Preview

Вестник Дагестанского государственного технического университета. Технические науки

Расширенный поиск

Оптимизационные задачи, связанные с количественной оценкой уровня защищенности, на основе анализа уязвимостей автоматизированных систем

https://doi.org/10.21822/2073-6185-2026-53-1-64-72

Аннотация

Цель. В статье решается проблема количественной оценки уровня защищённости автоматизированных систем органов внутренних дел в условиях постоянного роста числа выявляемых уязвимостей и ограниченности ресурсов, затрачиваемых на их устранение. Проведён анализ существующих подходов к оценке защищённости информационных систем, показаны их ограничения, связанные с отсутствием формализованного учёта ресурсных ограничений и взаимосвязей между уязвимостями.

Метод. В качестве метода решения поставленной задачи предложен математический аппарат, основанный на совокупности оптимизационных моделей. Рассмотрены три задачи: минимизация вероятности эксплуатации уязвимостей системы путём подбора оптимальных элементов АС ОВД; выбор наиболее уязвимых элементов для приоритетной проверки; выбор комплекта средств устранения уязвимостей с учётом их стоимости и допустимой ошибки. Для формализации применены методы динамического программирования и оптимизации.

Результат. Результаты вычислительного эксперимента на модельных данных демонстрируют эффективность предложенного подхода, позволяющего переходить от «жадных» алгоритмов устранения уязвимостей к оптимальным стратегиям обеспечения защищённости. Совместное решение оптимизационных задач обеспечивает более рациональное распределение ресурсов и снижение вероятности уязвимостей при ограничениях по времени и стоимости.

Вывод. Разработанные метод и модели могут быть положены в основу практических механизмов управления защищённостью АС ОВД. Применение предложенного подхода открывает перспективу интеграции количественных методов в процессы оценки и повышения уровня защищённости автоматизированных систем правоохранительных органов.

Об авторах

А. О. Ефимов
Воронежский институт МВД России
Россия

Ефимов Алексей Олегович, преподаватель кафедры автоматизированных информационных систем органов внутренних дел,

394065, г. Воронеж, пр. Патриотов, 53



Е. А. Рогозин
Воронежский институт МВД России
Россия

Рогозин Евгений Алексеевич, доктор технических наук, профессор, профессор кафедры автоматизированных информационных систем органов внутренних дел,

394065, г. Воронеж, пр. Патриотов, 53



Список литературы

1. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения // Вопросы кибербезопасности. – 2014. – № 3(4). – С. 20–28. – EDN SSYPXV.

2. Бокова О.И., Дровникова И.Г., Етепнев А.С. [и др.] Методики оценивания надежности систем защиты информации от несанкционированного доступа в автоматизированных системах//Труды СПИИРАН. – 2019. – Т. 18, № 6. – С. 1301–1332. DOI 10.15622/sp.2019.18.6.1301-1332. – EDN YBHXOB.

3. ГОСТ Р 53114-2008. Информационная технология. Защита информации. Основные термины и определения. – Введ. 2009-01-01. – М.: Стандартинформ, 2009. – 14 с.

4. ГОСТ Р 56546-2015. Информационная безопасность. Защита информации. Показатели защищённости информационных систем. – Введ. 2016-01-01. – М.: Стандартинформ, 2016. – 12 с.

5. ГОСТ Р 58142-2018. Информационная безопасность. Методы и средства защиты информации. Общие положения. – Введ. 2018-12-01. – М.: Стандартинформ, 2018. – 24 с.

6. Дойникова Е.В., Чечулин А.А., Котенко И.В. Оценка защищенности компьютерных сетей на основе метрик CVSS // Информационно-управляющие системы. – 2017. – № 6(91). – С. 76–87. – DOI 10.15217/issn1684-8853.2017.6.76. – EDN ZXWUWH.

7. Дровникова И.Г., Етепнев А.С., Рогозин Е.А. Основные виды уязвимостей и взаимосвязь компонентов безопасности при обосновании показателей надёжности системы защиты информации от несанкционированного доступа в автоматизированных системах // Приборы и системы. Управление, контроль, диагностика. – 2019. – № 3. – С. 59–64. – EDN VWGOHY.

8. Ефимов А.О., Лившиц И.И., Мещерякова Т.В., Рогозин Е.А. Концептуальные основы оценки уровня защищенности автоматизированных систем на основе их уязвимости // Безопасность информационных технологий. – 2023. – Т. 30, № 2. – С. 63–79. DOI 10.26583/bit.2023.2.04. – EDN LGPQZP.

9. Коноваленко С.А., Королев И.Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей//Альманах современной науки и образования. – 2016. – № 11(113). – С. 60–66. – EDN XEEDXH.

10. Кравченко, А.С. Аппаратно-программные средства и информационные процессы защиты систем предоставления пользователям доступа к программным ресурсам/А. С. Кравченко, С. В. Родин, Т. Е. Смоленцева//Современные проблемы науки и образования. – 2015. – № 1-1. С.357. EDN VIDYLR.

11. Кубарев А.В. Подход к формализации уязвимостей информационных систем на основе их классификационных признаков//Вопросы кибербезопасности. – 2013. – № 2(2). – С. 29–33. EDN SZEDHH.

12. Ланкин О.В., Сумин В.И., Воронова Е.В. Системно-комплексный кибернетический подход к формированию методологических основ интеллектуальной защиты информации от несанкционированного доступа // Вестник Воронежского государственного технического университета. – 2011. – Т. 7, № 8. – С. 174–176. – EDN NYIJQT.

13. Лившиц И.И. Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов//Труды СПИИРАН. – 2020. – Т. 19, №2. – С.383–411. DOI 10.15622/sp.2020.19.2.6. EDN DPCIDQ.

14. Математическая модель локальной политики безопасности с учетом структурных особенностей автоматизированной информационной системы информационного центра/ В.И. Сумин, А.В. Душкин, С.В. Родин, М.А. Жукова//Математические методы и информационно-технические средства: материалы IX Всероссийской научно-практической конференции, Краснодар, 21–22 июня 2013г./редколлегия: И.Н. Старостенко ответственный редактор, С.А. Вызулин, Е.В. Михайленко, Ю.Н. Сопильняк. – Краснодар: Федеральное государственное казенное образовательное учреждение высшего профессионального образования "Краснодарский университет Министерства внутренних дел Российской Федерации", 2013. – С. 305-307. – EDN YTBIAH.

15. Родин, С.В. Моделирование систем защиты информации в информационных системах вневедомственной охраны: специальность 05.13.18 "Математическое моделирование, численные методы и комплексы программ", 05.13.19 "Методы и системы защиты информации, информационная безопасность": автореферат диссертации на соискание ученой степени кандидата технических наук / Родин Сергей Владимирович. – Воронеж, 2009. – 17 с. – EDN NKXWRJ.

16. Сумин, В.И. Разработка сетевой модели целевых установок сложных организационных систем специального назначения / В.И. Сумин, А.С. Кравченко, С.В. Родин // Моделирование систем и процессов. – 2024. – Т. 17, № 3. – С. 79-87. – DOI 10.12737/2219-0767-2024-77-85. – EDN QIRWOK.

17. ФСТЭК России. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств. – Утв. 28 октября 2022 г. – URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnyenormativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 04.10.2024).

18. Щеглов К.А., Щеглов А.Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. – 2013. – № 2(101). – С. 36–43. – EDN QAVHRX.

19. Forum of Incident Response and Security Teams. Common Vulnerability Scoring System version 4.0: Specification Document [Электронный ресурс]. – URL: https://www.first.org/cvss/specification-document (дата обращения: 16.01.2025).

20. Lin G., Wen S., Han Q.-L., Zhang J., Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey // Proceedings of the IEEE. – 2020. – Vol. 108, no. 10. – P. 1825–1848. – DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.

21. OWASP Foundation. OWASP Risk Rating Methodology [Электронный ресурс]. – URL: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology (дата обращения: 16.01.2025).

22. Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning // 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. – 2018. – P. 757–762. – DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.

23. Serdechny A. L., Tarelkin M. A., Lomov A. A., Simonov K. V. Карты источников, содержащих сведения об уязвимостях программного обеспечения // Информация и безопасность. – 2019. – Т. 22, № 3. – С. 411–422. – EDN ZOUMGN.

24. Wang T., Wei T., Gu G., Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection // IEEE Symposium on Security and Privacy, Oakland, CA, USA. – 2010. – P. 497–512. – DOI: http://dx.doi.org/10.1109/SP.2010.37.

25. Ефимов, А.О. Об осуществлении управления уязвимостями автоматизированных систем //Вестник Воронежского института МВД России. – 2023. – № 3. – С. 186-196.EDN MAYURS.

26. Ефимов, А.О. Оценка уровня защищенности (безопасности функционирования) автоматизированных систем на основе их уязвимостей, формализованная при помощи теории систем массового обслуживания/ А.О. Ефимов, Е.А. Рогозин//Вестник Дагестанского государственного технического университета. Технические науки. – 2023. – Т. 50, № 2. – С. 83-89.DOI 10.21822/2073-6185-2023-50-2-83-89.

27. Ефимов, А.О. Прогнозирование количества выявляемых уязвимостей информационной безопасности на основе теории «серых систем» / А.О. Ефимов, С.А. Мишин, Е.А. Рогозин // Вестник Дагестанского государственного технического университета. Технические науки. – 2023. – Т. 50, № 3. – С. 72-82. – DOI 10.21822/2073-6185-2023-50-3-72-82. – EDN JEDBYH.


Рецензия

Для цитирования:


Ефимов А.О., Рогозин Е.А. Оптимизационные задачи, связанные с количественной оценкой уровня защищенности, на основе анализа уязвимостей автоматизированных систем. Вестник Дагестанского государственного технического университета. Технические науки. 2026;53(1):64-72. https://doi.org/10.21822/2073-6185-2026-53-1-64-72

For citation:


Efimov A.O., Rogozin E.A. Optimization tasks related to quantifying the security level based on vulnerability analysis of automated systems. Herald of Dagestan State Technical University. Technical Sciences. 2026;53(1):64-72. (In Russ.) https://doi.org/10.21822/2073-6185-2026-53-1-64-72

Просмотров: 132

JATS XML


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 2073-6185 (Print)
ISSN 2542-095X (Online)