ИМИТАЦИОННАЯ МОДЕЛЬ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
В.А. Григорьев, А.В. Карпов
Актуальность проблемы обеспечения безопасности информации на сегодняшний день неоспорима. Среди активно обсуждаемых вопросов можно выделить надежность, отказоустойчивость средств защиты, стоимость разработки систем защиты информации (СЗИ). Однако центральное место занимает вопрос оценки эффективности защиты информации.
Согласно официальному подходу [1,2], эффективность защиты информации определяется классом защищенности автоматизированной системы (АС). Класс защищенности, в свою очередь, определяет набор механизмов защиты (МЗ), которые должны быть реализованы в АС. Такой подход к оценке эффективности защиты информации не позволяет учитывать ни качество самих МЗ, констатируя лишь факт их наличия или отсутствия, ни изменение условий функционирования СЗИ. Примерами таких изменений могут служить модификация аппаратной и программной среды, изменение условий информационного взаимодействия объектов и субъектов защиты, числа пользователей системы, возникновение информационных конфликтов в АС.
В работах [3,4] приведены методы и методики, позволяющие выполнять количественную оценку защищенности информации при использовании СЗИ. Количественно защищенность информации оценивается, как правило, рядом вероятностных показателей, основным из которых является некий интегральный показатель. В статье [3] для обоснования методики оценки защищенности информации разработана теоретическая модель СЗИ от несанкционированного доступа (НСД) (рис. 1).
СЗИ представлена в виде сетевой модели, состоящей из некоторого набора средств защиты 81. На вход средств защиты поступают потоки запросов НСД, определяемые моделью нарушителя на множестве потенциальных угроз {и!}. Каждое из
средств защиты отвечает за защиту от угрозы определенного типа и использует соответствующий защитный механизм. Его задача состоит в том, чтобы распознать угрозу и заблокировать несанкционированный запрос.
В результате функционирования системы защиты исходный поток НСД разрежается, образуя выходной поток. Входные потоки несанкционированных запросов обозначены как ¥¡(0, 1=1, ..., п, а потоки нераспознанных (пропущенных) системой защиты НСД - У1'. Факт неполного закрытия системой защиты всех возможных каналов проявления угроз учитывается отсутствием для т входных потоков средств защиты, что означает V (1) = V (1). Потоки запросов на НСД, поступающие по 1-м каналам, разрежаются с вероятностями р1(у), которые зависят от используемого способа обнаружения и блокирования НСД.
На выходе СЗИ образуется выходной поток, являющийся объединением выходных потоков 1-средств защиты и потока НСД-запросов, приходящих по т неконтролируемым каналам.
Каждое средство (механизм) защиты характеризуется вероятностью пропуска НСД - q и, соответственно, вероятностью обеспечения защиты (отражения НСД) р = 1^.
Нарушитель характеризуется вектором интен-сивностей 1 = { 12, • •• ^¡+т} попыток реализации соответствующих угроз ^...и^.
Согласно [5], для реализации системного подхода к решению проблемы обеспечения информационной безопасности необходимо комплексное использование методов моделирования систем и процессов защиты информации. Целями такого моделирования являются поиск оптимальных решений управления МЗ, оценки эффективности использования средств и методов защиты и т.п.
Модель представляет логическое или математическое описание компонентов и функций, отображающих существенные свойства моделируемого объекта или процесса.
Моделирование системы заключается в построении некоторого ее образца, адекватного с точностью до целей моделирования исследуемой системы, и получения с помощью построенной модели необходимых характеристик реальной системы.
Для реализации комплексного подхода к моделированию СЗИ рассмотрим пример построения имитационной модели СЗИ.
Учитывая схожесть рассматриваемой математической модели с моделями систем массового
обслуживания (СМО) и тот факт, что при разработке модели использовались методы теории массового обслуживания [3], представляется целесообразным использовать при построении имитационной модели средства моделирования СМО.
Для описания моделей СМО разработаны специальные языки и системы имитационного моделирования для ЭВМ. Существуют общецелевые языки, ориентированные на описание широкого класса СМО в различных предметных областях, и специализированные языки, предназначенные для анализа систем определенного типа. Примером общецелевых языков служит широко распространенный язык GPSS (General purpose simulation system). Кроме того, известно несколько систем имитационного моделирования - GPSS World, System Modeler, AnyLogic.
Как правило, имитационная модель, построенная при помощи подобных систем, состоит из сети блоков, представляющих необходимые действия или задержки транзактов, которые последовательно проходят через блоки. Например, блок GENERATE в системе GPSS World создает новые транзакты, воспроизводя рекуррентный поток заявок с требуемым распределением интервалов между ними. Системы имитационного моделирования предоставляют для разработки моделей ряд функциональных блоков, позволяющих имитировать работу обслуживающих приборов, очередей, создание и уничтожение транзактов, условные ветвления и изменения маршрутов прохождения транзактами блоков модели. Транзакты перемещаются в системных времени и пространстве, переходя от одного блока модели к другому. Тран-закты возникают и уничтожаются, могут расщепляться и сливаться. Входя в блок, транзакт вызывает определяемую типом блока подпрограмму, которая обрабатывает соответствующее событие. Далее транзакт в общем случае пытается войти в следующий блок. Продвижение продолжается до тех пор, пока очередной блок не удалит транзакт из модели.
Для сбора итоговой статистики используются таймер модельного времени, стандартные атрибуты блоков и параметры транзактов, а также определяемые пользователем переменные, выражения и функции.
В математических моделях сложных объектов, представленных в виде систем массового обслуживания, фигурируют средства обслуживания, называемые обслуживающими приборами (ОП). Так, в рассматриваемой модели в качестве ОП выступают МЗ, а в качестве транзактов - поступающие запросы НСД.
Состояние СМО характеризуется состояниями ОП, транзактов и очередей к ОП. Состояние ОП описывается логической переменной, значения которой интерпретируются как «занят» или «свободен». Переменная, характеризующая состояние
транзакта, может иметь значения «обслуживания» или «ожидания». Состояние очереди характеризуется количеством находящихся в ней транзактов.
Имитационная модель СМО представляет собой алгоритм, отражающий поведение СМО, то есть изменения состояния СМО во времени при заданных потоках заявок, поступающих на вход системы. Входные потоки заявок определяют внешние параметры СМО. Параметры выходных потоков отражают свойства функционирования системы и являются ее выходными параметрами. В качестве выходных параметров системы можно рассматривать производительность СМО, коэффициенты загрузки оборудования, среднее время обслуживания заявок и т.д.
Имитационное моделирование позволяет исследовать СМО при различных типах входных потоков и интенсивностях поступления заявок на входы, при вариациях параметров ОП. В моделях СМО заявки, приходящие на вход занятого ОП, образуют очереди, отдельные для заявок каждого приоритета. При освобождении ОП на обслуживание принимается заявка из непустой очереди с наиболее высоким приоритетом. К элементам имитационных моделей СМО, кроме ОП, относят также узлы и источники заявок.
Для построения имитационной модели СЗИ при помощи систем имитационного моделирования необходимо соотнести структурные элементы исходной модели с заменяющими их функциональными блоками моделирующих систем.
С целью идентификации функциональных блоков имитационной модели представим математическую модель СЗИ, показанную на рисунке 1, в виде концептуальной модели, состоящей из трех основных блоков: «Нарушитель», «СЗИ» и «Защищаемые ресурсы» (рис. 2).
Нарушитель X СЗИ X' Защищаемые ресурсы
Рис. 2. Упрощенная концептуальная модель СЗИ от НСД
«Нарушитель» является первым блоком модели и в общем случае не подвергается входному воздействию. Задача функционирования этого блока - генерация потока (потоков) запросов НСД (транзактов) с заданной интенсивностью 1. Согласно модели нарушителя, разработанной в [3], злоумышленник пытается реализовывать разные угрозы защищенности информации с соответствующими интенсивностями.
Блок «СЗИ» имитирует функционирование СЗИ от НСД (МЗ). Элементы этого блока могут имитировать очереди запросов НСД на входах МЗ, задержки на обслуживание, выход МЗ из строя (аппаратной части) и т.д. Однако главной задачей функционирования этого блока является отсеивание запросов НСД с определенной (заданной) ве-
роятностью. Разреженный поток запросов НСД на выходе блока «СЗИ» имеет интенсивность 1'.
Последний блок модели - «Защищаемые ресурсы» - не выполняет самостоятельных функций и может быть использован в имитационной модели для уничтожения запросов НСД (транзактов). Представим функции блоков упрощенной концептуальной модели СЗИ (табл. 1).
Таблица 1
Функции логических блоков имитационной модели СЗИ от НСД
№ блока Название блока Функции блока
1 Нарушитель Генерация запросов НСД с заданными интенсивностями, которые образуют входной поток блока «СЗИ».
2 СЗИ 1. Имитация буфера (очереди) запросов НСД. 2. Имитация обслуживания запросов НСД МЗ. 3. Разреживание входных и образование выходных потоков пропущенных и отсеянных запросов НСД.
3 Защищаемые ресурсы Уничтожение запросов НСД (как отсеянных, так и пропущенных МЗ СЗИ).
Таким образом, для построения имитационной модели СЗИ от НСД представляется целесообразным использование следующих функциональных блоков:
- генератора транзактов - для имитации поступления запросов НСД;
- блока задержки - для имитации обработки МЗ поступающих запросов НСД;
- очереди - для имитации буфера запросов каждого из МЗ;
- блоков уничтожения транзактов - для уничтожения запросов НСД (как пропущенных, так и отсеянных МЗ).
Реализация самих блоков имитационной модели зависит от используемой системы и языка имитационного моделирования. Например, на языке GPSS блок генерации запросов НСД реализуется посредством оператора GENERATE, блок задержки - ADVANCE, блок, имитирующий буфер запросов, QUEUE и т.д. Однако независимо от используемой системы моделирования логически имитационную модель СЗИ можно представить, как показано на рисунке 3.
Накопленная в результате имитационного моделирования статистика позволяет определить основные характеристики, необходимые для расчета защищенности информации.
Таким образом, нарушитель в модели представляется рядом генераторов транзактов, каждый из которых имитирует поступление в систему НСД-запросов разных типов с соответствующими интенсивностями Xj. МЗ СЗИ от НСД состоят из
Нарушитель
V,
Генератор транзактов -НСД 1 ¡V Очередь 1 Блок ожидания 1 Условное ветвление Pi 4
V2
Генератор транзактов -НСД 2 fa Очередь 2 Блок ожидания 2 Условное ветвление P2' 42
Генератор Очередь Блок Условное
транзактов - ожидания ветвление
НСД i i i pr 4i
Отсеянные запросы
НСД!-
Блок * уничтожения транзактов 1
Защищаемые ресурсы
Блок уничтожения транзактов 2
Рис. 3. Имитационная модель СЗИ от НСД
трех блоков: очереди (буфера запросов на обслуживание), блока ожидания, имитирующего обработку запроса НСД МЗ и условного ветвления, имитирующего результат обработки. Два блока уничтожения транзактов служат для вывода тран-зактов из модели. Наличие этих блоков в модели является необходимым условием ее работоспособности.
На практике аппаратная и программная составляющие СЗИ часто реализуются в виде аппаратно-программного комплекса защиты информации (АПКЗИ) от НСД. Аппаратной частью АПКЗИ может являться некоторый контроллер безопасности, устройство криптографической защиты информации, электронный замок и т.д. Аппаратные средства защиты реализуют дополнительные МЗ информации и могут функционировать в постоянном информационном взаимодействии с программной частью (ядром) СЗИ. Таким образом, функционирование аппаратных устройств защиты информации как важной части СЗИ от НСД, безусловно, оказывает влияние на весь процесс защиты информации. Одной из главных характеристик аппаратных средств является надежность. Очевидно, что выход из строя, даже временный, контроллера безопасности сказывается на функционировании СЗИ и уровне защищенности информации. Исходя из сказанного, представляется целесообразным учет в имитационной модели СЗИ от НСД состояния контроллера безопасности и влияния изменений его состояний на процесс защиты информации в АС.
Имитировать выход из строя контроллера безопасности можно разными способами. Например, можно создать соответствующий функциональный блок модели и описать его функционирование посредством диаграммы состояний (рис. 4).
Как видно из рисунка 4, функционирование контроллера безопасности описывается 4 возможными состояниями: исправен, неисправен, диагностирован, восстановлен.
V
1. Исправен
1диаг
4. Восстановлен
2. Неисправен
1об
3. Диагностирован
Рис. 4. Диаграмма состояний контроллера _безопасности_
Состояние «исправен» означает нормальное функционирование контроллера безопасности (исходное состояние).
Выход контроллера из строя и его переход в состояние «неисправен» возможен с некоторой вероятностью рк, определяемой его надежностью.
Влияние выхода контроллера из строя на функционирование модели может быть имитировано посредством изменения вероятностей пропуска запросов НСД (вплоть до единицы) соответствующих типов МЗ СЗИ. Изменение данных вероятностей реализуется при помощи процедуры, описанной на языке имитационного моделирования и выполняющейся при переходе функционального блока, имитирующего контроллер безопасности, в состояние «неисправен».
Состояние «диагностирован» соответствует обнаружению неисправности контроллера. Переход в это состояние возможен по истечении некоторого времени обнаружения неисправности системой диагностики или группой технической поддержки - Это время может определяться каким-либо законом распределения случайных величин, например экспоненциальным или пуассо-новским.
После обнаружения неисправности контроллера, как правило, защищаемая система блокируется на время его ремонта или замены. Во время ремонта система простаивает, что в контексте имитационной модели означает отсутствие запросов НСД на входах МЗ СЗИ. Имитировать простой системы можно, например, изменением параметров блоков генерации транзактов, их логическим отключением, активацией дополнительных блоков задержки или даже динамическим изменением структуры всей модели. Выбор конкретного способа зависит от используемого языка и системы имитационного моделирования.
Переход контроллера из состояния «диагностирован» в состояние «восстановлен» возможен по истечении времени ремонта (восстановления, замены) - 1вос. Это состояние позволяет имитировать выполнение каких-либо работ, связанных с перезапуском системы после ремонта контроллера, например, проведения дополнительных тестов и диагностик. Если подобных действий не планируется, состояние «восстановлен» можно исклю-
чить из диаграммы состояний контроллера и добавить переход из состояния «диагностирован» в состояние «исправен».
Переход из состояния «восстановлен» в состояние «исправен» возможен по истечении времени дополнительного тестирования работоспособности системы - 1гест (табл. 2).
Таблица 2
Условия смены состояний контроллера безопасности СЗИ
Состояние «Исправен» «Неисправен» «Диагностирован» «Восстановлен»
«Восстановлен» Время тестирования - - -
«Исправен» - Вероятность рк - -
«Неисправен» - - Время обнаружения 1об -
«Диагностирован» - - - Время восстановления ^восс
Процедуры, реализуемые средствами языков и систем имитационного моделирования и выполняемые при смене состояний контроллера, описаны в таблице 3. Вариант соответствия выполняемых процедур и событий смены состояний контроллером, приведенный в таблице 3, не является единственным и может быть модифицирован в зависимости от используемого языка и системы имитационного моделирования.
Таблица 3
Процедуры, выполняемые при смене состояний
Состояние контроллера Процедуры, выполняемые при переходе в данное состояние Процедуры, выполняемые при выходе из данного состояния
«Исправен» Нет Нет
«Неисправен» Изменение вероятностей пропуска запросов НСД механизмами защиты. Изменение настроек (вероятности) блоков условного перехода Нет
«Диагностирован» Отключение (изменение параметров) блоков генерации тран-зактов (запросов НСД) Нет
«Восстановлен» Изменение настроек (вероятностей) блоков условного перехода Включение (изменение параметров) блоков генерации тран-зактов (запросов НСД).
I
к
Имитационная модель СЗИ, позволяющая учитывать выход из строя контроллера безопасности, показана на рисунке 5. В модель добавлен блок «контроллер безопасности». Пунктирные линии, связывающие выходы этого блока с генераторами транзактов и блоками условных ветвлений, означают смену состояний контроллера и выполнение процедур, влияющих на соответствующие блоки модели. Так, пунктирная линия, связывающая «контроллер безопасности» и генераторы транзактов, означает нахождение контроллера в состоянии «диагностирован» или его выход из состояния «восстановлен» и выполнение процедуры, включающей или отключающей генерацию запросов НСД. Аналогично линия, соединяющая «контроллер безопасности» с блоками условных ветвлений, означает нахождение контрол-
лера в состояниях «неисправен» или «восстановлен» и соответствующее изменение вероятностей пропуска запросов НСД механизмами защиты.
Таким образом, для математической модели СЗИ, описанной в [3], предложен возможный подход к построению имитационной модели при помощи языков и систем имитационного моделирования. Статистические данные, автоматически накапливаемые функциональными блоками модели, могут быть использованы для сравнения характеристик защиты информации, рассчитанных теоретически, с результатами имитационного моделирования.
Список литературы
1. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.
2. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. - М.: Там же.
3. Карпов В.В. Вероятностная модель оценки защищенности средств вычислительной техники с аппаратно-программным комплексом защиты информации от несанкционированного доступа. // Программные продукты и системы. - 2003. -№1. - С. 31.
4. Карпов В.В. Методика синтеза оптимального варианта аппаратно-программного комплекса защиты информации от несанкционированного доступа по критерию защищенности. // Там же. - С. 36.
5. Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.
6. Карпов В.В., Ершов Г.С., Семихина Л.А. Система защиты информации «Лабиринт». // Программные продукты и системы. - 2000. -№2. - С.27.
7. Домарев В.В.. Безопасность информационных технологий. Методология создания систем защиты. - К.: ООО «ТИД «ДС», 2001.
ПОСТРОЕНИЕ РЕГИОНАЛЬНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ РАННЕГО ПРЕДУПРЕЖДЕНИЯ ТОРФЯНЫХ ПОЖАРОВ
А.Н. Ветров
Задача прогнозирования и предупреждения торфяных пожаров в [1] представлена в виде задачи ситуационного управления динамической системой в условиях неопределенности. Ее решение построено на основе имитационного моделирования процессов возникновения и развития торфяных пожаров. Рассмотренные модели включаются в контур управления пожарной безопасностью для имитации реальных процессов, определения возможных ситуаций и вероятности их возникновения на основе сценарного подхода.
Одним из постулатов ситуационного управления [2] является конечность числа различных дискретных одношаговых управлений.
Это означает, что с каждым допустимым управлением можно связать некую обобщенную ситуацию, которая ему соответствует. Обобщенная ситуация является результатом преобразования текущих ситуаций. Текущая ситуация определяется параметрами (атрибутами), характеризующими состояние объекта.
С точки зрения управления пожарной безопасностью понятие обобщенной ситуации есте-