Классификация пользователей информационной системы по стабильности их поведения на основе данных шта

Шумкин С.Н., Лакин К.А.
20.05.2005 | 14:00
Шумкин С.Н., E-mail: crystall@tl.ru, НПФ "Кристалл",
Лакин К.А., Пензенский Государственный Университет

Введение

В информационной системе поведение любого пользователя можно разделить на детерминированную (предсказуемую) и неопределенную (непредсказуемую) составляющие.
Детерминированная составляющая поведения обуславливается тем, что каждый исполнитель с определенного ему места входит в систему запускает одинаковые процессы, читает и создает похожие файлы с примерно одинаковой производительностью. Поведение таких исполнителей хорошо повторяется изо дня в день.
Следует ожидать, что рост детерминированной составляющей поведения всех исполнителей и уменьшение доли непредсказуемой составляющей их поведения должны приводить к относительному росту безопасности информационной системы.
Абсолютно детерминированная система неработоспособна в силу ее неспособности отрабатывать изменяющиеся условия, однако она и абсолютно безопасна (по крайней мере, все ее состояния могут быть оценены по степени риска и наиболее опасные состояния исключены или существенно ограничены). В случае, если абсолютно детерминирована она продолжает таковой оставаться бесконечно долго, так как она не способна учитывать влияние изменяющейся среды.

Портрет пользователей по выполнению различных операций на рабочих станциях информационной системы на основе данных штатного аудита ОС NetWare

На рисунке 1 представлена модель поведения пользователя ПОЛЬЗОВАТЕЛЬ_1 за период 24-26 января. На оси абсцисс расположены выполняемые пользователем операции в течении рабочего дня, а на оси ординат - количество выполненных операций. Таким образом, рассматривается портрет поведения пользователя по числу выполняемых операций.(24 января, 25 января, 26 января соответственно)

Рисунок 1. Рисунок 1. Рисунок 1.

Рисунок 1.

Детерминированность поведения пользователя очевидно проглядывается на рисунке. Значения оцениваемых показателей примерно одинаковы. Пользователь постоянно работает на одной станции, что тоже является весомой частью прогнозируемости его поведения.
Детерминированная составляющая поведения пользователя ПОЛЬЗОВАТЕЛЬ_1 составляет 85,7%, а непредсказуемая составляющая его поведения, соответственно 14,3%. Это значит, что с вероятностью 85,7% можно предсказать поведение данного пользователя. Алгоритм вычисления детерминированной и непредсказуемой составляющих в данной статье не рассматривается.
Теперь рассмотрим модель поведения другого пользователя. На рисунке 2 представлена модель поведения пользователя ПОЛЬЗОВАТЕЛЬ_2 за период 12-14 февраля. На оси абсцисс расположены выполняемые пользователем операции в течении рабочего дня, а на оси ординат - число выполненных операций. Операции, выполняемые на разных станциях, отличаются по цвету. Таким образом, рассматривается портрет поведения пользователя по количеству выполняемых операций.(12 февраля, 13 февраля, 14 февраля соответственно)

Рисунок 2. 12 февраля Рисунок 2. 13 февраля Рисунок 2. 14 февраля

Рисунок 2.

Непредсказуемость поведения пользователя наглядно просматривается на представленном рисунке. Пользователь работает на трех рабочих станциях, что не добавляет ему предсказуемости поведения.
Детерминированная составляющая поведения данного пользователя по рабочей станции 1 составляет 33,65%, а непредсказуемая составляющая его поведения, соответственно 66,35%. Детерминированная составляющая поведения по рабочей станции 2 составляет 66,5%, а непредсказуемая составляющая его поведения - 33,5%. Детерминированная составляющая поведения по станции 3 составляет 42,41%, а непредсказуемая составляющая его поведения - 57,59%.
Если сравнить полученные результаты и результаты предыдущего пользователя, то видно, что поведение пользователя ПОЛЬЗОВАТЕЛЬ_2 менее прогнозируемо, чем поведение пользователя ПОЛЬЗОВАТЕЛЬ_1, т.к. непредсказуемая составляющая поведения пользователя ПОЛЬЗОВАТЕЛЬ_2 на станциях 1 и 3 превосходит предсказуемую составляющую.
Следует ожидать, что система, состоящая, из пользователей типа ПОЛЬЗОВАТЕЛЬ_1 будет более безопасна и устойчива, чем система, состоящая из пользователей типа ПОЛЬЗОВАТЕЛЬ_2.
Наряду с детерминированной составляющей поведения пользователя, обязательно присутствует неопределенная (непредсказуемая) часть поведения, обусловленная тем, что его роль не полностью определена (возможны дополнительные поручения администрации, связанные с частичным выполнением других ролей), а так же возможна некоторая избыточная (обычно не используемая) составляющая ролей, связанная с проведением модификаций оборудования и программного обеспечения. Также, неопределенная составляющая несет в себе опасность того, что пользователь является нарушителем и предпринимает атаки на систему. Злоумышленник, используя неопределенную составляющую поведения законного пользователя, также может производить атаки на информационную систем.
Неопределенная (непредсказуемая) часть поведения системы (исполнителей) - это необходимая часть свободы системы, позволяющая ей отрабатывать изменяющиеся условия. Однако эта неопределенная часть поведения опасна при обычной ситуации и может быть использована для реализации атак на систему. Соответственно контролируя соотношение детерминированной и неопределенной составляющих поведения исполнителей и системы в целом, можно оценивать уровень информационной безопасности или уровень стабильности поведения системы.
В информационной системе пользователей можно разделить на 3 группы.
К 1 группе можно отнести пользователей, которые каждый день выполняют одну и туже работу, работают на одном и том же рабочем месте, выполняют однотипные операции и т.д. Это "хорошие" пользователи. Обычно они выполняют одну роль и их поведение легко угадать. Значения показателей в модели поведения таких пользователей отличаются обычно лишь по интенсивности выполнения. Детерминированная составляющая у таких пользователей находится на уровне 85-90%. Стоит отметить, что таких пользователей немного. Примером "хорошего" пользователя может служить пользователь ПОЛЬЗОВАТЕЛЬ_1.
Ко второй группе можно отнести пользователей, у которых несколько ролей. Каждая роль имеет свою детерминированную составляющую. Поведение таких пользователей отличается от поведения пользователей 1-ой группы лишь тем, что имеется больше ролей и из-за невозможности учесть все роли, детерминированная составляющая получается ниже, чем у пользователей 1-ой группы. Если учесть все выполняемые пользователем роли, то детерминированная составляющая возрастает до уровня "хорошего" пользователя. Такую группу пользователей назовем "среднестатистической" группой. Таких пользователей большинство.
К 3-й группе можно отнести пользователей, у которых очень много ролей и не всегда, а иногда и вообще невозможно просчитать все роли. Вполне возможно, что это вовсе не роли, а злоумышленное поведение. Таких пользователей не много. Это "плохие" пользователи. Детерминированная составляющая на каждую роль пропорциональна количеству ролей и повышением числа учитываемых ролей возрастает незначительно. Примером "плохого" пользователя может служить пользователь ПОЛЬЗОВАТЕЛЬ_2.
Отношение детерминированной составляющей по ролям для всех пользователей представлено на рисунке 3.

Рисунок 3.

Рисунок 3.

Вывод

Таким образом, уровень безопасности информационной системы тем выше, чем уже роли подавляющего большинства исполнителей с низким уровнем доверия к ним. При этом сужение ролей исполнителей с низким доверием к ним должно компенсироваться расширением ролей администраторов и повышением к ним доверия. Подобное перераспределение и закрепление ролей обусловлено тем, что проще найти одного человека с высоким к нему доверием, чем множество таких людей. Проще следить за одним человеком, чем за коллективом из множества людей, проще обеспечить высокий уровень оплаты одному администратору, чем всем исполнителям.
Примером сужения ролей и возможностей могут служить операторы ввода в банковских системах. Эти исполнители работают только в разрешенное время, выполняют только конкретные функции, используют только конкретные приложения, формируют однотипные данные с одинаковой структурой.
Заметим, что по мере сужения ролей исполнителей и закрепления за ними конкретных ресурсов их поведение становится все более и более простым и детерминированным (предсказуемым). Однако все это справедливо только в случаях неизменности целей системы (выполняемой ею главной функций) и неизменности распределения ролей исполнителей. Перераспределение ролей между исполнителями или смена функций системы приводят к росту неопределенности поведения ее элементов.