Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава 17. Метод уровневого контроля списков санкционированных событий
Как видно из вышеприведенных измерений, величина
Т
мю
=
Т^
+
Т
ою
на
порядки меньше величины
Т
зю
,
что позволяет сделать вывод о возмож-
ности контроля списков в реальном
времени..
Анализ механизма контроля целостности файловой системы
С самого начала необходимо отметить, что эту группу механизмов обра-
зуют не списки прав доступа (к файловым объектам, к ключам реестра,
к устройствам и т.д.), которые также могут контролироваться, образуя
соответствующие списки событий, а собственно файловые объекты. Та-
ким образом, для данной группы контролируется не собственно процесс
доступа, а непосредственно состояние файлового объекта.
Для механизма контроля целостности объектов файловой системы пара-
метрами являются:
Т.
время доступа к объекту файловой системы (на запись);
Т. время контроля целостности объектов файловой системы.
Для того чтобы гарантировано защитить систему от действий, связанных
с нарушением целостности объектов файловой системы, должно выпол-
няться условие:
Т < Т < Т
*мф
х
кф
х
зф'
где
Т
мф
- максимальный интервал времени с которым должна запускаться
процедура контроля целостности объектов файловой системы.
Очевидно, что данное условие практически никогда выполняться не бу-
дет, т.к., чтобы проконтролировать целостность файлового объекта, его
нужно сначала прочитать, что сопоставимо по продолжительности с за-
писью объекта. Исключение может составить лишь включение искусст-
веной задержки доступа к файловым объектам, но это связано с боль-
шими затратами вычислительного ресурса.
Обобщенная оценка
На основе проведенных измерений может быть сделан вывод, что для
большинства параметров системы (за исключением контроля объектов
файловой системы) возможно применение уровневого контроля событий
в реальном масштабе времени для защиты их от НСД.
С учетом существенного различия ограничений на время реакции систе-
мы при контроле списков различных событий может быть рассмотрена
и исследована задача назначения приоритетов в схеме обслуживания за-
просов контроля событий. При этом необходимо учитывать, что вклю-
чение приоритетов не должно нарушать выполнения требований к функ-
ционированию системы в реальном времени.
301
Часть V. Контроль корректности функционирования механизмов защиты
17.3. Двухуровневая модель аудита
на базе механизма уровневого контроля
списков санкционированных событий
Система защиты должна осуществлять регистрацию основных событий
при функционировании защищаемого объекта.
В рамках построения иерархической системы защиты, как следствие,
может строиться иерархическая система аудита, содержащая следующие
уровни иерархии.
Первый уровень иерархии аудита — регистрация событий уровней защи-
ты, реализующих разграничительную политику доступа к ресурсам. В
рамках данной функции аудита решаются следующие задачи:
* ведется аудит всех событий, связанных с действиями пользователей
по доступу к ресурсам защищаемой системы (вход в систему, запрос
и получение доступа к защищаемым ресурсам и т.д.);
« ведется аудит событий, связанных с действиями администратора бе-
зопасности по созданию и переназначению прав доступа пользовате-
лей к ресурсам защищаемой системы (создание и уничтожение субъек-
тов и объектов доступа, действий по переназначению прав
разграничения доступа и т.д.).
Второй уровень иерархии аудита — регистрация событий, относящихся
к контролю корректности функционирования механизмов защиты, ре-
ализующих разграничительную политику доступа к ресурсам. Данный
контроль ведется механизмами уровневого контроля списков санкцио-
нированных событий.
Принципиальным отличием в регистрации событий для рассмотренных
уровней иерархии аудита является то, что на первом уровне иерархии
фиксируются все события, связанные с доступом к защищаемым ресур-
сам (ведутся журналы регистрации). Что касается второго уровня, то на
нем регистрируются только
ошибки
(ведутся журналы ошибок) и факты
некорректности срабатывания механизмов защиты, реализующих разгра-
ничительную политику доступа к ресурсам,
а
также факты НСД.
Реализация иерархической модели аудита позволяет ввести в системе за-
щиты различные схемы обработки журналов, в частности при удаленном
управлении системой защиты
--
ее клиентской частью и с сервера безо-
пасности. При этом регистрационная информация первого уровня аудита
сохраняется в соответствующих файлах клиентской части системы защи-
ты и могут быть переданы на сервер безопасности по запросу админист-
ратора безопасности (затем соответствующим образом им обработаны с
применением фильтров, входящих в состав системы защиты).
302
Глава
17.
Метод уровневого контроля списков санкционированных событий
Регистрационная информация второго уровня аудита в реальном времени
выдается клиентской частью системы защиты на сервер безопасности и ото-
бражается в специальном окне интерфейса сервера — в окне сервера оши-
бок. Кроме того, на каждый тип ошибки администратор безопасности
может задать реакцию, как на клиентской части системы защиты, так и
на сервере безопасности.
Таким образом, использование механизма уровневого контроля позволяет
выделить два уровня аудита, для которых принципиально различаются ре-
жимы обработки запросов (оперативная обработка и обработка в реаль-
ном времени). Это, с одной стороны, позволяет существенно повысить
оперативность обработки критичных событий, обеспечивая реакцию на
критичные события в реальном масштабе времени. С другой стороны это
позволяет существенно снизить нагрузку на трафик. И действительно, в
реальном времени по сети на сервер безопасности передаются только
данные второго уровня аудита, т.е. нагрузка на сетевой трафик подсис-
темой аудита сводится к минимуму. При этом отметим, что в штатном
режиме функционирования сетевой системы защиты именно интенсив-
ность и объемы передачи данных аудита определяют дополнительную
нагрузку, генерируемую системой защиты на сетевой ресурс.
глава 18
Разработка и оптимизация
механизма уровневого
контроля,
как механизма реального
времени
18.1.
Задача оптимизации механизма
уровневого контроля в рамках
вычислительной системы
Очевидно, что как любая синхронная процедура (синхронно — то есть по
расписанию) рассматриваемый метод защиты информации потенциально
может оказывать весьма существенное влияние на производительность за-
щищаемого объекта. Особенно это может сказываться при жестких вре-
менных ограничениях на время автоматической реакции на обнаруживае-
мое несанкционированное событие (система реального времени).
Уже на основе описания метода можно предположить, что потребуется
решать оптимизационные задачи с целью снижения влияния рассматри-
ваемого подхода на производительность системы.
Так как исследования будут проводиться для систем реального времени (или
реального масштаба времени — РМВ), прежде всего рассмотрим основные
принципы построения и синтеза подобных систем в общем случае.
304
Глава
18.
Разработка и оптимизация механизма
уровневого
контроля
18.2. Теоретические основы обслуживания
заявок в вычислительных системах
в реальном времени (по расписаниям)
18.2.1. Общая модель системы
реального времени (в общем виде)
Общая модель и условие обслуживания заявки
в реальном времени
Рассмотрим модель системы реального времени в общем случае, то есть
для распределенных вычислительных систем (ВС). Соответственно, в ча-
стном случае, когда необходимо решать задачу в рамках сосредоточен-
ной вычислительной системы (в рамках одного защищаемого компьюте-
ра), соответствующие параметры, используемые в модели, могут быть
опущены [20, 21].
Так как основными требованиями к качеству построения и функциони-
рования ВС реального времени является выполнение временных ограни-
чений в обслуживании заявок, то распределенную ВС реального времени
можно описать детерминированной моделью. Эта модель характеризуется
не вероятностными, а граничными значениями параметров.
К временным параметрам
обслуживания
заявок относятся величины:
Т
продолжительность занятия ресурса
т-м
абонентом,
т
=
\,...,Мдля
информационного взаимодействия с ним;
Т
т
^
.... продолжительность передачи прав
/я-му
абоненту после ос-
вобождения ресурса в системе;
K
i(m)
..
коэффициент частоты занятия ресурса
/-м
абонентом
/
=
1,...,М
относительно
т-го
(i^m).
Качество обслуживания заявок можно описать характеристиками:
Т
а
^
продолжительность арбитража требования
/и-ro
абонента (с
момента появления заявки до момента предоставления або-
ненту права занять ресурс) или, соответственно, продолжи-
тельность ожидания заявкой обслуживания;
Т
0
^
продолжительность обслуживания заявки системой.
Для систем реального времени интерес представляют граничные (худшие
для любой заявки) значения рассмотренных характеристик, которые со-
ответственно обозначим:
7^,
Т
гпПт
,
К
г
,
(т)
,
Т
га
^
Т
го
^,
i,m = \,...,M, i
Ф
m,
откуда получаем параметры обслуживания заявок в системе реального вре-
мени:
т
гаа
,
т
г0т
.
305
Часть V. Контроль корректности функционирования механизмов защиты
С учетом сказанного получаем модель системы реального времени в об-
щем виде:
м
га
т
~
гпп
т
2^
ii(m,i#m)(
гяп,
'
гр-,
'
М
Т =Т +Т
1
J
га„
т
'
гр
т
Таким образом, обслуживание заявки в реальном масштабе времени кор-
ректно, если для любого абонента системы m (m = \...M) выполняются
условия (18.1). Если условие (18.1) хотя бы для одного абонента систе-
мы не выполняется, то нельзя считать, что его заявки обслуживаются в
реальном масштабе времени. В этом случае параметры обслуживания
Т
а
„
и
Т
0
„,
не могут быть ограничены сверху, и, следовательно, всегда най-
дутся условия функционирования системы,
при
которых
Т
г
а
т
<Т
а
т
,
Т
г0т
<Т
0
,„
или заявка будет обслужена не в реальном времени.
Понятие «цикл расписания»
Условие (18.1) выполняется только в том случае, если в системе реали-
зуется дисциплина обслуживания заявок по расписаниям, т.к. любая иная
дисциплина обеспечивает выполнение данных условий с некоторой ве-
роятностью (без учета эксплуатационных характеристик), что для рассмат-
риваемого случая недопустимо.
Расписание будем характеризовать его циклом — повторяющейся очеред-
ностью передачи прав на занятие ресурса. Цикл расписания будем зада-
вать в круглых скобках. Например, цикл (1, 2, 3, 4) означает следующую
циклическую последовательность передачи прав на занятие ресурса: пер-
вому абоненту, затем второму, затем третьему, затем четвертому.
Приоритетное и бесприоритетное обслуживание в реальном времени
Особенностью обслуживания заявок в реальном времени будет то, что
каждая заявка гарантированно должна быть обслужена за время
Т
г0т
.
Исходя из этого, в данном случае приоритет заявки нельзя трактовать,
как преимущественное право одной заявки перед другой быть обслужен-
ной (как, например, в случаях относительных и абсолютных приорите-
тов). Все заявки должны быть обслужены. При этом приоритеты заявок
здесь представляют собой отношение гарантированных продолжительно-
стей их обслуживания:
Т
г0т
.
Будем говорить, что в системе реализована бесприоритетная дисциплина
обслуживания требований общего ресурса реального времени, если для
всех абонентов совпадают значения параметра
Т
го
^.
Соответственно, при-
306
Глава
18.
Разработка и оптимизация механизма уровневого контроля
оритетная дисциплина обслуживания требований общего ресурса реально-
го
времени
имеет место, если хотя бы для двух любых абонентов не со-
впадают значения параметра
T
m
^.
В качестве параметра приоритетности обслуживания заявок в реальном
времени может быть введена количественная оценка — относительный
уровень приоритетности реального времени (или относительный приори-
тет реального времени) двух абонентов m и
т';
т,т'=1,...,М.
Под относительным уровнем приоритетности реального времени (или от-
носительным приоритетом реального времени) двух абонентов т и
'т'',
т,т'=1,...,М
понимается отношение
&
т
-т'
=
^го„,/^го„,..
Соответственно, в системе реализована бесприоритетная дисциплина об-
служивания требований ресурса, если для любых двух абонентов систе-
мы т,
т'
выполняется:
8
т
_
т
.
=1(т*т');
если
8
т
_
т
<
<1 приоритет т або-
нента в
<5
m
_
m
.
выше, в противном случае — приоритет в
8
т
_
т
.
ниже.
Способы задания приоритетного обслуживания
Системой (18.1) в общем случае определяются три способа задания при-
оритетного обслуживания заявок в реальном времени для распределен-
ных ВС и, соответственно, их комбинации:
1.
Изменением параметров
К-гКт)
-
именно этот параметр может
изменяться при изменении цикла расписания (например,
(1,
2, 3, 4)
и (1, 2, 1, 3, 1,
4)).
2. Изменением параметров
Т
гпп
„,-
3. Изменением параметров
Т
грт
-
При этом очевидно, что выбор способов задания приоритетов абонентов
определяется соотношением параметров
Т
гр
„,
и
Т
гт
-
м
-
При
Т
грт
»Т
гп
„
т
целесообразно использовать способы 1 и 3 (это рассматриваемый нами
далее случай сосредоточенной системы — в рамках одного компьютера),
а при сопоставимости
Т
гра
и
Т
гп
„
т
- соответственно, способы 1 и 2.
18.2.2. Условия эффективности приоритетного
обслуживания в реальном времени.
Критерий оптимальности
Гарантированная продолжительность реакции системы
Рассмотрим, с какой целью и при каких условиях следует назначать при-
оритеты заявкам на обслуживания в реальном времени
[21].
При этом,
говоря о заявках на обслуживание, будем понимать, что заявки принад-
лежат к различным типам и каждый тип заявок образует свою очередь.
307
Часть V. Контроль корректности функционирования механизмов защиты
Пусть в систему реального времени поступает
М
типов заявок на обслу-
живание. Тогда условием корректности функционирования системы бу-
дет выполнение
М
неравенств:
Т
<T
J
*
грс„ —
J
грс„ >
где:
Т
грс
^
- гарантированная продолжительность реакции системы на воз-
действие, реализуемое в системе,
7^
с
- задаваемое условиями функционирования ограничение на па-
раметр
т
грсп
.
Требуемая реактивность системы по каждому
m-му
воздействию опреде-
ляется следующими характеристиками обслуживания заявок системой:
*
^рт„
- продолжительностью собственно решения
/и-й
задачи по за-
ранее известной программе (здесь для простоты считаем, что обраба-
тывается только один соответствующий тип воздействий);
» числом информационных взаимодействий с ресурсом
L
V
необходи-
мым для выработки адекватного воздействия в соответствии с заранее
известным алгоритмом (далее для простоты будем считать, что
Ь
г
=
1,
/я
=
1,...,Л/)-
*
Тга
т
"-
максимальной продолжительностью взаимодействия
с
ресурсом.
Тогда гарантированная продолжительность реакции системы на
т-е
воз-
действие составит:
Т
-Т
t-
I Т
1
грс
т
~
*
грэ„
Г
^„'
го„-
Рассмотрим следующие возможные случаи:
1.
Пусть требуется обеспечить равное время реакции системы на все
воздействия—
7^
для
всех
т,
т
=
\,...,М
воздействий совпадают.
В этом случае идеальным является бесприоритетное обслужива-
ние — в реальном времени это передача полномочий в цикличес-
кой очередности.
2. Пусть
Т*
заданы различными, то есть различен функциональный
смысл воздействий. Именно это имеет место в рассматриваемом
нами случае, когда контролируемые объекты имеют различный
физический смысл. В этом случае при бесприоритетной дисципли-
не обслуживания требований система может функционировать кор-
ректно лишь при выполнении для всех М заявок самого жесткого
для системы ограничения.
Критерий оптимальности дисциплины обслуживания
Предположим, что рассматриваемое жесткое ограничение
7^
с
в системе
при выбранной производительности технических средств не выполняется для
некоторых заявок. При этом, в общем случае, некоторые ограничения в си-
308
Глава
18.
Разработка и оптимизация механизма
уровневого
контроля
стеме могут выполняться с большим запасом по производительности ресурса.
Тогда можно сформулировать задачу об эффективном перераспределении
производительности вычислительных средств системы с учетом выполнения
требований к корректности функционирования системы в целом.
Критерием оптимальности задания очередности передачи прав на заня-
тие ресурса (соответственно дисциплины обслуживания) будет относи-
тельный коэффициент избыточности в эффективности обслуживания:
Т
3
К _
Wn,
°Тгрс„
~
т
Wm
При этом очевидно, что наиболее эффективно система с общими ре-
сурсами будет реализована в том случае, если выполняются условия
Т'
$тгрс
т
=
~^~
SL
~
-
1,
ж
=
\,...,М.
Это
можно
считать
условием оптимальнос-
ти дисциплины обслуживания реального времени, а параметр
f>n
f
c
m
крите-
рием оптимальности.
Т*
с
В
общем случае
для
критерия оптимальности
<5
r<!/
,
c
.
m
=
-=r^
• при
реализа-
ции бесприоритетного обслуживания имеем:
-?
с
»
T]
fc
,m
=
\,M}
m
Выигрыш в производительности системы реального времени при
реализации приоритетного обслуживания
Оценим, какой выигрыш может дать реализация в системе приоритет-
ного обслуживания, где приоритет вводится с целью эффективного ис-
пользования производительности общего ресурса (при связном ресурсе -
эффективного использования пропускной способности канала связи). С
учетом
L^
= 1 для всех М заявок, для системы с бесприоритетной дис-
циплиной обслуживания (характеристика обозначена БП) требований ре-
сурса имеем:
т™
=
мт
грт
>
где
7^
- продолжительность занятия ресурса с учетом потерь времени
на передачу ему прав системой занять ресурс. При это счита-
ем, что
7^
совпадают для всех М очередей заявок.
Пусть требования к времени реакции системы на 1-е входное воздействие
существенно выше, чем требования к любому иному входному воздействию
т
=
2,...,М'.
Тг
Р
с
т
^
«
^с„-з
А,-
Реализуем
для
рассматриваемой системы
приоритетную дисциплину обслуживания требований, в которой очеред-
ность предоставления прав заявкам на занятие ресурса (цикл расписания)
выглядит следующим образом: (1, 2, 1, 3, 1, 4, 1, ... , 1,
М—
1,
1, М).
309
Часть V. Контроль корректности функционирования механизмов защиты
Для данной дисциплины обслуживания имеем следующие характеристи-
ки обслуживания заявок:
_
где ВП и
НП
-- соответвенно характеристики абонентов с высоким и
низким приоритетом, откуда выигрыш для более приоритетной заяки
составит:
Т™
Однако, наряду с выигрышем для более приоритетной заявки, имеем и
проигрыш для менее приоритетной заявки:
Т%
2(М-\)
_
С
"
т™
' м
го
т
Откуда результирующий выигрыш в производительности ресурса:
Т
вп
М
м
Количественная оценка выигрыша
Рассмотрим количественную оценку получаемого выигрыша. Пусть
Т
гр3т
=
/сТ
го
^,
где 0 < k <
оо.
В предположении, что
L
em
=1,
m = \,...,M для
бесприоритетного обслуживания имеем:
Соответственно, для приоритетного обслуживания при двух уровнях при-
оритета получаем:
отсюда получаем результирующий выигрыш в производительности
системы:
k)
2
(2 + k)(2(M -\) +
k)'
Зависимости
8
Т
=
f(k)
для различных М, при М = 16 и М = 64 пред-
г
Р
с
т
ставлены на рис.
18.1.
Можно сделать следующие выводы.
1. При существенном различии ограничений
7^
с
для М заявок (ти-
пов заявок или очередей) при условии
k
<
[ появляется возмож-
ность существенного повышения производительности системы ре-
310