegację problemu braku możliwości lub efektywności ekonomicznej zaprojektowania i zbudowania systemu o gwarantowanym 100% bezpieczeństwie. W systemie takim działanie intruza oraz odpowiedź architektury na to działanie modelowane jest jako proces losowy. W najbardziej pierwotnym zakresie wyznaczane są miary bezpieczeństwa o nazwach średni czas do błędu bezpieczeństwa (ang. mean time to security failure) lub średnia zdolność do wystąpienia błędu bezpieczeństwa (ang. mean effort to security failure). Wysiłek intruza wkładany w wykonywany atak atomowy modelowany jest wzorem: w P ( e) = 1 − e − λ e (1) da .b w gdzie 1/λ oznacza średnią zdolność odniesienia sukcesu za pomocą wykonywanego ataku. Przyjęty w ten sposób model pozwala na szacowanie wartości średniej zdolności do wystąpienia błędu bezpieczeństwa, analogicznie do wartości średniego czasu do wystąpienia awarii. W podobny sposób modelować można ilość czasu potrzebnego intruzowi na dokonanie ataku. W zależności od rodzaju ataku można go modelować z wykorzystaniem różnych dystrybuant. Model bezpieczeństwa obejmujący zarówno cechy atakującego jak i cechy broniącego się systemu opisać można z wykorzystaniem aparatu procesów SMP (ang. semi – Markow process). Na rys. 4 przedstawiony jest diagram przejść stanowych opisujący zachowanie systemu tolerującego działania intruza. system wolny od podatności G przejście do stanu V (przypadkowe lub w wyniku przygotowania ataku) wykrycie przed atakiem odtworzenie/rekonfiguracja/ rozwój FS odtworzenie/rekonfiguracja/ rozwój odtworzenie transparentne odtworzenie/rekonfiguracja/ rozwój rozpoczęcie ataku MC pl s. odtworzenie bez degradacji V UC A niewykrycie, brak możliwości maskowania wpływu TR czynnik przejścia w stan bezpiecznego unieruchomienia łagodna degradacja błąd z alarmem odtworzenie/rekonfiguracja/ rozwój GD F stan oceniania - triage state – TR G good state – stan poprawny stan bezpiecznego unieruchomienia – fail safe state - FS V vulnerable state – stan podatności stan łagodnej degradacji – graceful degradation state – GD A active attack state – stan aktywności ataku stan błędu – fail state F MC masked compromised state – stan maskowania wpływu ataku US undetected compromised state – stan kompromitacji po ataku, bez wykrycia Rys. 4. Diagram przejść stanowych modelu systemu tolerującego działania intruza, za [3] 406 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 Atrybuty związane z opisem bezpieczeństwa w Wracając do analizy atrybutów bezpieczeństwa w kontekście przytoczonego modelu systemu trzeba zaznaczyć, że atak na dostępność prowadzić musi do stanu tzw. łagodnej degradacji (GD) i kontynuacji działania systemu. Z kolei atak na poufność lub integralność – do stanu bezpiecznego zaprzestania działania (FS). Jeśli obydwie strategie zmiany stanu nie powiodą się wówczas system przechodzi w stan błędu permanentnego (F). Powrót do stanu poprawnego (GS) nastąpić może albo w wyniku działania mechanizmów automatycznych systemu (repr. przez linie ciągłe) albo w wyniku interwencji manualnej operatora (repr. przez linie przerywane). Mając do dyspozycji opisane wyżej założenia można wyznaczyć stochastyczny model systemu tolerującego działania intruza, uwzględniającego niepewność wynikającą z faktu działania w warunkach wiedzy niepełnej. Przyjmijmy proces i jego przestrzeń stanów dyskretnych: {X (t ) : t ≥ 0}, X s = G,V , A, TR, MC ,UC , FS , GD, F . Jest to przykład procesu SMP. Jego analiza pozwala na wyznaczenie podstawowych wzorów ilościowych opisujących wymienione wcześniej atrybuty bezpieczeństwa. Ciągła dostępność A(t) systemu zdefiniowana jest jako Dostępność. prawdopodobieństwo prawidłowego funkcjonowania systemu w czasie t. Stabilny stan dostępności A określa wartość A(t) przy t dążącym do nieskończoności. W przyjętym modelu stanów system jest niedostępny w stanach FS, F i UC, a wówczas dostępność wyrażona jest wzorem: A = 1 − π FS + π F + π UC (2) } { ( ) da .b w w { } gdzie π i , i = FS , F , UC oznacza prawdopodobieństwo przebywania w stanie i. Analogicznie integralność i poufność wyrazić można wzorami: I = 1 − (π F + π UC ) C = 1 − (π F + π UC ) (3) (4) pl s. Wystarczający opis dla modelu SMP wymaga wiedzy o poniższych parametrach: hG, średni czas oporu systemu przed zaistnieniem podatności, hV, średni czas oporu systemu od zaistnienia podatności, hA, średni czas potrzebny do wykrycia ataku i rozpoczęcia oszacowania zagrożenia, hMC, średni czas na jaki system może zamaskować ataku, hUC, średni czas pozostawania ataku niewykrytym i dokonywania zniszczeń, hTR, średni czas wyboru metody postąpienia z atakiem, hFS, średni czas w jakim system działa w stanie bezpiecznym pomimo wykrycia ataku, hGD, średni czas przebywania systemu w stanie degradacji podczas ataku, hF, średni czas przebywania systemu w stanie błędnym pomimo wykrycia ataku, pa, prawdopodobieństwo dokonania się ataku przy założeniu, że system jest w stanie podatności pu, prawdopodobieństwo, że atak pozostanie niewykryty, pm, prawdopodobieństwo poprawnego zamaskowania ataku przez system, pg, prawdopodobieństwo obrony przed atakiem poprzez łagodną degradację, ps, prawdopodobieństwo odpowiedzi systemu na atak w sposób bezpieczny (ang. fail secure manner). Dla stanów stabilnych SMP ich prawdopodobieństwa wystąpienia {Πi,,i Є Xi} można wyznaczyć z prawdopodobieństw wystąpienia stanów vi i średnich czasów pobytu systemu w stanie hi: 407 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 G. Filipczyk πi = vi hi ; i, j ∈ X s ∑ v jhj (5) j Ostatecznie rozwiązanie modelu SMP daje następujące prawdopodobieństwa, że system jest w określonym stanie [3]: w πG = zależności hG hG + hV + pa hA + pm hMC + pu hGD + (1 − pm − pu ) hTR + ps hFS + p g hUC + (1 − p g − ps ) hF π V = hV [ [ określające ]] πG hG πG w π A = hA p a hG π UC = hUC pa pu π MC = hUC pm pu πG hG πG (6) w hG π FS = hFS pa ps (1 − pm − pu ) π TR = hTR pa (1 − pm − pu ) πG hG πG hG da .b π GD = hGD pa p g (1 − pm − pu ) πG hG π F = hF pa (1 − ps − p g )(1 − pm − pu ) πG hG Znając wartości prawdopodobieństw określonych wz. 6 można na podstawie wz. 1, wz. 2 i wz. 3 wyznaczyć miary atrybutów: poufności, integralności i dostępności. 4 Wnioski Literatura 1. 2. 3. pl s. W artykule rozważono możliwości uzyskania zadawalającego opisu ilościowego i jakościowego atrybutów bezpieczeństwa w kontekście badań nad systemami informacyjnymi tolerującymi działanie intruza. Stwierdzono, że znając charakterystykę zjawisk tam zachodzących można określić model matematyczny i wyznaczyć wzory analityczne opisu ilościowego atrybutów. Badania nad tymi problemami prowadzone są przez autora od kilku lat. Istotne jest, że wykorzystanie przedstawionego aparatu matematycznego wymaga zastosowania metod formalnych analizy bezpieczeństwa w celu uzyskania wiedzy na temat zjawisk związanych z bezpieczeństwem informacji. Grzywak A. i inni: Bezpieczeństwo systemów komputerowych. Wydawnictwo pracowni koputerowej Jacka Skalmierskiego, Gliwice 2000. Clements P., Kazman R., Klein M.: Architektura oprogramowania. Metody oceny oraz analiza przypadków, Helion, Gliwice 2003. Madan B., Goseva-Popstojanowa K., Vaidyanathan K.: A method for modeling and quantyfying the security attibutes of intrusion tolerant systems., DARPA 2002. 408 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 Atrybuty związane z opisem bezpieczeństwa 4. 5. 6. w 7. 8. 9. Białas A.: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie. WNT, Warszawa 2006. Filipczyk G.: Badania bezpieczeństwa systemu informacyjnego jednostki samorządu, w: Praca zbiorowa pod redakcją Grzywak A., Kwiecień A. Wysokowydajne sieci komputerowej. Zastosowanie i bezpieczeństwo, Wydawnictwa Komunikacji i Łączności, Warszawa 2005 Filipczyk G.: Badanie bezpieczeństwa systemu komputerowego metodą HazOp. Studia informatica, Gliwice 2001. Butler Shawn A.: Security attribute evaluation metod. Ph.D. thesis, Carnegie Mellon University, Pittsburg 2003. Swanson M. i inni: Security metrics guide for information technology systems. NIST Gaithersburg 2003. Gattiker Urs E.: Cyber incidents cost assessment. Alborg University, Alborg 2002. pl s. da .b w w 409 (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007 Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007 w pl s. da .b w w (c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007