Формализация выбора различных вариантов системы защиты информации от несанкционированного доступа в среде электронного документооборота Текст научной статьи по специальности «Компьютерные и информационные науки»

Е.Н. Тищенко, Т.Н. Шарыпова

ФОРМАЛИЗАЦИЯ ВЫБОРА РАЗЛИЧНЫХ ВАРИАНТОВ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В СРЕДЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

Аннотация

В работе рассматриваются вопросы формализации задачи проектирования системы защиты информации в среде электронного документооборота, при которой становится возможным создание защищенной среды обработки информационных пакетов, обеспечивающей необходимый уровень их конфиденциальности, целостности и доступности.

Annotation

In this work are considered issues of the formalization of the problem of projecting an information security system in an environment of the electronic workflow (electronic docu-

2010 № 3

Вестник Ростовского государственного экономического университета (РИНХ)

ment systems). With this special projected information security system it's possible to create the protected environment of processing information packages, which allows to provide the necessary level of their confidentiality, data integrity and availability

Ключевые слова

Несанкционированный доступ, электронный документооборот, система защиты информации, вероятность, формат сигнала

Keywords

Unauthorized access, electronic workflow (electronic document systems), information security system, probability, signal format.

Анализ схем построения системы защиты информации (СЗИ) в среде электронного документооборота (ЭД) показал [1], что в настоящее время среди разрабатываемых и разработанных систем наибольшее распространение получили схемы логической обработки сигналов от элементов СЗИ (ЭСЗИ). Однако при этом в литературе отсутствует формализованная простановка задачи создания комплексной СЗИ в среде ЭД, функционирующей на данных принципах.

Проведенный анализ показывает, что при обработке бинарных сигналов по логической схеме И целесообразно, чтобы все ЭСЗИ обеспечивали одинаковые вероятности обнаружения (вероятности ложных тревог должны быть не хуже заданных). При обработке сигналов от ЭСЗИ по схеме ИЛИ целесообразно, чтобы (в единицу времени) совпадали величины вероятностей ложных тревог всех ЭСЗИ, а вероятности обнаружения были бы не ниже заданных.

Для решения задачи формирования СЗИ можно использовать два алго-

ритма обработки бинарных сигналов от ЭСЗИ [2]:

- на основе возможных комбинаций сработавших ЭСЗИ,

- на основе присвоения ЭСЗИ весовых коэффициентов.

Рассмотрим первый алгоритм на примере трех ЭСЗИ, для каждого из которых известны их вероятности обнаружения Р },Р 2,Р 3 вероятности ложной тревоги Р1 ,Р2 ,Р3 . Появление произвольной комбинации при возникновении попытки несанкционированного доступа (НСД) (например, 101 - сработали первое и третье ЭСЗИ, а второе не сработало) происходит для ЭСЗИ, работающих на различных принципах действия и характеризующихся статистической независимостью возникновения сигналов тревоги с определенной вероятностью (в данном случае она составляет Ррез = Р1( 1 — Р2 )Р3 . Появление

той же комбинации от неумышленного деструктивного воздействия произойдет с вероятностью Р =Р1( 1 — Р2 )Р3 .

Все возможные комбинации для случая трех ЭСЗИ представлены в табл. 1.

Таблица ¡.Возможные комбинации из трех ЭСЗИ

] Комбинация Ар] АР1

1 111 РР2Р3 РР Р

2 110 РР2(1 — Р3) РР2(1—Р3)

3 101 Р ¡(¡-Р 2)Р з Р(1—Р2) Р

4 011 (¡-РОР2Р3 (1—Р) Р Р

5 100 Р(1-Р2)(1-Рз) р(1—р)(1—Р3)

6 010 (¡-Р ¡)Р 2(1-Р з) (1—р) Р2(1—Р3)

7 001 (¡-Р ¡)(1-Р 2)Р 3 (1—р)(1—р) р

8 000 (¡-Р})(1-Р2)(1-Рз) — — —

Здесь же для каждой из комбинаций приведены вероятности их появления при НСД APj и при наличии неумышленного деструктивного воздействия Ар ( - номер комбинации).

Вероятность обнаружения для схемы логической обработки 2 из 3 складывается из вероятностей тех комбинаций, в которых присутствуют две или три единицы:

Р 2/ = XЛР, ,

/3 ] =1

(4)

Вероятность ложной тревоги:

Ру = к АР] .

/3 1?

(5)

В случае применения схемы логической обработки ИЛИ, когда общую тревогу СЗИ вызовет любая комбинация, кроме восьмой, вероятность обнаружения

7

Р ИЛИ ~ Х ^Р ] ,

]= 1

(6)

вероятность ложной тревоги

Рили = кАР] ,

1=1

(7)

При синтезе произвольной схемы логической обработки, в которой общий сигнал тревоги формируется при появлении любой комбинации из числа наперед заданных (например, только в случае появления комбинаций 1, 2 и 5), ее вероятность обнаружения и вероятность ложной тревоги составят:

р=к ар] .

1=1

(8) з

Р= к АР1 ■

1=1

(9)

где суммирование проводится по номерам тех комбинаций из табл. 1, которые приводят для исследуемой схемы логической обработки к формированию общего сигнала тревоги.

Отметим, что множество комбинаций в табл. 1 является полным, то есть

к ар1=к АР1=1

1=1 1=1

(10)

Наилучшей схемой логической обработки СЗИ следует признать ту, которая при обеспечении заданной вероятности обнаружения обладает наименьшей вероятностью ложной тревоги, в связи с чем для синтеза такого алгоритма можно предложить следующую процедуру: расставить в табл. 1 комбинации в порядке убывания отношения АР] / АР] и выбрать из полученной таблицы столько первых комбинаций, сколько обеспечивают заданную вероятность обнаружения. Если алгоритм функционирования СЗИ построить таким образом, чтобы именно эти комбинации приводили к формированию общего сигнала тревоги [3], то ясно, что любой алгоритм, обеспечивающий не худшую вероятность обнаружения, будет обладать большей вероятностью ложной тревоги, так как он может быть получен из исходного только путем исключения комбинаций с большим отношением вклада в вероятность обнаружения к вкладу в вероятность ложной тревоги и включения комбинаций с меньшим отношением.

Предложенную процедуру поясняет табл. 2, в которой все комбинации расставлены в порядке убывания величины АР] / АР] для выбранных значений

вероятностей обнаружения и вероятностей ложных тревог трех ЭСЗИ, а именно: Рх=0,7; Р2=0,7; Р3=0,99; ^=0,1;

Р2=0,2; Р3 =0,01.

При этом видно, что при синтезе оптимального алгоритма целесообразнее, чтобы общий сигнал тревоги формировался при срабатывании только третьего ЭСЗИ (]=4), чем при срабатывании первого и второго (]=5), что и обусловливает преимущества алгоритма по предлагаемой процедуре по сравнению с алгоритмом 2 из 3. Предлагаемая схема формирования алгоритмов логической обработки дает в данном случае (см. табл. 2) возможность синтеза семи различных алгоритмов (когда общий сигнал тревоги вызывает появление первой комбинации (]=1), первой или второй (]=1 или ]=2) и т.д. Каждый из семи алгоритмов отличается своей вероятностью обнаружения и при этом обеспечивает минимальную вероятность ложной тревоги. Большое число вариантов построения решающего правила (по сравнению с тремя традиционными: И, 2 из 3, ИЛИ) обеспечивает большую гибкость при выборе конкретного алгоритма.

Таблица 2. Комбинации, упорядоченные по отношению АР]/АР]

і Комбинация АР] АР] АР] / АР]

1 111 0,4851 0,0002 2400

2 101 0,2079 0,0008 260

3 011 0,2079 0,0018 116

4 001 0,0891 0,0072 12

5 110 0,0049 0,0198 0,25

6 100 0,0021 0,0792 0,027

7 010 0,0021 0,1782 0,012

8 000 0,0009 0,7128 0,0013

При этом все промежуточные градации лежат в наиболее важной области между крайними значениями характеристик схем логической обработки

И и ИЛИ. На рис. 9 показаны полученные из табл. 2 значения вероятности обнаружения Р и вероятности ложных

тревог Р, обеспечиваемые традиционными схемами логической обработки И, 2 из 3, ИЛИ (соединены сплошной линией) и предлагаемыми (штриховая линия).

Видно, что достигаемый положительный эффект обусловлен тем, что последовательный переход от точки 1 к 2, от 2 к 3 и т.д. всегда происходит по

прямой с наибольшим тангенсом угла наклона (в нормальном масштабе), то есть по пути наибольшего отношения приращения вероятности обнаружения к величине приращения вероятности ложной тревоги.

Рассмотрим алгоритм на основе присвоения каждому ЭСЗИ весовых коэффициентов

Рис. 9. Графики зависимости Р от Р

Пусть имеется N ЭСЗИ, на выходе каждого из которых формируется бинарный сигнал и., принимающий (с определенной вероятностью) либо значение иг =1 (есть сигнал тревоги от 1-го

ЭСЗИ), либо значение Ц=0 (сигнал тревоги с 1-го ЭСЗИ отсутствует), где 1=1,2,...^. Эти сигналы характеризуются плотностями вероятностей распределений их появления при наличии НСД ая (иг) и при наличии непреднамеренного деструктивного воздействия аРг (и.). Поскольку при наличии НСД сигнал и. =1 формируется с вероятностью, равной вероятности обнаружения Р1, то можно для плотности вероятности записать:

Г Р. при и. = 1,

(и. ) (.=1,2,...,N) = |, Р 0

[1 — р при и. = 0.

(11)

Аналогично плотность вероятности при наличии неумышленного деструктивного воздействия:

аР. (и. )(г =1

(г =1,2,...,М )

| рг при иг = ^

[1 — Р. при и1 = 0.

(12)

где р - вероятность ложной тревоги 1-го ЭСЗИ.

Известно, что оптимальное, по критерию Неймана-Пирсона решающее правило может быть записано в виде:

^ (и 1 ,. ., иМ ) > с

(13)

где (и,..., иы )

совместная

V“ N'

плотность вероятности сигналов от ЭСЗИ при НСД; а>8г(и1,...,иЬ!)- то же при наличии неумышленного деструк-

тивного воздействия; С - произвольная постоянная, значение которой определяет вероятность обнаружения алгоритма (13); и1,..., uN - анализируемая

совокупность сигналов.

При выполнении неравенства

(13) принимается решение о наличии попытки НСД (формируется общий сигнал тревоги).

Оптимальность решающего правила заключается в том, что при обеспечении заданной вероятности обнаружения устройства в целом Р (которая

регулируется изменением величины С) достигается минимальная вероятность ложной тревоги Р . Если все ЭСЗИ работают на различных принципах действия, то сигналы статистически независимы:

N

(и1, . ., UN ) = 11 (иг )

г=1

N

ар (и1,.., UN ) = 11 аРг (иг )

г=1

(14)

Тогда решающее правило может быть записано в виде:

к ^ > с,

£ аРг(иг) ’

(15)

Вычитая из обеих частей неравенства одну и ту же постоянную вели-N 1 — Р

чину к ^ Р и вводя новое обозначение

N 1 — Р

с1 = с—Т ,

1 £ 1—р

(16)

получим

к 1g ^г )(1 — Р ) > с1,

£&аРг(иг )(1 — Р) 15

(17)

После чего можно окончательно написать решающее правило в виде:

N

ТУ, («,) > с,

г=1

(18)

ТГҐ м Ю (иг )(1 - Рг ) ^

где Уі (иг )1В , ^ Іл > С'-

ЮРг (иг )(1 - Рг )

Если выполняется неравенство

(18), то формируется общий сигнал тревоги. При этом из (11) и (12) видно:

г /г=(1,2,...^)

\Чг ПРи ^

[0 при и1 = 0,

(19)

, Р(1 — Р) •

где а. = ш-----------постоянная для 1-

Р(1 — Рг) го ЭСЗИ величина.

Таким образом, оптимальный в у казанном смысле алгоритм построения СЗИ согласно [(18) и (19)] заключается в формировании по сигналу тревоги от 1-го ЭСЗИ сигнала заданного формата д1 и заданного времени генерирования т (т - время памяти) с последующим суммированием сигналов и сравнением получаемой суммы с фиксированным пороговым уровнем, превышение которого приводит к формированию общего сигнала тревоги.

Значения д1 могут быть рассчитаны заранее по вероятности обнаружения Р| и вероятности ложной тревоги Рг 1-го ЭСЗИ. На рис. 10 приведены графики зависимостей «веса» 1-го ЭСЗИ от его характеристик р и р .

Видно, что «вес» ЭСЗИ д1 тем больше, чем больше его вероятность обнаружения и чем меньше его вероятность ложной тревоги.

Рис.10.График зависимостей qt от р и р

Отметим ряд достоинств и отличительных особенностей полученного алгоритма СЗИ при подробной формализации задачи в соответствии с [(18) и

(19)]:

1. Алгоритм имеет достаточно простой вид и удобный для практической реализации. При этом, несмотря на то что общий сигнал тревоги формируется при превышении заданного порогового уровня суммой сигналов тревоги от отдельных ЭСЗИ (18), каждый из которых имеет свой формат (19), сохраняется логический алгоритм СЗИ, так как при заданной величине порогового уровня С1 превышение его могут вызвать лишь определенные комбинации сигналов тревоги от отдельных ЭСЗИ. Отметим, что значения д1 (19) определены с точностью до постоянного множителя, то есть алгоритм не изменится, если все q, одновременно увеличить или уменьшить в одно и то же число раз (изменив в то же число раз значение порога С1).

2. Алгоритм [(18) и (19)] всегда оптимален, то есть при заданной вероятности обнаружения обеспечивает минимально возможную (на данном уровне информации) вероятность ложной тревоги, что непосредственно следует из исходного выражения (13). Отметим также, что тот же алгоритм обеспечива-

ет и максимально возможную вероятность обнаружения при заданной вероятности ложных тревог. Иными словами, невозможно синтезировать алгоритм, который улучшал бы одну из двух указанных характеристик (по сравнению с алгоритмом [(18) и (19)]), не ухудшая одновременно другую.

Библиографический список

1.Галатенко В.А. Стандарты информационной безопасности// Интернет-

университет информационных технологий - ИНТУИТ.ру, 2005.

2.Илюшенко, В.Н. Информационная безопасность и методология защиты информации : учебное пособие / В. Н. Илюшенко. - Томск : В-Спектр, 2005.

3.Торокин, Анатолий Алексеевич Инженерно-техническая защита информации : учебное пособие для вузов / А. А. Торокин. - М. : Гелиос АРВ, 2005.

Bibliographic list

l.Galatenko В. А. Standards of information security// Internet-university of information technologies - Intuit.ru, 2005. 2.Ilushenko V.N. Information security and methodology of information security: tutorial / V. N. Ilushenko. - Tomsk : V-Specter, 2005.

2зз

3.Torokin A.A. Engineering and technical information security: tutorial / A. À.

Torokin. - М. : Helios ARB, 2ОО5.