УДК 683.1
ФУНКЦИЯ СВЯЗИ ПОКАЗАТЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭЛЕМЕНТОВ ТИПОВОЙ МНОГОУРОВНЕВОЙ АРХИТЕКТУРЫ WEB САЙТА С ЕГО ПОКАЗАТЕЛЯМИ ЭФФЕКТИВНОСТИ
О.Ю. Макаров, Е.А. Рогозин, В.А. Хвостов, Д.И. Коробкин, В.В. Гундарев
Проведен структурный анализ архитектуры типовой многоуровневой структурной схемы WEB сайта, как объекта защиты информации (ЗИ) от несанкционированного доступа (НСД). Построен граф, соответствующий инфологической структуре WEB сайта и построена его логическая функция информационной безопасности (ЛФИБ). С использованием логико-вероятностного метода сконструирована функция связи показателей информационной безопасности элементов WEB сайта с показателем его эффективности по прямому назначению
Ключевые слова: информационная безопасность, логическая функция информационной безопасности, функция связи
WEB технологии в настоящее время постоянно развиваются. При этом тенденцией развития является экспоненциальный рост количества сайтов в INTERNET и увеличивающееся разнообразие предоставляемых ими сервисов. Реализуются концепции электронной коммерции, цифровых библиотек, видео по требованию, распределенные вычисления. Предоставление многими правительственными России учреждениями WEB сервисов также существенно увеличивают значимость WEB технологий в современном мире.
Популярные WEB сайты получают миллионы запросов в день. При этом самым критическим параметром сайта является время отклика на запрос пользователя. Большое время отклика становится источником разочарования для многих WEB пользователей и проблемой для менеджеров и администраторов сайтов.
Проблема обеспечения должного качества обслуживания, требуемого пользователями, связана с адекватным определением размеров инфраструктуры с точки зрения информационных технологий. На администраторов сайтов возлагается обеспечение производительности и предлагаемых ими сервисов путем содержания сложной структуры аппаратной и программной составляющих, определяющих понятие WEB сайт.
В тоже время, WEB сайты являются объектом для реализации многочисленных угроз несанкционированного доступа (НСД) к ним, направленным как на нарушение конфиденциальности и целостности информации, так и доступности. Соответственно, при построении сайтов не ограничиваются одними настройками программного обеспечения, а применяется целый комплекс средств защиты информации (СЗИ) таких как [1-3]: межсетевые экра-
Макаров Олег Юрьевич - ВГТУ, д-р техн. наук, профессор, тел. (473) 243-77-06
Рогозин Евгений Алексеевич- ВГТУ, д-р техн. наук, доцент, тел. (473) 234-97-17)
Хвостов Виктор Анатольевич - ГНИИИ ПТЗИ ФСТЭК, канд. техн. наук, тел. (473) 239-79-83 Коробкин Дмитрий Игоревич - ВАИУ, канд. техн. наук, тел. (473) 251-64-20
Гундарев Владимир Валерьевич - ВГТУ, соискатель, тел. (473) 234-97-17
ны, прокси-серверы, модули безопасности WEB сервера Apache, модули преобразования URL из одного вида в другой и т.п.
Применение СЗИ, наряду с повышением защищенности информации, может оказывать и отрицательное воздействие на эффективность WEB сайта по прямому назначению. В частности, снижается производительность. Системы защиты, как и любые программные системы (ПС), могут иметь в своем программном коде ошибки, не обнаруженные при их тестировании. На практике это приводит к снижению общей надежности WEB сайта. Системы защиты отвлекают для выполнения своих функциональных задач часть вычислительного ресурса, требуют дополнительных усилий администраторов и пользователей.
В связи с этим, существует два противоречивых требования: обеспечения приемлемого качества обслуживания (обеспечение времени реакции на запрос пользователя) и обеспечение высокой защищенности от НСД.
Разрешение этого противоречия возможно путем проведения нормирования требований к показателям информационной безопасности (ИБ) WEB сайта. Однако решение задачи нормирования не возможно без наличия количественных зависимостей показателей эффективности WEB сайта по прямому назначению от количественных характеристик подсистемы обеспечения ИБ элементов — функции связи.
В соответствии с рассматриваемой научной проблемой, целью статьи является конструирование функций связи показателей ИБ элементов WEB сайта с показателями его эффективности.
Проведем конструирование функций связи для типовой многоуровневой структурной схемы WEB сайта приведенной в [1]. Типовая структурная схема многоуровневого сайта представлена на рисунке 1.
Архитектура поставщика WEB служб состоит из множества уровней серверов, каждый из которых обрабатывает конкретный набор функций. Типовая многоуровневая структура обычно включает в себя [1]:
1. Маршрутизатор и балансировщик нагрузки;
" Демилитаризованная" зона
Бмг
(^1п1егпеГ^)"
о
R
Баланси-
ровщик
загрузки
FW Межсетевой экран R Маршрутизатор
©
FW
©
WEB серверы
FW FW
©
Серверы приложений
Рис. 1. Типовая многоуровневая архитектура Web сайта
©
п
2. межсетевой экран;
3. WEB серверы;
4. серверы приложений;
5. серверы данных.
Эти различные элементы взаимосвязаны через разнообразные локальные сети, маршрутизаторы и межсетевые экраны. Запросы пользователей поступают на балансировщик загрузки через маршрутизатор, который соединяет сайт с INTERNET. Затем балансировщик нагрузки решает, какой из WEB серверов должен получить запрос. Межсетевой экран изолирует сеть сайта от внешней сети. WEB серверы обращаются к серверам приложений и, далее, к серверам баз данных. Информационные связи элементов определяется конкретной логикой предоставляемого WEB сервиса.
В основу метода построения функций связи может лечь анализ информационно-логической структуры WEB сайта.
Информационно-логическая структура системы определяет основные функциональные части системы, их назначение и взаимосвязи. Выделяемые в системе функциональные части называются блоками. Под блоком обычно понимают устройство, функционально законченное и оформленное в виде отдельного целого [4].
Основными принципами выделения блоков при составлении информационно-логических схем являются возможность функционального описания блока и однонаправленность его действия.
Методика разработки информационно-
логических схем состоит в следующем [5].
1. Система разбивается на блоки, которые изображаются в виде условных символов с обозначением роли элемента в системе.
2. Информационные, связи, учет которых необходим при исследовании системы, изображаются в виде линий между элементами, для которых эти связи существуют.
3. Отношения между блоками определяются обозначением направленности процессов в системе с помощью стрелок на линиях связи.
Вершинный граф, соответствующей одному из вариантов информационно-логической схемы многоуровневого WEB сайта представлен на рисунке 2.
Основная идея логико-вероятностного метода состоит в использовании математического аппарата булевой алгебры на начальной стадии анализа конструирования функции связи структурно-сложной системы. По аналогии с расчетом надежности сложной системы логико-вероятностным методом, конструирование функции связи можно провести в три этапа [6-8].
Этап 1. Каждому элементу системы сопоставляется логическая переменная , принимающая
два значения: 1, если элемент в состоянии безопасности и 0, если элемент в состоянии нарушения безопасности.
Рис. 2. Вершинный граф, соответствующий структуре многоуровневой архитектуры ^ЕВ сайта
Затем из условий работоспособности в условиях реализации угроз к элементам системы составляется ЛФИБ вида р(X) где X = (х1;х2,...хп) — вектор-строка логических переменных, многомерный аргумент функции. Функция р (X) = 1, если есть хотя бы один безопасный путь от входного полюса к выходному. Путь безопасен, если безопасны все входящие в него элементы. Каждому пути в ЛФИБ соответствует элементарная конъюнкция булевых переменных, соответствующих входящим в путь элементам, в ЛФИБ есть дизъюнкции, всех элементарных конъюнкций, соответствующих возможным путям между входным и выходным полюсами. Полученная таким образом форма ЛФИБ является исходной.
Этап 2. Исходная форма преобразуется к одной из стандартных форм перехода к полному замещению логических переменных вероятностями, а логических операций — арифметическими.
Этап 3. В стандартной форме логической функции проводится замещение логической переменной х. вероятностью р. = р(х.), отрицания логической переменной XI вероятностью д. = 1 - р = Р( х = 0), дизъюнкции V сложением +,
конъюнкции л умножением х, логического отрицания —у вычитанием из единицы 1 - Р(у = 1).
Определим полный перечень путей из вершины 1 графа соответствующего информационно-логической схеме многоуровневого ЖБВ сайта до вершины 5 в соответствии с [4, 10].
Матрица смежности графа, представленного на рисунке 2 выглядит следующим образом:
(0 1 1 10 ^
0 0 111
0 0 0 0 1
0 0 10 1
ч0 0 0 0 0)
Матрица непосредственных путей, соответствующая матрице смежности выглядит следующим образом:
' 0 и12 и13 и14 0 ї
0 0 и23 и24 и25
0 0 0 0 и35
0 0 и43 0 и25
V 0 0 0 0 0 )
Поиск всех путей графа из вершины 1 в вершину 5 можно осуществить методом, основанным на использовании алгебры квазиминоров и применимый к ориентированным графам без петель и кратных дуг. В соответствии с этим методом проведем разложение квазиминоров по элементам строк, индексы которых заходят в выделенные пути:
К12 и13 К14 0
І 1 0 К23 К24 К25
15 К- 51 15 _ 0 0 0 К35
0 К43 0 К45
и23 и24 и25 0 и24 и25
и12 0 0 и35 + и13 0 0 и35
и43 0 и45 0 0 и45
+
+ и
14
23
0
и
35
и
и
43 45
Далее проводя преобразования по методике [4] получим:
а15 = |иг/-5і|15 _ и12и23и35 + иі2и24и43и35 + иі2и24и45 +
+ и^и25 + и^^5 + иіи43^35 + К\К45
и
25
В соответствии с данным выражением в графе, представленном на рисунке 2, имеется семь путей из вершины 1 в вершину 5. Граф содержит следующие пути:
V = (1,2,3,5), у2 = (1,2,4,3,5), у3 = (1,2,4,5 у4 = (1,2,5), У5 = (1,3,5), у6 = (1,4,3,5),
V = (1,4,5).
В соответствии с полученными путями графа ЛФИБ будет выглядеть следующим образом:
/ (X) = х1 х2 х3 х5 и х1 х2 х4 х3 х5 и х1 х2 х4 х5 и (1) и х1 х2 х5 и х1 х3 х5 и х1 х4 х3 х5 и х1 х4 х5 После преобразования в нормальную конъюнктивную форму математическое выражение (1) примет следующий вид:
/(X ) = ((((( х1 х4) х5(х1 и х2))( х1 и х3))( х1 и х4)) (х1 и х5))
Используя свойство транзитивности булевых операций, и последовательно применив к данному выражению операции поглощения, склеивания и преобразование с использованием правила де Моргана, получим бесповторную форму ЛФИБ в базисе конъюнкция отрицание в виде:
/^) = х!х4х5(х2^)' .
Согласно [7, 8] данное математическое выражение является формой перехода к полному замещению. Построенная в соответствии с данным математическим выражением функция связи имеет следующий вид:
Рс = Р1Р4 Р 5(1 - ^3);
д2 = 1 - Р2 , Ъ = 1 - Р3-
Таким образом, с использованием топологического анализа инфологической структуры типовой многоуровневой архитектуры Web сайта и логико-
вероятностного метода конструирования функций связи построено аналитическое выражение, связывающее показатели ИБ элементов с показателями эффективности системы по прямому назначению. Данная формульная зависимость предназначена для проведения нормирования требований к ИБ сайтов, использующих технологию WEB для предоставления доступа к данным.
Литература
1. Алмейда М., Менаске Д. Производительность Web служб. Анализ, оценка и планирование: Пер. с англ. / Спб.: ООО “ДиаСофтЮП”, 2003 г. — 408 с.
2. Фленов M. E. Web-сервер глазами хакера. — СПб.: БХВ-Петербург, 2007. — 288 с.
3. Мак-Клар С., Шах С., Шах Ш. Хакинг в WEB: атака и защита. — М.: Вильямс, 2003. - 384 с.
4. Нечипоренко В.И. Структурный анализ систем (эффективность и надежность) / — М.: Сов. Радио 1977 г. — 216 С.
5. Алиев Р.А. Методы интеграции в системах управления производством. - М.: Энергоатомиздат, 1989 г. — 271 с.
6. Рябинин Г.Н., Черкесов Г.Н. Логиковероятностные методы исследования надежности сложных систем. — М.: Радио и связь, 1981 г. — 264 с.
7. Черкесов Г.Н. Надежность аппаратнопрограммных комплексов. Учебное пособие. - СПб.: Питер, 2005 г. - 479 с.
8. Черкесов Г.Н. Логико-вероятностные методы расчета надежности структурно-сложных систем. — М.: Знание, 1991 г. — 64 с.
9. Авондо-Бодино Дж. Применение в экономике теории графов. — М.: Прогресс, 1966 г. 160 с.
10.Кирсанов М.Н. Графы в MAPLE Задачи, алгоритмы, программы. — М.: Физматлит, 2007 г. — 91 с.
11.Вашкевич Н.П., Сергеев Н.П. Основы вычислительной техники. — М.: Высш. шк., 1988 г. 311 с.
12.Кнут Д.Э. Искусство программирования. т. 3: Пер. с англ. — М.: Мир, 1978 г — 356 с.
Воронежский государственный технический университет
Научно-исследовательский институт Федеральной службы технического и экспертного контроля России
Военный авиационный инженерный университет (г. Воронеж)
FUNCTION OF COMMUNICATION INDICATORS OF INFORMATION SAFETY TYPICAL MULTILEVEL ARCHITECTURE WEB SITE WITH EFFICIENCY INDICATORS ON DIRECT
APPOINTMENT
O. U. Makarov, E.A. Rogozin, V. A. Khvostov, D.I. Korobkin, V.V. Gundarev
The structural analysis of architecture of typical multilevel block diagram WEB of a site, as object of protection of the information from not authorized access is carried out. The count corresponding information and logical to structure multilevel WEB of a site are constructed. Logic function of information safety information system is constructed. With use of a logic-likelihood method function of communication of indicators of information safety of elements WEB of a site with an efficiency indicator on direct appointment is designed
Key words: Information safety, logic function of information safety, communication function