CC BY
53
4. Кононенко Р.Н., Божич В.И. Модель мультиагентной информационной поисковой системы WWW // Internet и современное общество // Тез. Второй науч.-метод. конф. СПб, 29 ноября - 3 декабря 1999. - СПб: Изд-во СПб ун-та, 1999. - С. 92-93.
5. Кононенко Р.Н., Божич В.И. Модель мультиагентной поисковой системы Internet на основе нейросетевых агентов // VI Всерос. конф.: Нейрокомпьютеры и их применение (НКП 2000), 16-18 февраля 2000. // Сб. науч. тр. - М, 2000. - С. 245249.
6. Божич В.И., Кононенко Р.Н., Топчий А.П. Технологии агентов в распределенных информационно-вычислительных
сетях // Науч.-техн. конф. Информационная безопасность автоматизированных систем, 16-17 июня 1998 г. - Воронеж, НИИ связи: Истоки, 1998. - С.123-129.
7. Божич В.И., Кононенко Р.Н., Абияка А.А. Нейросете-вое управление в мультиагентной системе с самоорганизующейся коммуникацией // Науч. сессия МИФИ - 99. Всерос. на-уч.-техн. конф.: Нейроинформатика-99. // Сб. науч. тр.: В 3 Ч. Ч.3. - М.: МИФИ, 1999. - С. 239-246.
8. Абияка А.А., Божич В.И., Кононенко Р.Н. Самоорганизующаяся коммуникация в мультиагентной системе с нейросе-тевым управлением // Изв. АН.: Теория и системы управления. - 1999. - № 5. - С.135-138.
НЕКОТОРЫЕ АСПЕКТЫ ПРОБЛЕМЫ СИНТЕЗА СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В.В. Карпов
Интенсивная компьютеризация и проникновение информационных технологий в области человеческой деятельности, где безопасность информации имеет особо важное значение, привели к значительному росту интереса к проблеме создания систем защиты информации (СЗИ). В публикациях на указанную тему обосновываются требования к защищенным информационным системам по обеспечению следующих свойств информации и систем ее обработки [1,2]:
- конфиденциальность как характеристика информации, определяющая необходимость введения ограничений на перечень субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней;
- целостность информации, то есть существование информации в неизменном по отношению к некоторому фиксированному ее состоянию виде;
- доступность информации как способность системы обеспечивать своевременный беспрепятственный доступ субъектов к запрошенной информации.
Целью настоящей статьи является рассмотрение ряда задач, возникающих при создании систем защиты информации от несанкционированного доступа (НСД). Наличие СЗИ от НСД в информационной системе является необходимым условием обеспечения конфиденциальности информации [3]. Каждый раз при разработке системы защиты по сути решается задача оптимального синтеза СЗИ для заданного множества угроз с учетом характеристик защищаемой системы и дополнительных требований, указанных в техническом задании [2]:
Q«h = arg max ß(P, S, C) при yi e y * ,
seS,ceC
где Р=(Ръ - вектор параметров задач защи-
ты информации, решение которых является функцией СЗИ с областью определения Р;
8=(8х, ...,8Т) - вектор параметров структуры СЗИ, определенный на множестве возможных структур 8;
С=(Сь ...,С0) - вектор параметров управления процессами защиты информации с областью определения С;
У=(Уь ...,У\) - вектор характеристик СЗИ, составляющие которого суть функции параметров Р, 8 и С;
Е=^(У) - функция, определяющая значение показателя эффективности как интегральной характеристики качества СЗИ;
I = а, ..., w - индексы, выделяющие характеристики, которые должны принадлежать заданным областям уа,..., yW ;
0*зи - оптимальный технический облик СЗИ на множестве технических решений Т^);
Таким образом, требуется определить такие параметры структуры 8 и параметры управления С, которым соответствует максимум показателя Е=Й(Р,8,С) при выполнении требований на характеристики СЗИ.
Как правило, основными требованиями к СЗИ, предъявляемыми в техническом задании (ТЗ), являются:
- уровень защищенности;
- требования к производительности;
- ограничения по стоимости.
Уровень защищенности определяется обычно перечислением функциональных требований к СЗИ в соответствии с планируемым классом защищенности по руководящим документам Гостехкомиссии России. В ряде работ подобный подход признается устаревшим и предлагается ввести
обобщенные расчетные показатели защищенности, как правило, вероятностного типа.
Требования к производительности устанавливаются, в основном, к базовой информационной системе, которую защищает СЗИ. Относительно СЗИ оговаривается, что она не должна ухудшать динамические характеристики базовой системы сверх заданного уровня. В этом месте возникает проблема распределения производительности. В самом деле, если требования заданы для всей информационной системы, включающей несколько подсистем, в том числе и СЗИ, то необходимо уметь распределить общую производительность между подсистемами, чтобы предъявить частные требования к СЗИ непосредственно.
Требования по стоимости предъявляются чаще непосредственно к системе защиты и могут определять конкретную сумму, которая может быть потрачена на создание СЗИ, либо требуется минимизация затрат при условии достижения заданного класса защищенности.
Рассмотрим последовательность синтеза СЗИ исходя из того, что уровень защищенности задан обобщенным показателем, определяющим вероятность обеспечения защиты Рзащ, требования к производительности определены для информационной системы в целом, а стоимость разработки СЗИ ограничена конкретным значением 80.
Представим СЗИ в виде сетевой модели, состоящей из ядра N и сервисов защиты 81 (см. рис.). На вход сервисов поступают потоки запросов на доступ, формируемые программами информационной системы. Каждый из сервисов отвечает за защиту от угрозы определенного типа. Его задача состоит в том, чтобы распознать угрозу и заблокировать несанкционированный запрос.
Действие системы защиты состоит в том, что исходный поток запросов разрежается, образуя выходной поток.
Обозначим входные потоки несанкционированных запросов ¥¡(1:), 1=1, ..., п, а потоки нераспознанных (пропущенных) системой защиты несанкционированных запросов ¥¡(1:). Учтем факт
неполного закрытия системой защиты всех возможных каналов проявления угроз отсутствием для т входных потоков сервисов СЗИ, что означает ¥¡'(1) = ¥¡(1).
Потоки запросов на несанкционированный доступ, поступающие по 1-м каналам разрежаются с вероятностями р1(у) , которые зависят от используемого способа обнаружения НСД.
На выходе СЗИ образуется выходной поток, являющийся объединением выходных потоков 1-х сервисов и потока НСД-запросов, приходящих по т неконтролируемым каналам.
Пусть заданы функции распределения моментов появления НСД-запросов для каждого из сервисов: F1(t), а также вероятности обнаружения НСД: р1(у). При этом вероятности пропуска НСД равны: ^(у)=1 - р1(у).
Определим показатель защищенности от НСД как вероятность отсутствия пропущенных НСД-запросов на выходе системы защиты:
г(1)=Р{Хнед>1}=1 - F(t) , где F(t) = Р{11+1 - 1 = тнсд < 1} является функцией распределения случайной величины тнсд, которая представляет собой время между двумя соседними пропусками НСД-запросов 1 +1 и ^
Определим случайную величину У1 как длину интервала времени от момента 1 до будущего момента пропуска НСД.
Обозначим через Ф1(1) функцию распределения У1 ¡-го потока. Плотность распределения функции Ф1(1) связана с функцией распределения Ц (1) следующей зависимостью
-м
где Ц (1) - функция распределения времени между последовательно поступившими НСД-запросами на выходе ¡-го сервиса;
Т1 - среднее время между пропусками НСД ¡-м сервисом.
Учитывая определение для показателя защищенности, можно записать:
Ф'!(1)=:ЬВД
откуда:
Ф!(1)= / .
1 Т
Обозначим через ф(э) преобразование Лапласа плотности функции распределения F(t), то есть положим
м
ф(э)= / е-^(О .
о
Для разреженного потока соответствующее преобразование Лапласа согласно [4] имеет вид
ф(э):
1 - рф(э)
Если потоки НСД-запросов на выходе сервисов являются рекуррентными и независимыми, то плотность объединяемых потоков НСД на выходе СЗИ будет равна
~ к ~ т ~
F¿(t) = Е Ц(1) + Е Fj(t).
¡=1 j=1
Таким образом, если функция распределения F1(t) имеет преобразование Лапласа, то, используя формулы для расчета плотности разреженного потока, можно получить выражение для F1(t), затем найти Ф^) и определить Ф2(0. Далее находится показатель защищенности Z£(t), исходя из зависимости, связывающей его с Фе(0.
Рассмотрим решение задачи выбора структуры и компонент СЗИ по критерию защищенности при наличии ограничений в виде дополнительных затрат на разработку средств защиты.
Общий показатель защищенности является функцией от защищенности всех компонент информационной системы:
К(1,¥)=К(1, У1, У2, ..., Уп).
Поскольку сервисы СЗИ в смысле обеспечения защиты объединены последовательно, то можно записать:
п
Й(1,У)= П К,(1,У,)
¡=1
Очевидно, что задача выбора оптимальной системы защиты возникает при наличии ограничений на затрачиваемые на повышение защищенности средства. Как правило, затрачиваемые средства возрастают с увеличением количества контролируемых угроз и с улучшением характеристик защищенности.
Задача выбора оптимальной системы защиты по степени защищенности при наличии одного ограничения может быть сформулирована следующим образом.
1. Найти вектор состава системы Бо такой, что
Стоимость (Бо) = Ш С(Б),
где Б - множество всех возможных (допустимых) решений, то есть
К(1,Бо)> Й
2. Найти вектор Бо такой, чтобы
Й(1,Бо) = эирЩ^Б),
БоеБ
где У - множество допустимых решений, то есть
Стоимость (8) < Стоимость .
В простейшем случае задача синтеза СЗИ может быть решена методом перебора вариантов. В более сложных случаях необходимо использовать методы динамического программирования, теорию графов и т.п.
Первый этап состоит в определении возможно более полного перечня угроз и в разбиении информационной системы на компоненты, на которые угрозы преимущественно воздействуют.
Далее для полученной декомпозиции структуры защищаемой системы и параметров ее блоков оцениваются интенсивности потоков НСД, с использованием которых вычисляются характеристики защищенности - интенсивности пропущенных НСД-заявок. Затем подсчитываются дополнительные затраты на реализацию угго метода защиты от ¡-й угрозы и строится направленный конечный граф.
После построения графа задача оптимального синтеза СЗИ сводится к нахождению кратчайшего допустимого пути в графе.
Список литературы
1. Гайкович В.Ю., Першин А.Ю. Безопасность электронных банковских систем. - М.: Компания «Единая Европа», 1994.
2. Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.
3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.
4. Беляев Ю.К. Предельные теоремы для редеющих потоков. - Теория вероятностей и ее приложения, - М.: Знание, 1968.
ОБЕСПЕЧЕНИЕ НАДЕЖНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ
ЗАЩИТЫ ИНФОРМАЦИИ
А.Г. Савельев
Одной из наиболее серьезных проблем, затрудняющих применение современных информационных технологий, является обеспечение их информационной безопасности. Особенно важна безопасность так называемых критических приложений, к числу которых относятся системы государственного и военного управления, объекты атомной энергетики, ракетно-космическая техни-
ка, а также финансовая сфера, нарушение нормального функционирования которых может привести к тяжелым последствиям для окружающей среды, экономики и безопасности государства.
Потенциальная уязвимость информационных систем (ИС) по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности
