Авторефераты по всем темам >>
Авторефераты по разным специальностям
ТАДЖИКСКИЙ НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ
На правах рукописи
330.47:336.71(575.3)
Ашуров Хуршед Мирумарович
ЭКОНОМИКО-МАТЕМАТИЧЕСКИЕ МЕТОДЫ ОПТИМИЗАЦИИ ЗАТРАТ НА ЗАЩИТУ БАНКОВСКОЙ ИНФОРМАЦИИ
(НА ПРИМЕРЕ ТАДЖИКПРОМБАНКА)
Специальность 08.00.13 - Математические и инструментальные методы
экономики (экономические науки)
АВТОРЕФЕРАТ
диссертации на соискание ученой степени
кандидата экономических наук
Душанбе Ц 2012
Работа выполнена на кафедре Информационных и коммуникационных технологий Таджикского национального университета
Научный руководитель: - доктор технических наук, профессор
Мирзоахмедов Фахриддин
Научный консультант: - кандидат физико-математических наук
Ашуров Абдусамад
Официальные оппоненты: - доктор экономических наук, профессор
Раджабов Раджаб Кучакович
- кандидат экономических наук, доцент
Фатхуллоевой Хосият Хабибуллоевна
Ведущая организация - Технологический университет Таджикистана
Защита состоится л___ ______ 2012 г. в ___ часов на заседании Диссертационного совета КМ 737.015.01 по присуждению ученой степени кандидата экономических наук при Институте предпринимательства и сервиса Министерства энергетики и промышленности Республики Таджикистан по адресу: 734055, г. Душанбе, проспект Борбада 48/5.
С диссертацией можно ознакомиться в библиотеке Института предпринимательства и сервиса Министерства энергетики и промышленности Республики Таджикистан.
Объявление о защите диссертации и автореферат размещены на официальном сайте института www.dsx.tj и направлены для размещения в сети Интернет Министерства образования и науки Российской Федерации по адресу vak2.td.gov.ru л___ ____________2012 г.
Автореферат разослан л____ ___________2012г.
Ученый секретарь
диссертационного совета,
кандидат экономических наук А. Абдалимов
I. Общая характеристика работы
Актуальность исследования. Темпы развития глобализационных процессов предопределяют необходимость всеобщей информатизации общества. Банковская деятельность является одним из приоритетных направлений использования современных компьютерных технологий. Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений, связаны с использованием автоматизированных систем банка (АСБ). Развитие сети Интернет дает возможность несанкционированного доступа к ресурсам банка. Отсюда вытекает многократно возросшее значение разработки методов и механизмов информационной безопасности банков.
Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях, методы безопасности АСБ требуют постоянного обновления. Особенно актуальна данная проблема для банковской системы Республики Таджикистан.
Практика работы в развитых странах показывает, что программное обеспечение (ПО) разрабатывается конкретно под каждый банк и устройство АСБ во многом является коммерческой тайной.
В Республике Таджикистан получили распространение стандартные банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность стандартного ПО ниже из-за того, что разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а во-вторых, некоторые приобретаемые пакеты не удовлетворяют условиям безопасности.
Следовательно, при создании и модернизации АСБ, необходимо уделять внимание обеспечению ее безопасности, особенно с точки зрения разработки экономико-математических методов оптимизации затрат на защиту банковской информации. Решение этой проблемы, является сейчас, наиболее актуальной и имеет практическую направленность.
Степень разработанности проблемы. В современной научной литературе и трудах отечественных и зарубежных ученых решение проблемы защиты банковской информации (ЗБИ) и связанные с ней вопросы моделирования прогнозирования и оптимизации ожидаемых затрат, занимают одно из важных направлений исследования. Однако, следует отметить, что глубина и степень разработанности данных исследований не удовлетворяют реалиям постоянно меняющихся требований к банковской системе. Основной причиной является отсутствие единой методологии предотвращения несанкционированного доступа к АСБ.
На результаты диссертационного исследования повлияли такие научные труды зарубежных и отечественных авторов: Абрамова А.В., Артура Берга, Беляева А.В., Гайковича Ю.В, Галицкого А., Демина В.С., Конеева И.Р., Кремера Н.Ш., Першина А.С., Путко Б.А., Норткатт Стивена., Стивена Норткат., Столлингс Вильяма., Стюарта Мак-Клар., Комилова Ф.С., Мирзоахмедова Ф., Усмонова З.Дж., Юнуси М.К., и др.
Актуальность исследуемой проблемы, а также ее практическая значимость и востребованность рассматриваемых вопросов определили тему диссертации, цель и задачи.
Цель и задачи исследования. Целью диссертационной работы является научное обоснование и разработка экономико-математических и инструментальных методов прогнозирования и оптимизация ожидаемых затрат, связанных с ЗБИ.
Поставленная цель определила необходимость решения следующих задач:
- провести анализ и систематизацию угроз безопасности АСБ и выявить их влияние на деятельность банков;
- разработать методологические основы анализа угроз несанкционированного доступа к АСБ;
- разработать методы прогнозирования затрат необходимых для ЗБИ;
- разработать методы стохастической оптимизации ожидаемых затрат связанных с ЗБИ;
- оценить уровень защищенности АСБ и эффективность разработанных средств защиты;
- определить основные направления совершенствования системы ЗБИ и оценки риска вероятностей взлома банковской информации.
Объектом исследования диссертационной работы является АСБ в сетевом окружении и соответствующая ЗБИ, с целями, критериями эффективного функционирования и ограничениями, присущими особенностям функционирования банковской системы на данном уровне.
Предметом исследования являются математические и инструментальные модели и методы прогнозирования и оптимизация ожидаемых затрат, обеспечивающих ЗБИ в условиях АСБ.
Теоретической и методологической основой работы послужили фундаментальные и прикладные исследования по математическому моделированию, эконометрии защиты информации и ЗБИ, материалы опубликованные в периодических изданиях, законодательные и правовые акты Республики Таджикистан.
Достоверность научных выводов и практических рекомендаций основывается на теоретических и методологических положениях, сформулированных в исследованиях отечественных и зарубежных ученых и на анализе статистической информации.
Научная новизна диссертационной работы состоит в том что в ней, применительно к банковской информации в условиях АСБ, впервые исследованы вопросы построения моделей и соответствующих методов прогнозирования и оптимизация ожидаемых затрат необходимых для ЗБИ, заключающаяся в следующих положениях:
- обоснованы и уточнены теоретические аспекты функционирования банков в условиях АСБ с учетом влияния несанкционированного доступа к банковской информации;
- исследованы и уточнены методологические основы безопасности и ЗБИ, дана оценка современного состояния банков в условиях автоматизации, выявлены имеющие проблемы в их деятельности и предложены научно-обоснованные пути оптимизации ЗБИ;
- на основе регрессионного анализа, стохастического программирования и оценки вероятностей угроз, исследованы и разработаны методы моделирования, прогнозирования и оптимизации ожидаемых затрат на ЗБИ;
- предложена авторская классификация вероятностей отражения угроз безопасности ЗБИ, полученная экспертным методом, оценки которых позволяют уменьшить затраты на ЗБИ;
- обоснованы и определены основные направления совершенствования методов прогнозирования и оптимизации ожидаемых затрат связанных с ЗБИ.
Практическая значимость диссертационного исследования заключается в возможности использования полученных результатов компаниями, занимающихся разработкой и внедрением систем информационной безопасности в банках.
Предложенный в работе комплексный подход к оценке экономической эффективности ЗБИ, а также инвестиционная привлекательность вариантов ЗБИ, использованные при внедрении системы информационной безопасности в ЗАО Таджикпромбанк.
Апробация и внедрение результатов исследования. Основные научные положения и результаты диссертационного исследования докладывались на международных, республиканских и региональных научных, научно-практических и научно-методических конференциях. Отдельные результаты исследования опубликованы также в журналах, рекомендованных ВАК РФ.
Результаты исследования использованы в учебном процессе Таджикского национального университета при чтении лекций по дисциплинам Защита информации, Экономико-математические методы и модели, Криптография.
Публикации. По теме диссертации опубликовано 9 работ, в том числе 3 научных статей в изданиях, рекомендованных ВАК РФ, общим объемом 2,6 п.л. авт. 0,5 п.л.
Работа выполнена в соответствии со следующими разделами Паспорта ВАК РФ по специальности 08.00.13 - математические и инструментальные методы экономики:
1.1. Теория и методология экономико-математического моделирования, исследование его возможностей и диапазонов применения: теоретические и методологические вопросы отображения социально-экономических процессов и систем в виде математических, информационных и компьютерных моделей.
1.2. Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений.
Структура и объем работы. Диссертация состоит из введения, трех глав, заключения, списка использованной литературы и приложений. Работа изложена на 139 страницах компьютерного текста, содержит 13 таблиц, 9 рисунков. Список использованных источников включает 73 наименований.
II. Основное содержание работы
Во введении обоснована актуальность темы исследования, определены его цель и задачи, сформулирована научная новизна, разработанный методический инструментарий, обоснована теоретическая и практическая значимость результатов исследования.
В первой главе лМетодологические основы защиты сетевых автоматизированных систем банков - приводится концепция ЗБИ, дается анализ состояния АСБ, специфики угроз безопасности и рисков для банковских структур. В условиях рыночной экономики вопросы обеспечения защиты информации для автоматизированных систем банка (АСБ) становятся неотъемлемой частью деятельности банков. Уровень защищенности и эффективность средств защиты оценивается для защиты АСБ в сетях, топология которой условно представлена на рисунке 1. Такое представление сети отражает в себе корпоративную сеть банка, с несколькими филиалами и сотрудниками, работающими с возможностью удаленного подключения к сети.
Рис. 1. Компьютерная сеть банка
Для сети, представленной на рис. 1, защищаемая информация хранится как на локальных компьютерах пользователей по отделам, так и на файл-сервере. Причем, с этими данными, пользователи должны иметь возможность работать как в локальной сети, так и с другими филиала Банка.
АСБ является многофункциональной системой, которая обеспечивает:
- функционирование пользователей в едином информационном пространстве, обладающем свойствами полноты, достоверности, своевременности поступления и согласованности информации, выдаваемой пользователям на всех уровнях системы;
- возможность гарантированного и своевременного получения необходимой информации всеми пользователями системы в соответствии с их полномочиями;
- исключение дублирования и повторного ввода информации в различных подразделениях на всех уровнях управления;
- системный контроль соблюдения технологии работы.
Программно-технический комплекс АСБ состоит из следующих функциональных составляющих: серверной части; сети передачи данных (каналы связи); рабочих станций конечных пользователей.
Под безопасностью АСБ будем понимать ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов.
Угрозы безопасности АСБ согласно исследованию В.С. Дёмина можно классифицировать по следующим признакам: по цели реализации угрозы; по принципу воздействия на АСБ; по характеру воздействия на АСБ; по причине появления выявленной ошибки защиты; по способу воздействия на объект атаки (при активном воздействии; по способу воздействия на АСБ; по объекту атаки; по используемым средствам атаки; по состоянию объекта атаки).
Основные этапы построения системы защиты представлены на следующей схеме:
Механизмы обеспечения безопасности банковской информации основаны на следующих методах: криптографический анализ; электронная подпись; аутентификация и технические способы ЗБИ.
Во второй главе лМетоды прогнозирования и оптимизации затрат на защиту банковской информации рассматриваются экономико- математические модели и методы, связанные с разработкой ЗБИ. Процессы несанкционированного доступа к банковской информации развиваются во времени, поэтому особое место занимают вопросы прогнозирования объема будущих затрат для ЗБИ на базе временных рядов, построенных при анализе динамики затрат за предыдущие моменты времени.
Временным рядом затрат называем набор значений затрат на ЗБИ за n наблюдений, т.е. y1, y2,Е, yn или yt ,t=1, 2, Е, n. Степень тесноты связи между элементами последовательности наблюдений временного ряда с помощью выборочного коэффициента корреляции r.
При исследовании процессов временного ряда и выбора прогнозных моделей ЗБИ, были использованы следующие известные аддитивные и мультипликативные модели:
Yt= Tt + St + Et, t=1, 2, Е, n ; (1)
. (2)
где Tt - тренд динамического ряда (регулярная компонента), характеризующая общую тенденцию; St - периодическая (циклическая) сезонно-составляющая;
Et - случайная компонента, образующаяся под влиянием различных заранее неизвестных, несанкционированных доступов.
В работе рассмотрены частные модели динамического ряда:
Х модель тренда Yt=Tt+Et, (3)
Х модель сезонности Yt=St+Et. (4)
Для Et выполняются M(Et) =0, D(Et)=G2, M(Et , Et+1)=0. Коэффициент автокорреляции измеряет зависимость между объёмами затрат на ЗБИ соседними уровнями ряда и .
Последовательность коэффициентов автокорреляции уровней первого, второго и т. д. порядков называют автокорреляционной функцией временного ряда, а график зависимости ее значений от величины лага, называется коррелограммой.
Одним из наиболее распространенных способов моделирования тенденции временного ряда является построение аналитической функции, характеризующей зависимость уровней ряда от времени, или тренда. Этот способ называют аналитическим выравниванием временного ряда.
Поскольку зависимость от времени может принимать разные формы, для ее формализации можно использовать различные виды функций.
Для построения трендов, чаще всего, применяются следующие функции: линейный тренд; гипербола; экспоненциальный тренд; тренд в форме степенной функции; парабола второго и более высоких порядков.
Параметры каждого из перечисленных выше трендов можно определить обычным методом наименьших квадратов (МНК), используя в качестве независимой переменной время t, а в качестве зависимой переменной фактические уровни временного ряда yt .
Выбор наилучшего уравнения (в случае, если ряд содержит нелинейную тенденцию) можно осуществить путем перебора основных форм тренда, расчета по каждому уравнению скорректированного коэффициента детерминации R2 и выбора уравнения тренда с максимальным значением скорректированного коэффициента детерминации.
Существует несколько способов определения типа тенденции. К числу наиболее распространенных способов относятся качественный анализ изучаемого процесса, построение и визуальный анализ графика зависимости уровней ряда от времени, расчет некоторых основных показателей динамики. В этих же целях, можно использовать и коэффициенты автокорреляции уровней ряда. Тип тенденции можно определить путем сравнения коэффициентов автокорреляции первого порядка, рассчитанных по исходным и преобразованным уровням ряда. Если временной ряд имеет линейную тенденцию, то его соседние уровни уt и уt-1 тесно коррелируют. В этом случае коэффициент автокорреляции первого порядка уровней исходного ряда должен быть высоким. Если временной ряд содержит нелинейную тенденцию, например, в форме экспоненты, то коэффициент автокорреляции первого порядка по логарифмам уровней исходного ряда будет выше, чем соответствующий коэффициент, рассчитанный по уровням ряда. Чем сильнее выражена нелинейная тенденция в изучаемом временном ряде, тем в большей степени будут различаться значения указанных коэффициентов.
Выбор наилучшего уравнения в случае, если ряд содержит нелинейную тенденцию, можно осуществить путем перебора основных форм тренда, расчета по каждому уравнению скорректированного коэффициента детерминации R2 и выбора уравнения тренда с максимальным значением скорректированного коэффициента детерминации. Этот метод легко реализуется при компьютерной обработке данных.
Обеспечение ЗБИ на некотором периоде времени требует оптимального объема денежных средств. Для математической постановки задачи введем следующие обозначения: m- количество видов угроз; RЦсуммарный объем денежных средств; riЦ предельная сумма затрат необходимых для ЗБИ при наступлении i-й угрозы; - искомый объем денежных средств, необходимых для ЗБИ при наступлении i-й угрозы; iЦспрос в денежных средствах для обеспечения ЗБИ при наступлении i-й угрозы-случайная величина; iЦудельные затраты, связанные с профицитом средств при наступлении i-й угрозы (этот коэффициент соизмерим с уровнем инфляции и измеряется в процентах); iЦудельные потери, связанные с дефицитом средств при наступлении i-й угрозы (этот коэффициент соизмерим с привлечением средств займа и измеряется в процентах).
Задача состоит в определении x=(,Е) денежных средств для ЗБИ, минимизирующих ожидаемые средние затраты, связанные с профицитом и дефицитом этих средств т.е.:
(5)
при ограничениях
, (6)
. (7)
Здесь-оператор математического ожидания относительно некоторого вероятностного пространства (,,P), где ∈-множество элементарных событий =(,Е), - -алгебра на этом пространстве, Р-вероятностная мера; - функция совместного распределения элементарных событий ;
(8)
В дальнейшем функцию определенную согласно (5) называем функцией риска или функцией цели (она обычно считается выпуклой, но не гладкой). С помощью числовых значений этой функции можно определить качество принимаемого решения.
Модель (5)-(8) представляет собой задачу стохастической оптимизации или стохастического программирования.
Исходя из особенности задач стохастической оптимизации, методы их решения обычно делятся на две группы: прямые и непрямые.
Непрямые методы требуют, что в задаче (5)-(8) целевая функция F(x) была выпуклая, f(x,)- дифференцируемая, почти при любом . Необходимым и достаточным условием того, чтобы точка x* была решением такой задачи, будет
Fx (x*) = Mfx(x*,) = 0, (9)
гдe Fx(x*) - градиент фyнкции F(x) в тoчкe x*, fx(x*,) - градиент фyнкции f(x,) по x в тoчкe (x*,).
В случае, когда известна функция распределения случайного параметра , система (9) может быть решена известными аналитическими методами.
Указанный подход, как правило, используется для решения задач малой размерности и в том случае, когда необходимо отыскать безусловный минимум функции F(x). Его применение для решения задачи (5)-(8) сталкивается со следующими трудностями: не во всех прикладных задачах возможно точное построение функции ; целевая функция (5) в общем случае негладкая; вычисление функции риска Mf(x,) связано, с вычислением n-кратного интеграла. Указанные трудности сужают область применения данного подхода и требуют разработки специальных стохастических методов.
Прямые методы (алгоритмы) решения стохастической оптимизации (5)-(8) оперируется на значениях частных затрат f(x,), которые принципиально не изменяются с изменением закона распределения случайных величин ; не требуют знания этих законов в явном виде, а значит, они применимы к решению сложных задач, в которых случайность задается только имитационной моделью; сравнительно просты для численной реализации на ЭВМ; позволяют проводить вычисления в режиме диалога и учитывать специфику решаемой задачи.
Наиболее распространёнными прямыми методами стохастической оптимизации (с точки зрения практического применения) являются методы стохастических квазиградиентов с проектированием и стохастической линеаризации.
Применительно к задаче вида (5)-(8) эти методы представляют собой следующий алгоритм построения последовательности {xs} пpиближeния к oптимaльнoмy peшeнию зaдaчи x.
Алгоритм. Пусть нa s-м шaгe (итepaции) пoлyчeнo пpиближeниe xs,s=0,1,..., (x0Цзaдaннoe пpoизвoльнoe нaчaльнoe пpиближeниe). Toгдa:
1. B cooтвeтcтвии c aпpиopным pacпpeдeлeниeм φ() пoлyчaeм нaблюдeниe s нaд peaлизaциeй cлyчaйнoй вeличины . Здecь s -нeзaвиcимoe нaблюдeниe нaд вeличинoй -мoжeт быть пoлyчeнo в peзyльтaтe мaшиннoгo экcпepимeнтa (имитaциoннoй мoдeли) либo в кaчecтвe s мoжeт быть взят s-й элeмeнт из нaбopa cтaтиcтичecкиx нaблюдeний (дaнныx) oтнocитeльнo вeличин в paзличныe пepиoды (гoды, мecяцы, дeкaды и т. п.).
2. Вычисляем вектор cтoxacтичecкого квaзигpaдиeнта фyнкции f(x,) cлeдyющим oбpaзoм:
ξs=(xs,s), s= 0, 1, Е, (10)
гдe(xs,s) - oбoбщeнный градиент фyнкции f(x,) в тoчкe (xs,s). В случае отсутствия аналитического вида под интегральной функцией f(x,), можно использовать конечно-разностные и случайно-поисковые аналоги вектора ξs.
3. Hoвoe приближение определяем согласно методу стохастических квазиградиентов с проектированием по рекуррентному правилу:
xs+1= х(xs- ρsξs),s=0,1,Е, (11)
Здесь s - величина шага на s-ой итерации; -начальное приближение; -приближение на s-ой итерации; х(ys)-oпepaция пpoeктиpoвaния тoчки ys= xs - sξs нa мнoжecтвo X ocyщecтвляeтcя coглacно решению следующей подзадачи
х(ys)=argmin{/x∈X}. (12)
Важной особенностью этих просто и легко реализуемых на ЭВМ методов является тот факт, что направление спуска в них строится на основе случайного вектора-стохастического квазиградиента ξs, который является несмещенной оценкой обобщенного градиента функции F(x). Другими словами, условное математическое ожидание . Доказана сходимость (10)-(12), а также исследован выбор их соответствующих параметров.
Baжнoй ocoбeннocтью, этих пpocто и eгко peaлизyeмыx на ЭBM алгоритмов является тот факт, что нaпpaвлeниe cпycкa в них cтpoитcя на основе вeктopa-гpaдиeнтa.
В связи с тем, что последовательность определенная согласно (8), является случайной, в ходе реализации метода (10)-(12) на ЭВМ мы получаем фактически лишь одно наблюдение над реализацией случайной последовательности и отсюда наиболее подходящей будет сходимость с вероятностью 1 к решению задачи (5)-(8).
Теперь рассмотрим ЗБИ с точки зрения риска. Исходные параметры для задачи проектирования ЗБИ проиллюстрированы на рис. 2. Заметим, что использование теории рисков для оценки уровня защищенности на сегодняшний день является наиболее часто используемым на практике подходом.
Рисунок. 2. Критерии оценки защищенности
Риск (R) - это потенциальные потери от угроз защищенности:
R(p) = Синф*Рвзл.
С другой стороны, риск можно рассматривать как потери в единицу времени:
R()=Синф* ,
где - интенсивность потока взломов.
Эти две формулы связаны следующим соотношением:
где - общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками.
В качестве основного критерия защищенности будем использовать коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.
, (13)
где RЦ риск в защищенной системе; Rнез - риск в незащищенной системе.
В третьей главе Численная реализация и анализ оценки средств защиты банковской информации рассматриваются вопросы обеспечения защиты банковской информации в сетях; прогнозирование затрат на защиту банковской информации основанными динамическими рядами; численные методы минимизации ожидаемых затрат на защиту банковской информации и оценка уровня защищенности банковской информации и эффективности выбранных средств защиты.
Обеспеченность уровня защищаемости информации определяется политикой обеспечения безопасности, который включает несколько элементов, в том числе следующие: оценка риска; ответственность; правила использования сетевых ресурсов; юридические аспекты; процедуры по восстановлению системы защиты; аппаратные средства; программное обеспечение.
Прогноз затрат на защиту банковской информации обычно строится на основе динамических рядов с помощью методов автокорреляции изложенной в п.2.1. В табл.1. где размещен временной ряд на базе затрат Таджикпромбанка для ЗБИ осуществленные в течение 4-х лет.
Таблица 1.
Временной ряд затрат Таджикпромбанка на ЗБИ
Год | 2008 | 2009 | 2010 | 2011 |
Квартал | I-IV | I-IV | I-IV | I-IV |
1-4 | 5-8 | 9-12 | 13-16 | |
Количество затрат (тысяча сомони), | 375 371 869 1015 | 357 471 992 1020 | 390 355 992 905 | 461 454 920 927 |
На рис 3. представлено поле корреляции с привлечением пакета MS EXCEL
Рис. 3. Поле корреляции
График показывает, что значения образуют пилообразную фигуру. Рассчитав несколько последовательных коэффициентов автокорреляции, в результате определим экспериментальное уравнение тренда:
.
Согласно полученному уравнению в первые два квартала 2012г. следует ожидать затраты на ЗБИ порядка 409 тысяч сомон и 436 тысяч сомон соответственно следующего квартала.
Рассмотрим численный метод минимизации ожидаемых затрат на защиту банковской информации согласно теоретическим предпосылкам. Для проверки применимости предложенных алгоритмов, параметры модели (5)-(8) были выбраны следующим образом: iЦслучайные величины, равномерно распределенные интервале [li, qi], i = 1, ..., 5; векторы l = (ll, ..., l5)= (0, 0, 0, 0), q=(q1,...,q5)=(60,15,17,90,40); =(1,...,5)=(1, 0, 3, 1, 2); = (1, ..., 5)= (3,4,1,2,3);
Предполагалось, что в начальном периоде инвестирования на защиту информации не делалось, т.е. х0 = (0; 0; 0; 0; 0).
Рисунок 4. График функций частных и ожидаемых затрат выведенных через каждые 10 итераций.
Оптимальный уровень денежных средств на ЗБИ, по каждому виду взлома соответствует
x*=(41,24893; 7,00000; 2,22827; 42,2829; 20,4793),
соответственно, ожидаемые минимальные затраты составляет F(x*)=103,8945 тысяча сомон.
По процессу стохастической оптимизации, изображённой на рис. 4., можно судить, что по мере увеличения денежных средств на ЗБИ минимизируются ожидаемые затраты.
Теперь рассмотрим оценку уровня защищенности банковской информации и эффективности выбранных средств защиты. В первую очередь нам нужно оценить информационные угрозы, вероятности их отражения ЗБИ, а также величину потерь в результате реализации угроз.
При этом все каталоги структурированы следующим образом:
- угрозы по классам: форс-мажорные обстоятельства; недостатки организационных мер; ошибки человека; технические неисправности; преднамеренные действия;
- контрмеры по классам: улучшение инфраструктуры; административные контрмеры; процедурные контрмеры; программно-технические контрмеры; уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.
Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности.
Для оценки вероятности отражения угроз каждым из средств защиты использовался метод экспертной оценки. В качестве экспертов могут выступить опытные сотрудники банков и преподаватели предмета банковской информационной технологии. Результат экспертной оценки вероятностей отражения угроз ЗБИ приведены в табл. 2.
В данном случае была произведена оценка защищенности уже существующей реальной системы с необходимым набором средств защиты. В практике чаще возникают ситуации, когда необходимо выбрать из набора средств только те, которые в большей степени соответствуют нуждам банка, в данном случае обеспечивают наибольший уровень защиты, при этом, система, должна иметь минимальную стоимость и оказывать минимальное воздействие на производительность всей системы в целом.
Оценим уровень защищенности при использовании следующих средств защиты: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты. Оценка приведена в табл. 3. В этом случае уровень защищенности (10) будет следующим D = 0.760958*100% = 76 %. Стоимость такого решения составит порядка 20000 сомон.
В качестве альтернативного набора средств будем использовать МЭ, VPN-шлюз, и систему IDS (табл. 4). Для такой системы уровень защиты (10) будет равняться D = 0.697539*100% = 69 %. Стоимость второго решения будет составлять 35000 - 40000 сомон.
Стоит отметить, что снижение производительности, оказываемое системой защиты БАНКА, находится в пределах допустимых 10 процентов. В нашем случае уровень производительности системы задается каналом доступа в сеть интернет. Для подключения к сети интернет вполне достаточной для нашей модели БАНКА является скорость 10мбит/с. Все средства, используемые для защиты, работают со скоростью значительно превышающей 10мбит/с и, таким образом, оказывают минимальное влияние на производительность системы.
Из проведенного анализа, можно выделить как более эффективный, первый набор ЗБИ, так как он обеспечивает больший уровень защищенности и при этом требует меньших капиталовложений. С помощью этой методики мы определили, что для данного примера Банка наиболее оптимальным решением по защите будет являться набор средств состоящий из: МЭ, VPN-шлюза, антивирусного сервера и сервера обновлений ПО. Если при анализе будет использоваться значительно большее количество вариантов ЗБИ, то для выбора наиболее эффективного, может использоваться метод последовательных уступок, который был описан в предыдущем разделе.
Таблица 2.
Таблица вероятностей отражения угроз безопасности ЗБИ, полученная экспертным методом оценки. 1D = 0.903932*100% = 90 %.
Вероятность отражения угрозы с учетом средств защиты | Общая вероятность | Ci | Ci*(1-pi) | ||||||
Вид уязвимости | Средство защиты | Межсетевой экран/NAT | VPN шлюз | Сервер обновлений | IDS | Антивирус | Ущерб, у.е. | ||
Троянские кони | 0,95 | 0,95 | 30000 | 1500 | |||||
Вирусы | 0,90 | 0,9 | 10000 | 1000 | |||||
DoS | 0,80 | 0,99 | 0,99 | 0,99998 | 5000 | 0,1 | |||
DDoS | 0,60 | 0,80 | 0,95 | 0,996 | 5000 | 20 | |||
Макро вирусы | 0,60 | 0,6 | 30000 | 12000 | |||||
Уязвимости ПО или ошибки | 0,90 | 0,9 | 25000 | 2500 | |||||
IP Spoofing | 0,70 | 0,99 | 0,93 | 0,99979 | 20000 | 4,2 | |||
DNS Spoofing | 0,90 | 0,9 | 25000 | 2500 | |||||
WEB Spoofing | 0,50 | 0,5 | 10000 | 5000 | |||||
Захват сетевых подключений | 0,50 | 0,99 | 0,90 | 0,9995 | 25000 | 12,5 | |||
Различные виды сканирования сети | 0,60 | 0,90 | 0,96 | 5000 | 200 | ||||
Недоступность данных | 0,85 | 0,85 | 5000 | 750 | |||||
Нарушение конфиденциальности данных | 0,95 | 0,30 | 0,965 | 45000 | 1575 | ||||
Некорректные параметры заголовков пакетов и запросов | 0,7 | 0,5 | 0,8 | 0,97 | 9000 | 270 | |||
Автоматический подбор паролей (login) | 0,75 | 0,9 | 0,975 | 35000 | 875 | ||||
Атаки на протоколы | 0,5 | 0,8 | 0,875 | 10000 | 1250 | ||||
Неэффективный мониторинг событий безопасности в банке | 0,3 | 0,7 | 0,79 | 25000 | 5250 | ||||
Монополизация канала | 0,6 | 0,9 | 0,96 | 4000 | 160 | ||||
Неавторизованное использование прав(маскарадинг) | 0,3 | 0,9 | 0,93 | 30000 | 2100 | ||||
Манипуляция данных и ПО | 0,5 | 0,6 | 0,3 | 0,6 | 0,944 | 25000 | 1400 | ||
Неконтролируемое использование ресурсов | 0,5 | 0,6 | 0,3 | 0,8 | 0,6 | 0,9888 | 30000 | 336 | |
Потеря конфиденциальности важных данных в UNIX системах | 0,7 | 0,8 | 0,5 | 0,97 | 31000 | 930 | |||
Неавторизованное использование ИТ системы | 0,6 | 0,7 | 0,3 | 0,8 | 0,66 | 0,99429 | 40000 | 228,48 | |
Прослушивание сети | 0,9 | 0,9 | 40000 | 4000 | |||||
Злоупотребление правами пользователей и администраторов | 0,1 | 0,1 | 0,19 | 10000 | 8100 | ||||
Вредоносное ПО:spyware, adware | 0,5 | 0,95 | 0,975 | 38000 | 950 | ||||
Переполнение буфера | 0,8 | 0,8 | 15000 | 3000 | |||||
582000 | 55911,28 | ||||||||
Уровень защищенности | 0,90393251 | ||||||||
Таблица 3.
Таблица вероятностей отражения угроз ЗБИ состоящей из 4 компонентов: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты.
Вероятность отражения угрозы с учетом средств защиты | Общая вероятность | Ci | Ci*(1-Pi) | |||||||
Вид уязви-мости | Средство защиты | Межсетевой экран/NAТ | VPN шлюз | Сервер обновлений | IDS | Антивирус | Ущерб, у.е. | |||
Троянские кони | 0,95 | 0,95 | 30000 | 1500 | ||||||
Вирусы | 0,90 | 0,9 | 10000 | 1000 | ||||||
DoS | 0,80 | 0,99 | 0,998 | 5000 | 10 | |||||
DDoS | 0,60 | 0,80 | 0,92 | 5000 | 400 | |||||
Макро вирусы | 0,60 | 0,6 | 30000 | 12000 | ||||||
Уязвимости ПО или ошибки | 0,90 | 0,9 | 25000 | 2500 | ||||||
IP Spoofing | 0,70 | 0,99 | 0,997 | 20000 | 60 | |||||
DNS Spoofing | 0 | 25000 | 25000 | |||||||
WEB Spoofing | 0 | 10000 | 10000 | |||||||
Захват сетевых подключений | 0,50 | 0,99 | 0,995 | 25000 | 125 | |||||
Различные виды сканирования сети | 0,60 | 0,6 | 5000 | 2000 | ||||||
Недоступность данных | 0 | 5000 | 5000 | |||||||
Нарушение конфиденциальности данных | 0,95 | 0,30 | 0,965 | 45000 | 1575 | |||||
Некорректные параметры заголовков пакетов и запросов | 0,7 | 0,5 | 0,85 | 9000 | 1350 | |||||
Автоматический подбор паролей (login) | 0,75 | 0,75 | 35000 | 8750 | ||||||
Атаки на протоколы | 0,5 | 0,5 | 10000 | 5000 | ||||||
Неэффективный мониторинг событий безопасности в | 0,3 | 0,3 | 25000 | 17500 | ||||||
Монополизация канала | 0,6 | 0,6 | 4000 | 1600 | ||||||
Неавторизованное использование прав | 0,3 | 0,3 | 30000 | 21000 | ||||||
Манипуляция данных и ПО | 0,5 | 0,6 | 0,6 | 0,92 | 25000 | 2000 | ||||
Неконтролируемое использование ресурсов | 0,5 | 0,6 | 0,3 | 0,6 | 0,944 | 30000 | 1680 | |||
Потеря конфиденциальности важных данных в UNIX системах | 0,7 | 0,8 | 0,5 | 0,97 | 31000 | 930 | ||||
Неавторизованное использование ИТ системы | 0,6 | 0,7 | 0,3 | 0,66 | 0,97144 | 40000 | 1142,4 | |||
Прослушивание сети | 0,9 | 0,9 | 40000 | 4000 | ||||||
Злоупотребление правами пользователей и администраторов | 0,1 | 0,1 | 0,19 | 10000 | 8100 | |||||
Вредоносное ПО:spyware, adware | 0,95 | 0,95 | 38000 | 1900 | ||||||
Переполнение буфера | 0,8 | 0,8 | 15000 | 3000 | ||||||
582000 | 139122,4 | |||||||||
Уровень защищенности | 0,76095808 | |||||||||
Таблица 4.
Таблица вероятностей отражения угроз ЗБИ состоящей из 3 компонентов: МЭ, VPN-шлюз, система IDS.
Вероятность отражения угрозы с учетом средств защиты | Общая вероятность | Ci | Ci*(1-Рi) | ||||||
Вид уязвимости | Средство защиты | Межсетевой экран/NAT | VPN шлюз | Сервер обновлений | IDS | Антивирус | Ущерб, у.е. | ||
Троянские кони | 0 | 30000 | 30000 | ||||||
Вирусы | 0 | 10000 | 10000 | ||||||
DoS | 0,80 | 0,99 | 0,99 | 0,99 | 5000 | 0,1 | |||
DDoS | 0,60 | 0,80 | 0,95 | 0,996 | 5000 | 20 | |||
Макро вирусы | 0 | 30000 | 30000 | ||||||
Уязвимости ПО или ошибки | 0 | 25000 | 25000 | ||||||
IP Spoofing | 0,70 | 0,99 | 0,93 | 0,9979 | 20000 | 4,2 | |||
DNS Spoofing | 0,90 | 0,9 | 25000 | 2500 | |||||
WEB Spoofing | 0,50 | 0,5 | 10000 | 5000 | |||||
Захват сетевых подключений | 0,50 | 0,99 | 0,90 | 0,9995 | 25000 | 12,5 | |||
Различные виды сканирования сети | 0,60 | 0,90 | 0,96 | 5000 | 200 | ||||
Недоступность данных | 0,85 | 0,85 | 5000 | 750 | |||||
Нарушение конфиденциальности данных | 0,95 | 0,95 | 45000 | 2250 | |||||
Некорректные параметры заголовков пакетов и запросов | 0,7 | 0,8 | 0,94 | 9000 | 540 | ||||
Автоматический подбор паролей (login) | 0,75 | 0,9 | 0,975 | 35000 | 875 | ||||
Атаки на протоколы | 0,8 | 0,75 | 10000 | 2500 | |||||
Неэффективный мониторинг событий безопасности в БАНКА | 0,3 | 0,7 | 0,79 | 25000 | 5250 | ||||
Монополизация канала | 0,6 | 0,9 | 0,96 | 4000 | 160 | ||||
Неавторизованное использование прав | 0,3 | 0,9 | 0,93 | 30000 | 2100 | ||||
Манипуляция данных и ПО | 0,5 | 0,3 | 0,65 | 25000 | 8750 | ||||
Неконтролируемое использование ресурсов | 0,5 | 0,6 | 0,8 | 0,96 | 30000 | 1200 | |||
Потеря конфиденциальности важных данных в UNIX системах | 0,7 | 0,8 | 0,94 | 31000 | 1860 | ||||
Неавторизованное использование ИТ системы | 0,6 | 0,7 | 0,8 | 0,976 | 40000 | 960 | |||
Прослушивание сети | 0,9 | 0,9 | 40000 | 4000 | |||||
Злоупотребление правами пользователей | 0,1 | 0,1 | 0,19 | 10000 | 8100 | ||||
Вредоносное ПО : spyware, adware | 0,5 | 0,5 | 38000 | 19000 | |||||
Переполнение буфера | 0 | 15000 | 15000 | ||||||
582000 | 176031,8 | ||||||||
Уровень защищенности | 0,697539863 | ||||||||
III. ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ
Приведенные в диссертационной работе результаты исследования, позволяют сформулировать следующие основные результаты и выводы.
Проблема ЗБИ в настоящее время, является одной из центральных в теории и практике ведения банковской деятельности в условиях рыночной экономики. Рост масштабов и усложнение деятельности банков, в условиях АСБ, потребовали разработку моделей и методов поддержки принятия решений по уровню ЗБИ в деятельность банковского сектора, и представляют собой весьма существенное средство повышения эффективности управления, способное обеспечить реализацию принятой банковской стратегии развития.
В рамках диссертационного исследования. в соответствии с темой диссертации, был произведен теоретический обзор существующих методологических подходов в реализации задач принятия решений по ЗБИ с целью выявления основных проблем применения их на практике, и определения эффективности их использования при функционировании банка в условиях АСБ.
Проведен анализ процесса несанкционированного доступа к банковской информации в условиях АСБ и связанных с ним рисков в деятельности банков. На основе анализа были предложены методы прогнозирования и оптимизации затрат на ЗБИ, а также методы оценки вероятностей угроз и выбор оптимального варианта защиты от несанкционированного доступа.
В результате проведенного диссертационного исследования получены следующие результаты.
Была представлена авторская трактовка ЗБИ как стоимостного выражения вероятностного события, ведущего к финансовым потерям в результате деятельности банка в условиях АСБ, реализация которого обоснована наличием неопределенности, связанных с несанкционированным доступом.
1. В отличие от коммерческих систем, для обработки банковской информации, выделяются:
- информация в банковских системах представляет собой живые деньги, которые можно получить, передать, истратить, вложить и т.д.;
- информация затрагивает интересы большого количества организаций и отдельных лиц.
2. Проблема создания, накопления, обработки, хранения, обмена (распространения) и защиты банковской информации в условиях АСБ является актуальной.
3. Выполнен сравнительный анализ существующих подходов к организации ЗБИ с монопольным доступом в условиях АСБ.
4. Экономико-математические методы обеспечения ЗБИ с учетом минимизации затрат, являются сравнительно малоизученными по сравнению с использованием криптографических и технических средств.
5. На основе анализа существующих методов, предложена методология, позволяющая повысить уровень ЗБИ в условиях АСБ.
6. Разработаны экономико-математические модели и методы минимизации затрат на ЗБИ, предназначенные для:
- прогнозирования затрат на защиту банковской информации, основанных на динамических рядах;
- использования численных методов стохастического программирования для минимизации ожидаемых затрат;
- разработки методов оценки вероятностей угроз и выбора оптимального варианта защиты.
7. Для реализации предложенных моделей и методов ЗБИ:
- использован пакет MS Excel для прогнозирования затрат на основе динамических рядов затрат;
- созданы программы на языке VBasic для численного решения задачи минимизации ожидаемых затрат.
8. С помощью разработанных моделей и предложенных алгоритмов на базе созданных компьютерных программ, и реальных данных, проведены расчеты по ЗБИ, которые доказали несомненную применимость.
IV. Основное содержание диссертационной работы отражено в следующих публикациях (курсивом даны публикации в изданиях, рекомендованных ВАК):
- Ашуров Х.М. Некоторые проблемы информационной безопасности в банковских структурах //Вестник Таджикского национального университета.-2008.- № С.68-73( 0,25 п.л.)
- Ашуров Х.М. Разработка оптимальной стратегии достижения эффективного функционирования системы обеспечения безопасности коммерческого банка. //Вестник Российско-Таджикского (Славянского) университета, №2 (32) Выпуск - 2., 2011.-С.23-27. (в соавторстве -0,25 п.л.), (лично автора 0,1п.л.).
- Ашуров Х.М. Критерии оценки защищенности информационной системы с помощью рисков //Вестник Таджикского технического университета, №2.- Душанбе.- 2012.-С.25-30. (лично автора 0,5п.л).
- Ашуров Х.М. Защита конфиденциальной информации субъектов государственного социального страхования. /Материалы научно-теоретической конференции профессорско-преподавательского состава и студентов, посвященной л15-й годовщине Независимости Республики Таджикистан.- Душанбе: 2006. часть 1.-С.10-11. (в соавторстве 0,2п.л.), (лично автора 0,1п.л.).
- Ашуров Х.М. Концептуальные вопросы построения системы информационной безопасности в банках. //Депонирование рукописи. Национальный патентно-информационный центр РТ. №11(1768а) от 12 декабря.- 2007. (в соавторстве 0,5п.л.), (лично автора 0,2п.л).
- Ашуров Х.М. Имитационное моделирование информационной безопасности банковских структур. /Материалы научно - практической конференции посвящённой л60-летию ТГНУ,- Душанбе.- 2008.-С.46-49. (в соавторстве 0,2п.л.), (лично автора 0,1п.л.).
- Ашуров Х.М. Вредоносные программы в системе информационной безопасности. /Материалы международной конференции Повышение качества образования на основе использования информационных и коммуникационных технологий.- Душанбе.- 2008.-С.63-70. (лично автора 0,1п.л).
- Ашуров Х.М. Оценка затрат на информационную безопасность с применением теории графов. /Материалы научно-теоретической конференции профессорско-преподавательского состава и студентов ТНУ.- Душанбе: 2008.-С.11. (лично автора 0,2.п.л.).
- Ашуров Х.М. Основные направления совершенствования системы информационной безопасности в ТАКПБРР Таджикпромбанка. /Материалы международной конференции Глобализация и проблемы информационной безопасности. Национальные и региональные аспекты.-Душанбе.-2009 (29-30 сентября) С.68-74. (лично автора 0,2п.л.).
Сдано в набор 9.04.2012
Разрешено в печать 4.04.2012
Формат 60х84 1/16. Тираж 100 экз. №53
Отпечатано в типографии Сохибкор Института
предпринимательства и сервиса Министерства
энергетики и промышленности Республики Таджикистан
г. Душанбе, пр. Борбад, 48/5
Авторефераты по всем темам >>
Авторефераты по разным специальностям