CC BY
18
УДК 61:001.08:007
ПРОБЛЕМЫ ЗАЩИТЫ СИСТЕМ ТЕЛЕМЕДИЦИНЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ОПАСНЫХ ВОЗДЕЙСТВИЙ ВНЕШНЕЙ СРЕДЫ
© 2003 г. М.А. Бутакова
Создание систем телемедицины формулирует ряд проблем, характеризующих качество их функционирования, важнейшими из которых являются защита систем от несанкционированного доступа и опасных воздействий внешней среды. В работе [1] обозначен подход, основанный на использовании вероятностной трактовки указанных показателей. Приведенные рассуждения и выкладки комментируются на примере интегрированной системы мониторинга, идентификации и управления (СМИУ) лечения больных сахарным диабетом.
Моделирование защиты системы от опасных воздействий
По определению [2] информационная система, частным случаем которой является рассматриваемая телемедицинская интегрированная система мониторинга, идентификации и управления лечением больных сахарным диабетом, «считается защищенной от опасных программно-технических воздействий в течение заданного периода времени Тзад, если к началу периода целостность системы обеспечена и в течение всего периода Тзад либо источники опасности не проникают в систему, либо не происходит их активизации».
Вопросы защиты информации необходимо рассматривать в различных аспектах: это и вопросы эффективного кодирования сообщений при передаче информации от одних подсистем к другим, и защита от несанкционированного доступа, и профилактическая диагностика целостности системы, и непрерывный мониторинг безопасности и т. п. Причем каждый из этих вопросов, в свою очередь, включает множество аспектов информационной защиты, что могло бы стать темой отдельного исследования. Автор рассматривает лишь некоторые вопросы с целью показать на примерах, как можно оценить качество модели системы телемедицины с точки зрения защиты ее от опасных воздействий.
В зависимости от конкретной реализации системы, защита ее от опасных воздействий может быть организована по-разному. Это может быть автоматический периодический (с заданным периодом) контроль целостности системы с индикацией обнаруженных нарушений, реализованный в виде программного комплекса, постоянно сканирующего систему, либо контроль за целостностью системы со стороны человека-оператора (также с заданным периодом) с использованием необходимого программного обеспечения, либо комбинация этих способов. Рассмотрим для примера один из вариантов.
Профилактическая диагностика целостности системы
Рассмотрим случаи:
1. Заданный период безопасного функционирования (Тзад < Тмеж + Тдиаг), т.е. Т3ад либо укладывается между диагностиками, либо за это время может произойти лишь одна диагностика;
2. Заданный период безопасного функционирования Тзад больше или равен периоду между диагностиками (Тзад ^ Тмеж+ Тдиаг), т.е. за это время заведомо произойдет одна или более диагностик.
Здесь Тмеж - время с момента завершения предыдущей диагностики до начала следующей диагностики согласно регламенту, Тдиаг - время диагностики. В рассматриваемой системе диагностику целостности и работоспособности системы должна производить специально разработанная программа, сканирующая элементы системы через заданные интервалы времени (как, например, операционная система регулярно сканирует и проверяет целостность и идентичность БАТ-таблиц).
Вариант 1. Опасное воздействие за период Тзад состоит в том, что источник опасности проникает в систему и успевает активизироваться. При условии независимости исходных характеристик вероятность Реозд.(1)(Тзад) отсутствия опасного воздействия в течение периода Тзад:
Рвозд(1)(Тзад) 1 — ^возд*^акт (Tзад), (1)
где * - знак свертки (с учетом независимости); 0,еозд(() -функция распределения времени воздействия на систему с целью внедрения источника опасности, в [2] &воад(0=1-е<'~°*), ст - частота воздействий; 0,акт - функция распределения времени активизации источника опасности после его проникновения в систему, &акт = 1- е(-/в), в - среднее время активизации проникшего в систему источника опасности.
Эта же формула может быть использована для оценки вероятности отсутствия опасных воздействий без какой-либо диагностики в предположении, что к началу периода Тзад целостность системы обеспечена (расчет по формуле (1)).
Моделирование защиты системы от несанкционированного доступа к ресурсам системы
Под защищаемыми ресурсами в рассматриваемой СМИУ будем понимать как информацию, хранящуюся в базах данных и базах знаний, так и программные комплексы, реализующие основные функции систе-
мы: обработку и передачу информации от одних подсистем к другим, принятие решений и выдачу советующих и управляющих воздействий.
Рассмотрим общий случай, когда защищаемые ресурсы считаются априори ценными в течение бесконечного периода времени. Вероятностное пространство для оценки отсутствия воздействий в результате несанкционированного доступа будем строить, предполагая, что в системе реализованы элементы защиты ресурсов от возможных нарушителей.
Несанкционированный доступ к системе может осуществиться при условии, что 1) нарушителю станет известна система защиты в части, необходимой для достижения его целей и 2) нарушитель успеет получить доступ к информационным и/или программным ресурсам системы до того, как эта система защиты видоизменится, после чего перед нарушителем возникнет проблема повторного нарушения защитных преград.
Суть формализации представлена на рисунке.
При условии существования стационарных распределений исходных характеристик системы защиты ресурсов вероятность предотвращения несанкционированного доступа
M
P = 1 - TT P
защ 11 nöm
m =1
(2)
где М - количество преград, которое необходимо преодолеть нарушителю, чтобы получить доступ к ресурсам; Pнд - вероятность преодоления нарушите-
лем m-и преграды:
P»öm = f" Í [1 - Fm (t)]Um (t)dt ,
Jm 0
(3)
Схема защиты ресурсов от возможных нарушителей
где Fm(t) - функция распределения времени между соседними изменениями защитных параметров т-й преграды (приводящих к необходимости новой их расшифровки нарушителем), /т - среднее; Пт(() -функция распределения времени расшифровки значений параметров т-й преграды, ит среднее (для средств защиты с неизмеряемыми параметрами в качестве среднего может выступать время наработки на ошибку или отказ).
Аналитические выражения (1), (2), (3) позволяют оценить вероятность опасного воздействия среды на исследуемую систему.
Литература
1. Бутакова М.А. Вероятностный подход к оценке качества
функционирования систем телемедицины. // Изв. вузов. Сев.-Кавк. регион. Техн. науки, 2003. Спецвыпуск, Математическое моделирование и компьютерные технологии.
2. Безкоровайный М.М., Костогрызов А.И., Львов В.М. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем: Руководство системного аналитика. М., 2002.
Ростовский государственный университет путей сообщения
16 июня 2003 г.
