Rozdział monografii: `Bazy Danych: Nowe Technologie`, Kozielski S

Transkrypt

Rozdział monografii: 'Bazy Danych: Nowe Technologie', Kozielski S., Małysiak B., Kasprowski P., Mrozek D. (red.), WKŁ 2007
Rozdział 39
w
Atrybuty związane z opisem bezpieczeństwa
w
w
Streszczenie. Artykuł jest próbą zebrania i przedstawienia informacji na
temat opisu jakościowego i ilościowego zjawisk związanych z bezpieczeństwem systemu informacyjnego. Stanowi element prowadzonych od
kilku lat badań nad określeniem zasad budowy systemu informacyjnego dla
jednostki samorządu.
1 Wstęp
da
.b
pl
s.
Istnieje szereg definicji bezpieczeństwa systemu komputerowego. W szczególności w [1]
zawarte są dwie definicje.
− System bezpieczny nie powoduje bezpośredniego zagrożenia życia lub zdrowia
człowieka.
− System bezpieczny nie powoduje strat finansowych właściciela.
Bezpieczeństwo systemu samorządowego stanowiącego przedmiot badań w kontekście,
których powstał niniejszy artykuł określone zostało jako stan, w którym minimalizowane są
ewentualne straty finansowe dla podmiotu. Rozpatrywane są tu zagadnienia związane
z atrybutami bezpieczeństwa, metodami formalnymi opisu oraz badania bezpieczeństwa
systemów komputerowych.
Przedstawione tu rozważania są wynikiem badań nad wyborem aparatu matematycznego
oceny bezpieczeństwa systemu informacyjnego jednostko samorządu terytorialnego i
znalazły zastosowanie w stworzonej przez autora metodzie analitycznej. Przesłanki ku temu
przedstawione zostały m.in. w [5] i [6].
2 Atrybuty związane z opisem bezpieczeństwa
Celem stwierdzenia, że coś jest bezpieczne, należy przedstawić fakty w postaci wartości
określonych atrybutów. Mogą to być zarówno atrybuty jakościowe jak i ilościowe.
Atrybuty są determinowane przez architekturę systemu [2]. Oznacza to, że odpowiedni
dobór składników architektury systemu pozwala na sterowanie – w najbardziej pożądanym
przypadku – mierzalnym poziomem bezpieczeństwa. Analiza systemu a także proces
projektowania[4], mogą w znacznym stopniu zostać ułatwione poprzez systematyczne
zorganizowanie związków między architekturą a atrybutami, zarówno jakościowymi jak
i ilościowymi. Cecha systematyczności tej funkcji pozwala na rekonfigurowanie
Grzegorz Filipczyk
Politechnika Śląska, Instytut Informatyki, ul. Akademicka 16, 44-100 Gliwice, Polska
email:[email protected]
(c) Copyright by Politechnika Śląska, Instytut Informatyki, Gliwice 2007
G. Filipczyk
architektur, tak by możliwe było zapewnienie określonego poziomu atrybutu poprzez
decyzję projektanta o zastępowaniu jednego zbioru mechanizmów bezpieczeństwa innym.
2.1 Atrybuty jakościowe
w
Wspólne cechy atrybutów jakościowych stanowią efekt wyodrębniania dotyczących ich
informacji. Atrybut jakościowy charakteryzowany jest przez trzy elementy: bodziec
zewnętrzny, odpowiedź oraz decyzję architektoniczną [2]. Przez bodziec rozumie się
zdarzenie, wobec którego architektura zobowiązana jest udzielić odpowiedzi. Odpowiedź
architektury musi być oparta o dokładnie zdefiniowane wymagania wynikające z atrybutu,
sformułowane w sposób konkretny, mierzalny i możliwy do obserwacji. Decyzje
architektoniczne są to aspekty architektury, które mają wpływ na osiągnięcie wymaganych
odpowiedzi. Są to m.in. komponenty, relacje i ich właściwości.
w
w
2.2 Atrybuty ilościowe
da
.b
Atrybuty ilościowe mają podstawowe znaczenie w ocenie bezpieczeństwa systemu
komputerowego.
Ich
istota
oparta
jest
na
wartościach
statystycznych
i prawdopodobieństwie zajścia zdarzenia związanego z bodźcem a także
prawdopodobieństwie wystąpienia odpowiedzi architektury [7]. Komponenty architektury
mogą być opisywane analitycznie przez dziesiątki różnych parametrów a wybór
odpowiednich do procesu analizy bezpieczeństwa stanowi zasadniczy problem w pracy
z atrybutami ilościowymi. Najbardziej znanym parametrem opisującym odpowiedzi
architektury jest MTBF (ang. mean time between failure) tj. średni czas do awarii
komponentu.
pl
s.
2.2.1 Dostępność
Dostępność stanowi podstawowy atrybut jakościowy systemu. Oznacza przekonanie o
możliwości architektury do realizacji założonych funkcji w określonym czasie i miejscu.
Bodźcami w przypadku dostępności są błędy, zarówno sprzętowe jak programowe, które
powodują awarię systemu. Odpowiedź systemu mierzy się za pomocą następujących
wielkości:
− niezawodności, liczonej jako prawdopodobieństwo niewystępowania awarii
w określonym przedziale czasu,
− średniego czasu do awarii,
− dostępności stanu ustalonego,
− poziomu usługi, jaki system świadczy w zależności od sytuacji sprzętowej lub
programowej.
Decyzje architektoniczne dotyczące atrybutu dostępności związane są z następującymi
mechanizmami:
− powielania zasobów,
− tworzenia kopii zasobów,
− wykrywania błędów,
− przywracania normalnych warunków pracy.
Zilustrowano to na rys. 1.
402
w
da
.b
w
w
Rys. 1. Charakterystyka dostępności [2]
Każdy z wymienionych tu elementów związany jest z postawieniem określonego pytania.
Dla bodźca przykładowe pytanie mogłoby brzmieć „Czy awaria może doprowadzić do
zaprzestania działania podsystemu i dalej do strat finansowych?”, natomiast dla odpowiedzi
np. „Ile czasu zajmuje wykrycie awarii?”.
pl
s.
2.2.2 Poufność
Poufność jest drugim obok dostępności atrybutem bezpieczeństwa. Oznacza przekonanie
o możliwości architektury do zapewnienia stanu niedostępności informacji dla podmiotów
nieuprawnionych. Bodźcami są tu błędy użytkownika, działania intruza oraz błędy
programowe narażające chronioną informację na nieautoryzowane ujawnienie. System,
poprzez zastosowanie odpowiednich składników architektonicznych odpowiada za pomocą
mierzalnych wielkości, takich jak:
− moc mechanizmu kryptograficznego,
− tzw. okno możliwości ataku,
− związanych z polityką haseł: moc alfabetu, ważność, długość, złożoność,
− związanych z mechanizmami biometrycznymi: stopień błędnej akceptacji, stopień
błędnego odrzucenia.
Istnieje także zbiór odpowiedzi niemierzalnych lub trudnomierzalnych, jak:
− ograniczenie terytorialne przetwarzania informacji,
− klasyfikacja podmiotów,
403
G. Filipczyk
w
− klasyfikacja obiektów,
− stopień integracji podsystemów przetwarzających informację.
Decyzje architektoniczne mające wpływ na odpowiedzi systemu na bodźce związane
z poufnością to:
− zastosowanie mechanizmów dostępu,
− zastosowanie mechanizmów programowych,
− audyt systemu,
− klasyfikacja informacji ze względu na wymagane bezpieczeństwo,
− zastosowanie mechanizmów sprzętowych, w tym utylizacja danych.
da
.b
w
w
Rys. 2. Charakterystyka poufności (opr. własne)
pl
s.
2.2.3 Integralność
Integralność mówi o tym, że architektura zapewnia niezmienność informacji poza sytuacją
uprawnionej modyfikacji. Bodźcami architektonicznymi są tu głównie działania intruza
oraz zaniechania operatora, błędy programowe oraz – w mniejszej mierze – sprzętowe. W
zależności od rodzaju bodźca, decyzja architektoniczna polega na wyborze spośród
mechanizmów:
− programowych (detekcyjnych, jak funkcje skrótu, podpisy, kody detekcyjne),
− sprzętowych (nadmiarowych: zwielokrotnienia komponentów np. SFTIII,
rozproszeniowych: rozdział odpowiedzialności np. w macierzach),
− związanych z kompozycją funkcjonalną systemu, pozwalających na maskowanie
zjawisk takich jak dystrybucja błędu lub efekt kumulacji [4],
− integrujących podsystemy (on-line, za pomocą struktur pośrednich, izolujących ze
wględu na propagację błędów).
404
w
da
.b
w
w
Rys. 3. Charakterystyka integralności (opr. własne)
Wynikiem decyzji architektonicznej jest uzyskanie konkretnej odpowiedzi systemu,
wyrażającej się m.in. przez:
− moc algorytmu kryptograficznego,
− długość klucza,
− średnie czasy awarii, powrotu do normalnej pracy i inne,
− stopień tolerancji błędów,
− stopień integracji podsystemów,
− krotność detekcji lub korekcji.
pl
s.
Wskazując podstawowe atrybuty bezpieczeństwa w kontekście ich związku z architekturą
badanego systemu informacyjnego należy zwrócić uwagę na to, że istnieje tu problem
dążenia do specjalizacji oceny w zależności od rodzaju badanego systemu. Inne bowiem
pytania należy zadać analizując system bankowy, inne – analizując system produkcyjny
firmy a jeszcze inne – system jednostki samorządu terytorialnego. Z tego wynika, że
odmienne znaczenie, w zależności od rodzaju badanego systemu mają cechy takie jak
poziom usług, średni czas do awarii itp. Metoda badawcza wykorzystująca te cechy w
procesie analizy bezpieczeństwa musi uwzględniać różnice, wynikające ze specyfiki
obszarów działania systemów.
3 Reprezentacja ilościowa atrybutów bezpieczeństwa
Istnieje możliwość stworzenia poprawnego semantycznie i zrozumiałego, również
intuicyjnie, aparatu opisu ilościowego tych atrybutów. Przykładami takich prac są [3], [7] i
[8].
405
G. Filipczyk
w
Badany system informacyjny (tu: system jednostki samorządu) definiuje się jako
akceptujący działania intruza (ang. intrusion tolerant system)[5]. System taki pozwala na
wrogą działalność mając w obronie cechy rekonfiguracji, regeneracji oraz odnawiania
zasobów po incydentach. Z praktycznego punktu widzenia model taki realizuje delegację
problemu braku możliwości lub efektywności ekonomicznej zaprojektowania i zbudowania
systemu o gwarantowanym 100% bezpieczeństwie. W systemie takim działanie intruza
oraz odpowiedź architektury na to działanie modelowane jest jako proces losowy.
W najbardziej pierwotnym zakresie wyznaczane są miary bezpieczeństwa o nazwach średni
czas do błędu bezpieczeństwa (ang. mean time to security failure) lub średnia zdolność do
wystąpienia błędu bezpieczeństwa (ang. mean effort to security failure).
Wysiłek intruza wkładany w wykonywany atak atomowy modelowany jest wzorem:
w
P ( e) = 1 − e − λ e
(1)
da
.b
w
gdzie 1/λ oznacza średnią zdolność odniesienia sukcesu za pomocą wykonywanego ataku.
Przyjęty w ten sposób model pozwala na szacowanie wartości średniej zdolności do
wystąpienia błędu bezpieczeństwa, analogicznie do wartości średniego czasu do
wystąpienia awarii. W podobny sposób modelować można ilość czasu potrzebnego
intruzowi na dokonanie ataku. W zależności od rodzaju ataku można go modelować
z wykorzystaniem różnych dystrybuant.
Model bezpieczeństwa obejmujący zarówno cechy atakującego jak i cechy broniącego
się systemu opisać można z wykorzystaniem aparatu procesów SMP (ang. semi – Markow
process).
Na rys. 4 przedstawiony jest diagram przejść stanowych opisujący zachowanie systemu
tolerującego działania intruza.
system wolny od podatności
G
przejście do stanu V
(przypadkowe lub w wyniku
przygotowania ataku)
wykrycie
przed atakiem
odtworzenie/rekonfiguracja/
rozwój
FS
rozwój
odtworzenie
transparentne
rozwój
rozpoczęcie ataku
MC
pl
s.
odtworzenie
bez degradacji
V
UC
A
niewykrycie,
brak możliwości
maskowania wpływu
TR
czynnik przejścia w stan
bezpiecznego unieruchomienia
łagodna
degradacja
błąd z alarmem
rozwój
GD
F
stan oceniania - triage state – TR
G good state – stan poprawny
stan bezpiecznego unieruchomienia – fail safe state - FS
V vulnerable state – stan podatności
stan łagodnej degradacji – graceful degradation state – GD
A active attack state – stan aktywności ataku
stan błędu – fail state F
MC masked compromised state – stan maskowania wpływu ataku
US undetected compromised state – stan kompromitacji po ataku, bez wykrycia
Rys. 4. Diagram przejść stanowych modelu systemu tolerującego działania intruza, za [3]
406
w
Wracając do analizy atrybutów bezpieczeństwa w kontekście przytoczonego modelu
systemu trzeba zaznaczyć, że atak na dostępność prowadzić musi do stanu tzw. łagodnej
degradacji (GD) i kontynuacji działania systemu. Z kolei atak na poufność lub integralność
– do stanu bezpiecznego zaprzestania działania (FS). Jeśli obydwie strategie zmiany stanu
nie powiodą się wówczas system przechodzi w stan błędu permanentnego (F). Powrót do
stanu poprawnego (GS) nastąpić może albo w wyniku działania mechanizmów
automatycznych systemu (repr. przez linie ciągłe) albo w wyniku interwencji manualnej
operatora (repr. przez linie przerywane).
Mając do dyspozycji opisane wyżej założenia można wyznaczyć stochastyczny model
systemu tolerującego działania intruza, uwzględniającego niepewność wynikającą z faktu
działania w warunkach wiedzy niepełnej.
Przyjmijmy proces i jego przestrzeń stanów dyskretnych:
{X (t ) : t ≥ 0}, X s = G,V , A, TR, MC ,UC , FS , GD, F .
Jest to przykład procesu SMP. Jego analiza pozwala na wyznaczenie podstawowych
wzorów ilościowych opisujących wymienione wcześniej atrybuty bezpieczeństwa.
Ciągła
dostępność
A(t)
systemu zdefiniowana
jest
jako
Dostępność.
prawdopodobieństwo prawidłowego funkcjonowania systemu w czasie t. Stabilny stan
dostępności A określa wartość A(t) przy t dążącym do nieskończoności. W przyjętym
modelu stanów system jest niedostępny w stanach FS, F i UC, a wówczas dostępność
wyrażona jest wzorem:
A = 1 − π FS + π F + π UC
(2)
}
{
(
)
da
.b
w
w
{
}
gdzie π i , i = FS , F , UC oznacza prawdopodobieństwo przebywania w stanie i.
Analogicznie integralność i poufność wyrazić można wzorami:
I = 1 − (π F + π UC )
C = 1 − (π F + π UC )
(3)
(4)
pl
s.
Wystarczający opis dla modelu SMP wymaga wiedzy o poniższych parametrach:
hG, średni czas oporu systemu przed zaistnieniem podatności,
hV, średni czas oporu systemu od zaistnienia podatności,
hA, średni czas potrzebny do wykrycia ataku i rozpoczęcia oszacowania zagrożenia,
hMC, średni czas na jaki system może zamaskować ataku,
hUC, średni czas pozostawania ataku niewykrytym i dokonywania zniszczeń,
hTR, średni czas wyboru metody postąpienia z atakiem,
hFS, średni czas w jakim system działa w stanie bezpiecznym pomimo wykrycia ataku,
hGD, średni czas przebywania systemu w stanie degradacji podczas ataku,
hF, średni czas przebywania systemu w stanie błędnym pomimo wykrycia ataku,
pa, prawdopodobieństwo dokonania się ataku przy założeniu, że system jest w stanie
podatności
pu, prawdopodobieństwo, że atak pozostanie niewykryty,
pm, prawdopodobieństwo poprawnego zamaskowania ataku przez system,
pg, prawdopodobieństwo obrony przed atakiem poprzez łagodną degradację,
ps, prawdopodobieństwo odpowiedzi systemu na atak w sposób bezpieczny (ang. fail
secure manner).
Dla stanów stabilnych SMP ich prawdopodobieństwa wystąpienia {Πi,,i Є Xi} można
wyznaczyć z prawdopodobieństw wystąpienia stanów vi i średnich czasów pobytu systemu
w stanie hi:
407
G. Filipczyk
πi =
vi hi
; i, j ∈ X s
∑ v jhj
(5)
j
Ostatecznie rozwiązanie modelu SMP daje następujące
prawdopodobieństwa, że system jest w określonym stanie [3]:
w
πG =
zależności
hG
hG + hV + pa hA + pm hMC + pu hGD + (1 − pm − pu ) hTR + ps hFS + p g hUC + (1 − p g − ps ) hF
π V = hV
[
[
określające
]]
πG
hG
πG
w
π A = hA p a
hG
π UC = hUC pa pu
π MC = hUC pm pu
πG
hG
πG
(6)
w
hG
π FS = hFS pa ps (1 − pm − pu )
π TR = hTR pa (1 − pm − pu )
πG
hG
πG
hG
da
.b
π GD = hGD pa p g (1 − pm − pu )
πG
hG
π F = hF pa (1 − ps − p g )(1 − pm − pu )
πG
hG
Znając wartości prawdopodobieństw określonych wz. 6 można na podstawie wz. 1, wz. 2
i wz. 3 wyznaczyć miary atrybutów: poufności, integralności i dostępności.
4 Wnioski
Literatura
1.
2.
3.
pl
s.
W artykule rozważono możliwości uzyskania zadawalającego opisu ilościowego i
jakościowego atrybutów bezpieczeństwa w kontekście badań nad systemami
informacyjnymi tolerującymi działanie intruza. Stwierdzono, że znając charakterystykę
zjawisk tam zachodzących można określić model matematyczny i wyznaczyć wzory
analityczne opisu ilościowego atrybutów. Badania nad tymi problemami prowadzone są
przez autora od kilku lat. Istotne jest, że wykorzystanie przedstawionego aparatu
matematycznego wymaga zastosowania metod formalnych analizy bezpieczeństwa w celu
uzyskania wiedzy na temat zjawisk związanych z bezpieczeństwem informacji.
Grzywak A. i inni: Bezpieczeństwo systemów komputerowych. Wydawnictwo pracowni
koputerowej Jacka Skalmierskiego, Gliwice 2000.
Clements P., Kazman R., Klein M.: Architektura oprogramowania. Metody oceny oraz analiza
przypadków, Helion, Gliwice 2003.
Madan B., Goseva-Popstojanowa K., Vaidyanathan K.: A method for modeling and quantyfying
the security attibutes of intrusion tolerant systems., DARPA 2002.
408
4.
5.
6.
w
7.
8.
9.
Białas A.: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie. WNT,
Warszawa 2006.
Filipczyk G.: Badania bezpieczeństwa systemu informacyjnego jednostki samorządu, w: Praca
zbiorowa pod redakcją Grzywak A., Kwiecień A. Wysokowydajne sieci komputerowej.
Zastosowanie i bezpieczeństwo, Wydawnictwa Komunikacji i Łączności, Warszawa 2005
Filipczyk G.: Badanie bezpieczeństwa systemu komputerowego metodą HazOp. Studia
informatica, Gliwice 2001.
Butler Shawn A.: Security attribute evaluation metod. Ph.D. thesis, Carnegie Mellon University,
Pittsburg 2003.
Swanson M. i inni: Security metrics guide for information technology systems. NIST
Gaithersburg 2003.
Gattiker Urs E.: Cyber incidents cost assessment. Alborg University, Alborg 2002.
pl
s.
da
.b
w
w
409
w
pl
s.
da
.b
w
w

Rozdział monografii: `Bazy Danych: Nowe Technologie`, Kozielski S

Transkrypt

Podobne dokumenty

pobierz plik referatu - BDAS

Rozdział monografii: `Bazy Danych: Struktury, Algorytmy

pobierz plik referatu

pobierz plik referatu

pobierz plik referatu

Klub Pracy w Gliwicach

pobierz plik referatu

pobierz plik referatu

"Tiffany" Motel Waclaw Lewandowski, Gliwice, Pszczynska 113

pobierz plik referatu

pobierz plik referatu - BDAS

Komenda Miejska Policji w Gliwicach Gliwice/ uszkodzono vw golfa III

Powierzone zadania wykonywane są dobrze. Poza tym firma

pobierz plik referatu

pobierz plik referatu - BDAS