CC BY
249
ду задач структурного синтеза, то вторая относится, по-видимому, к задачам параметрического синтеза и настройки структурных компонент системы.
В общем случае решение указанных задач сводится к процедуре многомерной оптимизации на основе системы критериев или критериальных функций. В то же время, одним из основных недостатков системы показателей защищенности в РД ГТК является их сугубо описательный характер и, как правило, отсутствие вычисляемого интегрального показателя защищенности, например, вероятностного типа.
Использование системы расчетных показателей защищенности, учитывающих специфику использования не только всей АС, но и, возможно, каждого автоматизированного рабочего места, позволило бы оптимизировать распределение средств и методов защиты по уровням и типам, минимизировать затраты на эксплуатацию СЗИ или непроизводительные потери целевой АС, связанные с функционированием средств защиты.
Практическую целесообразность и возможность решения указанной задачи проиллюстрируем на примере АПКЗИ "Лабиринт", которая имеет набор средств защиты для каждого из уровней, а также средства параметрической настройки компонент защиты.
Например, решая задачу структурного синтеза СЗИ для конкретного рабочего места в составе АС, можно воспользоваться возможностью размещения средств идентификации и аутентификации на внешнем уровне либо в составе ОС. В первом случае идентификацию выполняет интеллектуальный и достаточно дорогой контроллер еще до загрузки ОС, во втором функция реализуется после загрузки ОС программным способом. В тех случаях, когда идентификация должна быть усилена, может быть применен контроллер с инфракрасным декодером.
Далее, учитывая, что в соответствии с требованиями РД ГТК, мандатный принцип контроля доступа должен применяться для СЗИ, начиная с 4 класса защищенности, для систем с менее жесткими требованиями может быть применен только дискреционный метод.
Обоснованное исключение мандатного метода доступа для конкретного рабочего места однозначно
позволит уменьшить непроизводительные потери базовой АС. Аналогично включение либо исключение из конкретного варианта СЗИ средств оперативного наблюдения и аудита способно, с одной стороны, понизить уровень защищенности, а с другой - уменьшить накладные расходы на эксплуатацию СЗИ и непроизводительные потери базовой АС.
Если средства оперативного наблюдения и аудита выбраны для конкретного варианта СЗИ, то АПКЗИ "Лабиринт " предоставляет дополнительные возможности оптимизации их работы на основе средств параметрической настройки. И в средстве оперативного наблюдения, и в аудите гибко настраивается перечень событий, которые должны протоколироваться, анализироваться и оперативно доводиться до администратора СЗИ. Более того, для каждого события в системе может быть выбрана необходимая реакция АПКЗИ, например, сигнализация или блокировка.
Учитывая, что средства оперативного наблюдения и аудита существенно ухудшают функциональные характеристики базовой АС, средства параметрической настройки способны оптимизировать непроизводственные потери базовой АС.
Однако применение методов структурного и параметрического синтеза СЗИ как механизма выбора необходимых компонент СЗИ и распределения их по уровням защиты с подстройкой к конкретным условиям и требованиям возможно только при наличии системы численных показателей защищенности, позволяющих оценивать влияние того или иного оптимизационного решения на защищенность системы в целом.
Список литературы
1. Апанасенко В.М., Арепин Ю.И., Липатов В.А., Прокофьев В.М. Сущность и основные положения автоматизации организационного управления. // Программные продукты и системы. - 2000. - № 2. - С.31-33.
2. Карпов В.В., Ершов Г.С., Семихина Л.А. Система защиты информации "Лабиринт". // Программные продукты и системы. - 2000. - № 2. - С.27-31.
3. Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.
4. Галатенко В.А. Информационная безопасность. // Открытые системы. - 1995. - № 4-6.
КРИТЕРИИ И ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В.В. Карпов
Одним из необходимых условий проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД) для автоматизированных систем (АС) является анализ потенциальных угроз безопасности с целью определения исходных данных и граничных условий для разработки средств защиты. Чем полнее и детальнее будет описано множест-
во угроз, тем с большей вероятностью будут найдены адекватные средства и способы защиты.
С другой стороны, решение задачи адекватности и эффективности средств защиты невозможно без системы критериев и показателей защищенности АС от НСД. При этом, если состав и характеристики угроз задают, по сути, исходные данные для проекти-
рования системы защиты, то система критериев и показателей защищенности позволяет не только оценивать результат разработки, но и контролировать ее ход.
Для решения этой задачи на этапе проектирования СЗИ выполняются следующие работы:
- анализ исходных данных и потенциальных угроз;
- выявление уязвимых мест и каналов потенциальных нарушений безопасности АС;
- построение модели потенциальных угроз;
- определение вероятностей угроз;
- оценка вероятного ущерба при реализации угроз;
- построение модели защиты;
- определение системы критериев и показателей защищенности;
- оценка защищенности АС.
Перечень угроз, оценки вероятностей их реализации, а также модель угроз являются основой для определения требований к СЗИ. На практике задача формального описания полного множества угроз чрезвычайно сложна вследствие очень большого числа факторов, влияющих на процессы хранения и обработки информации в современных АС. Поэтому для защищаемой системы определяют, как правило, не полный перечень угроз, а перечень классов угроз в соответствии с принятой классификацией. При этом классификация возможных угроз информационной безопасности АС проводится по ряду базовых признаков [1], например:
- по природе возникновения;
- по степени преднамеренности проявления;
- по непосредственному источнику угроз;
- по положению источника угроз;
- по степени зависимости от активности АС;
- по степени воздействия на АС и т.п.
В свою очередь, использование методов классификации угроз предопределяет классификацию методов защиты и обусловливает существование систем показателей защищенности классификационно-описательного типа.
Примером могут служить критерии и показатели защищенности, изложенные в руководящих документах (РД) Гостехкомиссии (ГТК) России, посвященных вопросам защиты информации в АС [2] и средствах вычислительной техники (СВТ) [3]. РД ГТК определяют две группы требований к безопасности - показатели защищенности СВТ от НСД и критерии защищенности АС обработки информации. Различие подходов к проблеме защищенности АС и СВТ обусловлено тем, что СВТ представляют собой элементы, из которых строятся функционально-ориентированные АС и по отношению к которым можно говорить лишь о защищенности СВТ от НСД к информации, обрабатываемой и сохраняемой в системе [4]. При рассмотрении АС появляются дополнительные характеристики (например, полномочия пользователей, модель нарушителя, технология обработки информации и др.). Применительно к СВТ в РД ГТК устанавливается классификация СВТ по
уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Конкретные перечни показателей определяют классы защищенности СВТ. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ). РД ГТК устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. РД содержат требования к классам, являющиеся примером применения необходимых условий оценки качества защиты, при которых наличие определенного механизма класса защиты является основанием для отнесения СВТ к некоторому классу.
Относительно АС устанавливается девять классов защищенности от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты.
Являясь основным официальным документом, регламентирующим создание средств защиты от НСД, РД ГТК содержит исключительно описательные требования к КСЗ, причем ранжирование требований по классам защищенности значительно упрощено по сравнению с аналогичными зарубежными стандартами информационной безопасности и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения [4]. В самом деле, разработчик КСЗ решает на практике по сути задачу оптимального синтеза СЗИ для заданного множества угроз, характеристик защищаемой системы, граничных условий и дополнительных требований [1]:
Q*C3H = argmax й (P,S,C) при y, е y*, , sеS,cе C
где Р = (Px, ..., Pq) - вектор параметров задач защиты информации, решение которых является функцией СЗИ с областью определения Р; S = (Sx, ..., ST) -вектор параметров структуры СЗИ, определенный на множестве возможных структур S; C= (Cx, ..., CD) -вектор параметров управления процессами защиты информации с областью определения C; Y= (Yx, ..., Yn) - вектор характеристик СЗИ, составляющие которого суть функции параметров P,S и С; E = у (Y) -функция, определяющая значение показателя эффективности как интегральной характеристики качества СЗИ; i = a,..., w - индексы, выделяющие характеристики, которые должны принадлежать заданным областям y*a, ..., y*w.
Таким образом, требуется определить такие параметры структуры S и параметры управления C, которым соответствует максимум показателя E = Q(P,S,C) при выполнении требований на характеристики СЗИ.
Необходимым условием решения задачи синтеза СЗИ является определение в явном виде функции E=¥ (Y). Использование расчетных показателей эффективности позволяет автоматизировать процедуру оптимизации при синтезе СЗИ для заданных условий на следующих этапах разработки и внедрения: проектирование, создание дистрибутива, генерация конкретной версии, настройка конкретной версии.
При этом на этапах проектирования и создания дистрибутива описательные требования к СЗИ должны обеспечить разработку соответствующих аппаратных средств и дистрибутива программного обеспечения. Анализ множества угроз с использованием моделей угроз, моделей защиты и расчетных показателей эффективности позволяет уточнить состав СЗИ и дистрибутива. На этапе генерации конкретной версии состав и функции СЗИ уточняются дополнительно. И если на этапе проектирования основными могут быть ограничения, накладываемые на процесс разработки и эксплуатации (например ограничения на полные затраты на разработку), то на этапе генерации конкретной версии определяющими становятся ограничения на процесс эксплуатации СЗИ.
Кроме того, если в составе СЗИ присутствуют средства параметрической настройки, обеспечивающие тонкую настройку СЗИ на этапе эксплуатации с целью минимизации влияния средств СЗИ на производительность базовой АС, можно рассматривать задачу параметрического синтеза СЗИ на множестве функций обеспечения защиты, реализуемых в структурных элементах СЗИ.
Учитывая, что процессы реализации угроз и процессы обеспечения защиты носят вероятностный характер, в качестве численных показателей защищенности целесообразно выбрать именно вероятностные показатели. Если процесс НСД к информационным и программным ресурсам рассматривать как последовательность преодоления преград нарушителем, то для каждой угрозы и. из множества потенциальных угроз и вероятность реализации (успешной К
атаки) равна: Р(уА) . = П Рпк , где к - количество к=1
преград, которые необходимо преодолеть нарушителю, чтобы реализовать угрозу и. ; РП к - вероятность
преодоления преграды к при реализации угрозы и..
Приведенная формула справедлива при условии независимости средств реализации преград друг от друга. В этом случае решение задачи определения рационального технического облика СЗИ сводится в основном к получению оптимальных выборок на множестве данных о потенциальных угрозах, реализованных преград, вероятности их преодоления, трудоемкости создания и эксплуатации преград и т.д. (см. таблицу).
Таблица
Угроза uj Преграда Пк РПк . ТСП . к Тэп , к КПк
ui П1 РП ,, ТСП i Тэп i КП ,
П2 Пз РП 21 РПз, Тсп 2 Тсп 3 ТэП 2 ТэП 3 КП 2 Кп 3
Здесь и. - 1-я угроза НСД; Пк - к-я преграда угрозе и.; РП - вероятность преодоления к-й преграды
при реализации угрозы Uj; ТС
трудоемкость соз-
дания Пк; ТЭП k - трудоемкость эксплуатации Пк;
КП к - коэффициент потерь базовой АС при использовании преграды Пк .
В случае, если механизмы реализации преград зависят друг от друга, то расчет Р(УА) . усложняется за счет использования формулы условной вероятности и расчета РП :
P,
(УА) =P(Al) • Рл1(А2) • Рл1А2(Аз)...Рл1А2-Ак.1(Ак),
где Р(А1) - вероятность преодоления 1-й преграды; PAl(A2) - вероятность преодоления 2-й преграды, при условии преодоления 1-й преграды и т.д.
Если заданы множества угроз U и преград П и для каждой угрозы u поставлено в соответствие подмножество Пк , объединяющее преграды для угрозы Uj , то решением задачи достижения заданного значения вероятности предотвращения НСД Р ПНСд = l-max Р(УА) . будет являться подмножество преград Пк , элементы которого обеспечивают выполнение условия Р ПНСД < Р ЗАД.
Очевидно, что решение может быть не единственным. В этом случае возможно использование ограничений в виде дополнительных требований ya ya*.
С учетом ограничений решение задачи сводится к нахождению таких подмножеств Пк , для которых дополнительные требования выполняются наряду с основными: РПНСд < Р ЗАд.
В качестве дополнительных ограничений могут использоваться следующие:
- на стоимость (трудоемкость) разработки средств защиты;
- на стоимость (трудоемкость) эксплуатации средств защиты;
- на уровень снижения производительности защищаемой системы при использовании средств защиты.
Объединение основных требований к РПНСД и ограничений позволяет сформировать систему показателей защищенности, например:
- достижение максимальной защищенности при соблюдении ограничений на стоимость разработки (эксплуатации) средств защиты:
Рзтщ = max Рзащ, при Ср < Сзад ;
- обеспечение заданного уровня защиты при ограничениях на стоимость разработки (эксплуатации) средств защиты:
Рзащ ^ Рзад , при Ср < Сзад ;
- обеспечение заданного уровня защиты при ограничении на снижение производительности:
РЗАЩ ^ РЗАД » при КПК < КЗАД.
Практическое решение задачи синтеза возможно для хорошо документированных и исследованных СЗИ, имеющих средства оптимизации структуры и функций защиты. При этом результат синтеза во многом зависит от адекватности используемых моделей защиты и выбранной системы показателей эффективности.
Список литературы
1. Зима В.М., Молдовян А.А. Многоуровневая защита информационно-программного обеспечения вычислительных
к
систем. Учеб. пособие / ВИККА им. А.Ф. Можайского. - СПб., 1997.
2. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.
3. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М.: Военное изд-во, 1992.
4. Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.
СИСТЕМА АВТОМАТИЗИРОВАННОГО ПРОЕКТИРОВАНИЯ СТРУКТУРНО-СЛОЖНЫХ ТЕХНИЧЕСКИХ СИСТЕМ
В.В. Кудрявый, В.Н. Нуждин, А.Г. Салин, Е.С. Целищев, Н.М. Сандлер
К структурно-сложным относятся многие технические системы: системы контроля и управления, системы учета тепловой и электрической энергии, системы электросвязи, электроснабжения и др.
Для сквозной автоматизации процесса проектирования структурно-сложных систем в Ивановском государственном энергетическом университете была разработана программная система Mirage-ADT и основанная на ее использовании новая агрегативно-декомпозиционная технология автоматизированного проектирования [1-4].
Систему Mirage-ADT выгодно отличает от ряда разработок в данной области то, что с ее помощью автоматизируются не только рутинные операции на стадии документирования, но также проектные процедуры, которые находятся в голове процесса проектирования и требуют принятия основных проектных решений.
Информационной основой автоматизации проектирования в системе Mirage-ADT является база данных и знаний. Все возможные типовые проектные решения в конкретной предметной области представлены как варианты структуры определенного уровня иерархии. Причем понятие типовой здесь нетрадиционно и применимо для любого устойчивого проектного решения любого состава и сложности.
Эксперт-проектировщик никогда не берется за проектирование всей системы сразу. Проектирует по подсистемам, а те, в свою очередь, по частям, а части по узлам, элементам и т.д. Но, принимая решения по отдельным узлам или элементам, проектировщик имеет в голове целостную картину сначала той подсистемы, в которую входит данный узел, а затем и системы в целом. Чаще всего этот процесс дробления на части, а затем сборки из готовых частей системы происходит неосознанно, как само собой разумеющееся. Описание объекта проектирования по подсистемам, узлам, элементам и т.д. - это информационная основа системы Mirage-ADT.
Все проектные процедуры, свойственные для неавтоматизированной технологии, связаны в системе в единую технологию, основой которой является единая модель проекта (ЕМП) всей проектируемой системы в машинном представлении. ЕМП включает в себя все элементы и все связи проектируемой сис-
темы с полным набором параметров, необходимых для документирования. Применение ЕМП позволяет полностью исключить дублирование информации при ее передаче от проектировщика к системе проектирования.
С функциональной точки зрения система Mirage-ADT состоит из трех основных подсистем:
• создания и ведения базы данных и знаний;
• подготовки и синтеза единой модели проекта (подсистема проектирования);
• документирования.
Для формального описания предметной области были применены так называемые фреймы (агрега-тивные и декомпозиционные). В рамках подсистемы создания и ведения базы данных и знаний разработан специализированный язык структурированного описания множества возможных проектных решений УЯБ. Описания на языке УЯБ образуют глобальную базу данных и знаний. Интегрированная среда системы Mirage-ADT состоит из многооконного текстового редактора и транслятора языка УЯБ, который в режиме обработки конкретного файла или потока файлов в случае отсутствия синтаксических ошибок переводит языковое описание во внутреннее представление базы данных и знаний (локальную базу данных и знаний). После завершения процедуры создания локальной базы система Mirage-ADT предоставляет возможность просмотра ее структуры, визуального прохождения по любой из веток иерархии предметной области с предоставлением информации о структуре вариантов фреймов, правилах соединения элементов между собой и внешней средой, контактах фреймов и др. Инструментальные средства позволяют создавать в диалоговом режиме новые или редактировать существующие фреймы с последующей ретрансляцией в описание на языке УЯБ.
Главной подсистемой является подсистема структурного синтеза (проектирования). Процесс структурного синтеза принципиально отличается от привычного и наиболее распространенного способа сборки целого из отдельных частей. Система Mirage-ADT предполагает синтез как движение от корня к множеству всех вершин. Что дает такой способ?
1. Проектировщику предоставляется возможность иметь целостное представление о будущем
