Модель защиты информационного процесса

Модель элементарной защиты. Модель элементарной защиты информационных процессов представлена на (Рис. 5. 1). Предмет защиты помещен в замкнутую защитную оболочку, называемой преградой. Прочность защиты зависит от свойств преграды. Способность противостоять вторжению со стороны нарушителя характеризуется прочностью преграды. Таким образом производится оценка защищенности информации и их процессов КС. При этом считается, прочность созданной преграды достаточна, если стоимость ожидаемых затрат на ее преодоление потенциальным нарушителем превышает стоимость защищаемой информации. Однако возможен и другой подход в оценки прочности защиты.

Рис. 5. 1. Модель элементарной защиты
(1 – предмет защиты; 2 - преграда; 3 – прочность преграды)

Известно, что информация со временем теряет свою привлекательность, стареет, а в отдельных случаях ее цена может упасть до нуля. Тогда за условие достаточности защиты можно принять превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Если вероятность непреодоления преграды нарушителем через P _сзи, время жизни информации через t _ж, ожидаемое время преодоления преграды нарушителем через t _н, вероятность обхода преграды нарушителем через P _обх, то для случая старения информации условие достаточности получается в виде:

P _сзи = 1, если t _ж < t _н и P _обх = 0.

P _обх равное нулю, отражает необходимость замыкания преграды вокруг предмета защиты. Если t _ж > t _н, а P _обх = 0, то

P _сзи = (1- P _нр), (5.1)

где P _нр – вероятность преодоления преграды нарушителем за время меньшее t _ж.

Для реального случая, когда t _ж > t _н и P _обх > 0, прочность защиты представляется в виде:

P _сзи = (1- P _нр)(1- P _обх),

P _нр =0, если t _ж < t _н; P _нр >0, если t _ж ³ t _н.

Последнее выражение справедливо при наличии двух нарушителей, т.е. когда один преодолевает преграду, другой в это время ее обходит. При условии если в наличии имеется один нарушитель, то нарушитель выберет наиболее простой т.е.:

P _сзи = (1- P _нр) È(1- P _обх), (5.2)

где знак È означает логическое действие “ ИЛИ ”

Следовательно, прочность преграды после определения и сравнения будет равна меньшему значению из них (5.2).

В качестве примера элементарной защиты, рассчитываемой по формуле (5.2), может названа криптографическая защиты информации, где величина P _нр может быть определена путем оценки вероятности подбора кода ключа, с помощью которого можно дешифровать закрытую информацию и определится по формуле:

, (5.3)

где n - количество попыток подбора кода;

A - число символов в выбранном алфавите кода ключа;

S - длина кода ключа в количестве символов.

Величина P _обх – зависит от выбранного метода шифрования, способа применения, полноты перекрытия текста информации, существующих методов криптоанализа, а также способа хранения действительного значения кода ключа и периодичности его замены на новое значение, если информация, закрытая данным способом, постоянно хранится у владельца. Возможны также и другие обстоятельства, влияющие на вероятность обхода криптографической защиты. Выбор и определение конкретной величины P _обх сначала проводится экспертным путем на основе опыта специалиста. Величина P _обх = 1 защиты теряет всякий смысл.

Возможна также и другая ситуация при которой у одной преграды есть несколько путей обхода. Тогда выражение (5.2) примет вид:

P _сзи = (1- P _нр) È(1- P _обх1) È (1- P _обх2) È... È(1- P _обхk), (5.4)

где k - число путей обхода преграды, т.е. прочность преграды равна наименьшему значению, полученному после определения и сравнения величин

(1 - P _нр), (1- P _обх1), (1- P _обх2),...,(1- P _обхk).

В случае если информация, подлежащая защите, не устаревает или периодически обновляется, т.е. t _ж > t _н постоянно или когда t _н > t _ж невозможно обеспечить, то применяется постоянно действующая преграда, обладающая свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защиты. В качестве защиты используется человек или автоматизированная система под контролем человека. Безусловно, параметры этой преграды будут влиять на ее прочность.

Способность преграды обнаруживать и блокировать НСД должна учитываться при оценке ее прочности путем введения в расчетную формулу (5.4) вместо (1- P _нр), где P _обл - вероятность обнаружения и блокировки несанкционированного доступа.

Принцип работы автоматизированной преграды основан на том, что производится периодический контроль датчиков обнаружения нарушителя. Периодичность контроля может достигать сотые доли секунды и менее. В этом случае ожидаемое время преодоления преграды нарушителем превышает время опроса датчиков обнаружения. Поэтому такой контроль считается постоянным. Но для обнаружения нарушителя человеком (оператором) этого недостаточно. Необходимо время для срабатывания тревожной сигнализации, так это время значительно превышает время опроса датчиков и тем самым увеличивается время обнаружения нарушителя. Практика показывает, что сигнал тревоги, как правило, приостанавливает действия нарушителя, если этот сигнал дошел до него. Но поскольку физический доступ к объекту еще открыт, то охрана должна локализовать нарушителя и организовать его блокировку.

Таким образом, условие прочности преграды с обнаружением и блокировкой НСД можно представить в виде соотношения:

, (5.5)

где T _д - период опроса датчиков;

t _ср - время срабатывания тревожной сигнализации;

t _ом - время определения места доступа;

t _бл - время блокировки доступа.

Если (T _д + t _ср + t _ом + t _бл) через T _обл, получим соотношение

, (5.6)

где T _обл - время обнаружения и блокировки несанкционированного доступа.

Процесс контроля НСД и несанкционированных действий нарушителя представлен на рисунке (Рис. 5. 2).

Рис. 5. 2. Временная диаграмма контроля НСД

Из диаграммы видно, что нарушитель может быть не обнаружен в двух случаях:

а) когда t _н < T;

б) когда T < t _н < T _обл;

В первом случае требуется дополнительное условие - попадание интервала времени t _н в интервал T, т.е. необходима система синхронизация действий нарушителя с частотой опроса датчиков обнаружения. Для решения этой проблемы нарушителю придется скрытно подключить измерительную аппаратуру в момент выполнения НСД, что является достаточно сложной задачей для постороннего человека. Поэтому считаем, что свои действия с частотой опроса датчиков он синхронизовать не может и приходится надеяться на некоторую вероятность попадания отрезка времени t _н в промежуток между импульсами опроса датчиков, равный T.

Согласно определению геометрической вероятности (курс теории вероятности) получим выражение для определения вероятности успеха нарушителя в следующем виде.

. (5.7)

Вероятность обнаружения НСД нарушителя определяется выражением:

(5.8)

или , (5.9)

если t _н > T нарушитель будет обнаружен наверняка, т.е. T _об =1. Во втором случае, когда T < t _н < T _обл, вероятность успеха нарушителя будет определяться по аналогии с предыдущим соотношением:

. (5.10)

Вероятность обнаружения и блокировки НСД:

(5.11)

. (5.12)

При t _н. > T _обл попытка НСД не имеет смысла, так как она будет обнаружена.

Таким образом, прочность преграды со свойствами обнаружения и блокировки можно производить по формуле:

P _сзи = P _обл È(1- P _обх1) È (1- P _обх2) È... È(1- P _обхj), (5.13)

где j - число путей обхода этой преграды;

È - знак “ИЛИ”.

Следует отметить, что эта формула справедлива также и для организационной меры защиты.

Для более полного представления прочности преграды в виде автоматизированной системы обнаружения и блокировки НСД необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.

Вероятность отказа системы определяется ее по формуле:

P _отк (t) = 1 – e^-lt, (5.14)

где l - интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки НСД;

t - рассматриваемый интервал времени функционирования системы обнаружения и блокировки НСД.

С учетом возможного отказа системы контроля прочность преграды будет:

P _сзиК = P _обл(1- P _отк1) È (1- P _обх1) È (1- P _обх2) È... È(1- P _обхj), (5.15)

где P _об.л и P _отк определяется по формулам (5.12) и (5.14);

P _обх – количество путей обхода j определяется экспертным путем на основе анализа принципов построения системы контроля и блокировки НСД.

Одним из возможных способов обхода системы обнаружения и блокировки – возможное ее отключение или замыкание (обрыва) контрольных цепей. Таким образом следует, что защитные преграды могут быть двух типов контролируемые и неконтролируемые человеком. Неконтролируемые определяется по формуле (5.4), а контролируемые (5.15).

Значения P _обх1, P _обх2,…, P _обхj определяются в пределах от 0 до 1 экспертным путем на основе опыта специалистов. При экспертной оценке вероятности наступления того или иного события (Р _нр, Р _обх и т. д.) в целях унификации метода за основу приняты следующие градации значений [3]:

Р = 0 — событие невозможно;

Р = 0,2 — событие маловероятно;

Р = 0,5 — событие вероятно наполовину;

Р = 0,8 — событие вполне вероятно;

Р = 0,95 — вероятность события высокая;

Р = 1 — событие произойдет наверняка.

Модель многозвенной защиты. На практике в большинстве случаев защитный контур состоит несколько “соединенных” между собой преград с различной прочностью. Модель такой защиты представлена на рис 5.3. Примером такого вида защиты может служить помещение, в котором хранится оборудование. В качестве преград с различной прочностью здесь могут служить стены, пол, окна и замок на двери.

Рис. 5. 3. Модель многозвенной защиты (1-преграда 1; 2- преграда 2; 3 предмет защиты; 4-прочность преграды; 5-преграда 3)

Для вычислительной системы соединение преград имеет несколько иную реализацию. Здесь следует отнести систему контроля доступа к аппаратуре, систему защиты от вскрытия, систему опознавания, систему, контролирующую доступ к периметру компьютерной системы. Однако такая система не является замкнутой. Система не защищена от доступа к средствам отображения информации, документирования, от побочного излучения и другим каналам. Таким образом, в состав защиты информационных процессов войдут еще система контроля доступа в помещение, система шифрования и т.п. Таким образом, система защиты не будет замкнутой и будет оставаться не защищенной пока есть возможность каналов утечки.

Формальное описание для прочности многозвенной защиты практически совпадает с выражениями (5.2) и (5.15), так как наличие нескольких обходных путей одной преграды, не удовлетворяющей для неконтролируемой преграды.

P _сзи = P _сзи1 È P _сзи2 P _сзи3 È...È P _{сзи i} È(1- P _обх1) È (1- P _обх2) È... È · (1- P _{обх k} ), (5.16)

где P _{сзи i} - прочность i -той преграды.

Выражение для прочности многозвенной защиты с контролируемыми преградами будет иметь вид:

P _сзиk = P _сзиk1 È P _сзиk2 P _сзиk3 È...È P _сзиkn È(1- P _обх1) È (1- P _обх2) È... È(1- P _обхj), (5.17)

где P _сзиkn - прочность n-ой преграды.

Здесь следует, что оценка прочности защиты информации для неконтролируемой и контролируемой преграды могут быть раздельными, так как исходные данные для них различны.

Если прочность слабейшего звена удовлетворяет предъявленным требованиям контура защиты в целом, возникает вопрос об избыточности прочности на всех остальных звеньях данного контура. Поэтому при проектировании экономически целесообразно использовать равнопрочные звенья. При расчете прочности контура защиты возникает ситуация, когда звено с наименьшей прочностью не удовлетворяет предъявленным требованиям. В этом случае звено заменяют на более прочное или его дублируют. Иногда дублируется слабое звено двумя и более преград. Дополнительные преграды должны перекрывать то же количество или более возможных каналов НСД, что и первая. Тогда суммарная прочность дублированных преград будет:

, (5.18)

где - порядковый номер преграды;

m - количество дублирующих преград;

P _i - прочность i-й преграды.

Участок защитного контура с параллельными (дублированными) преградами иногда называют многоуровневой защитой. В компьютерной системе защитные преграды часто перекрывают друг друга (например, системы контроля доступа в помещение, охранной сигнализации и контрольно-пропускного пункта на территорию объекта защиты).

Многоуровневая защита. В ответственных случаях при повышенных требованиях к защите применяется многоуровневая защита, модель которой представлена на рис 5.4. Данная модель позволяет систематизировать работу по созданию комплексной системы защиты информации и информационных процессов [6].

В качестве объекта защиты в такой модели являются: информационные ресурсы, информационные процессы и информация.

Рис. 5. 4. Модель многоуровневой защиты информации

1, 2,…, N – уровни защиты; P _{1, k} – прочность 1-го уровня k -го звена; P _{2, l} – прочность 2-го уровня l -го звена; P_{N ,m} – прочность N -го уровня m -го звена.

Число уровней защиты компьютерной системы или сети должно быть не менее четырех.

§ Внешний уровень, охватывающий территорию, где расположено оборудование системы или сети.

§ Уровень сооружений, помещений или устройств.

§ Уровень компонентов системы (технических средств, программного обеспечения, элементов баз данных).

§ Уровень технологических процессов обработки данных (ввод-вывод, внутренняя обработка т.д.).

При практической реализации системного подхода принимают три положения: 1) система защиты и внедрение системы защиты проводится одновременно с разработкой компьютерной системы; 2) реализация функции защиты - преимущественно аппаратная; 3) строгое доказательство обеспечения задаваемого уровня защиты.

Прочность многоуровневой системы защиты определяется выражением

, (5.19)

где - суммарная прочность системы защиты;

- прочность n -го уровня;

N – число уровней системы защиты.

При P_N = 0 данный уровень в расчет не принимается. При P_N = 1 остальные уровни являются избыточными. Данная модель справедлива для контуров защиты, перекрывающие одни и те же каналы ВКНСД к одному и тому же предмету.

Прочность защиты преграды является достаточной, если затраты на создание систем защиты адекватны ценности объекта защиты и ожидаемое время преодоление ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытого обхода этой преграды.

При расчете суммарной прочности нескольких контуров защиты в формулу (5.18) вместо P _i включают P _кi - прочность каждого контура, значение которой определяется по одной из формул (5.16) и (5.17), т.е. для контролируемых и неконтролируемых преград опять расчеты должны быть раздельными и производиться для разных контуров, образующих каждый отдельную многоуровневую защиту. При P _кi =0 данный контур в расчет не принимается. При P _кi =1 остальные контуры являются избыточными. Данная модель справедлива лишь для контуров защиты, перекрывающие одни и те же каналы НСД к одному и тому же предмету защиты.