Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава 3. Подходы к проектированию системы защиты
Понятно, что вопросы оценки эффективности и вопросы проектирования
системы защиты тесно связаны, т.к. в их основе лежит единый математи-
ческий аппарат решения соответствующей оптимизационной задачи.
Рассмотрим возможный подход к проектированию (оценке эффективности)
системы защиты. Отметим, что в данном случае мы не разделяем механизмы
защиты на встроенные и добавочные, поскольку это уже вопрос реализации
тех требований к набору и функциям механизмов защиты, которые будут
сформулированы в результате проектирования системы защиты. При этом
будем понимать, что необходимо решать задачу многокритериальной опти-
мизации, т.к. система защиты в общем случае характеризуется целым рядом
параметров, которые должны учитываться при ее проектировании.
3.4.1. Общий подход к оценке эффективности
системы добавочной защиты
Критерий и параметры проектирования
оптимальной системы защиты
Будем оценивать
защищенность
системы
(Z)
количественно в зависимос-
ти от стоимости защищаемой информации, вероятности взлома, стоимо-
сти самой системы защиты, производительности системы:
где
С
-- стоимость защищаемой информации;
р
вза
- вероятность взлома;
Ц
сзи
—
стоимость СЗИ;
П - производительность системы.
С учетом введенного понятия защищенности системы оптимизационная
задача состоит в обеспечении максимального уровня защищенности (как
функции стоимости защищаемой информации и вероятности взлома) при
минимальной стоимости системы защиты и минимальном влиянии ее на
производительность системы:
С учетом сказанного может быть сделан важный вывод о многокритери-
альном характере задачи проектирования системы защиты. При этом,
кроме обеспечиваемого уровня защищенности, должен учитываться еще
ряд важнейших характеристик системы. Например, обязательно должно
учитываться влияние системы защиты на загрузку вычислительного ре-
сурса защищаемого объекта.
•
1|.
В общем случае Загрузка вычислительного ресурса определяется количе-
ством прикладных задач, решаемых объектом в единицу времени.
61
Часть I. Компьютерная
безопасность:
современные требования, подходы, статистика угроз
Исходные параметры для задачи проектирования системы защиты, а так-
же возможности сведения задачи к однокритериальной проиллюстри-
рованы рис.
3.1.
D(C,
p)
->
/пах
«СМ
<
Ц
М
Рис.
3.1.
Критерии оценки защищенности
Защищенность системы с точки зрения риска
Рассмотрим защищенность системы с точки зрения риска. Заметим, что
использование теории рисков для оценки уровня защищенности на сегод-
няшний день является наиболее часто используемым на практике подхо-
дом. Риск (R) — это потенциальные потери от угроз защищенности:
R(p)
=
С
шф
• р
езл
.
По существу, параметр риска здесь вводится как мультипликативная свер-
тка двух основных параметров защищенности.
С другой стороны, можно рассматривать риск как потери в единицу
времени:
= С
Ш1ф
где
— интенсивность потока взломов (под взломом будем понимать удач-
ную попытку несанкционированного доступа к информации).
62
Глава 3. Подходы к проектированию системы защиты
Эти две формулы связаны следующим соотношением:
Р
т
=
-р
где Л - общая интенсивность потока несанкционированных попыток
доступа злоумышленниками к информации.
Основной критерий защищенности. Общее решение задачи
проектирования оптимальной системы защиты
В качестве основного критерия защищенности будем использовать ко-
эффициент защищенности (D), показывающий относительное уменьшение
риска в защищенной системе по сравнению с незащищенной системой.
D%=\
1-фчх100%
(1
1)
^
««,
J
где
К
зищ
— риск в защищенной системе;
R
m3
-- риск в незащищенной системе.
Таким образом, в данном случае задача оптимизации выглядит следую-
щим образом:
,,
р
)
—>
max;
П
сзи
-»
max
.
Для решения этой задачи сведем ее к
однокритериальной
посредством
введения ограничений. В результате получим:
сзи —
"ай>
где
Ц
зай
и
П
зад
— заданные ограничения на стоимость системы защиты
и производительность системы.
Целевая функция выбрана исходя из того, что именно она отражает ос-
новное функциональное назначение системы защиты -- обеспечение
безопасности информации.
Производительность системы
П
С311
рассчитывается с применением моде-
лей и методов теории массового обслуживания и теории расписаний (в
зависимости от
того,
защищается ли система оперативной обработки, либо
реального времени). На практике возможно задание ограничения по про-
изводительности (влияние на загрузку вычислительного ресурса защища-
емой системы) не непосредственно в виде требуемой производительнос-
63
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
ти системы, а как снижение производительности
(dll
c3f
)
информацион-
ной системы от установки системы защиты. В этом случае задача опти-
мизации будет выглядеть следующим образом:
D(C,p)
—>
max ;
dn
c3[I
—>
min
,
или после сведения ее к однокритериальнои:
D(C,p)
-»
max ;
где
Ц
зад
и
(1П
тд
— заданные ограничения на стоимость системы защи-
ты и снижение производительности.
Заметим, что на наш взгляд именно такой принцип сведения задачи к
однокритериальнои целесообразен, т.к. в любом техническом задании на
разработку системы защиты указывается, в какой мере система защиты
должна оказывать влияние на производительность системы. Как прави-
ло, внедрение системы защиты не должно снижать производительность
системы более чем на 10%. Кроме
того,
обычно вводится ограничение
на стоимость системы защиты.
Если рассчитанное значение коэффициента защищенности
(D)
не удов-
летворяет требованиям к системе защиты, то в допустимых пределах
можно изменять заданные ограничения и решить задачу методом после-
довательного выбора уступок (рассмотрен ниже). При этом задается при-
ращение стоимости и снижение производительности:
П1
а
.
=
П.
шй
- А/7 или
dn'
m)
= dn
MlA
+ МП.
В таком виде задача решается в результате реализации итерационной
процедуры путем отсеивания вариантов, не удовлетворяющих ограничи-
тельным условиям, и последующего выбора из оставшихся варианта с
максимальным коэффициентом защищенности.
Теперь выразим коэффициент защищенности через параметры угроз. В
общем случае в системе
присутствует
множество видов угроз. В этих ус-
ловиях зададим следующие величины:
w
- количество видов угроз, воздействующих на систему;
C'
/
(/
=
l,w)
— стоимость (потери) от взлома
/-того
вида;
Хд/
=
],vf)
•-
интенсивность потока взломов
/-того
вида, соответственно;
64
Глава 3. Подходы к проектированию системы защиты
Q.
\i
=
i
t
w)
— вероятность появления угроз
/-того
вида в общем потоке
попыток несанкционированного доступа к информации,
причем
Q,
=
—
'-
;
/>,.(/
= 1,
и>)
--
вероятность отражения угроз
/-того
вида системой защиты.
Соответственно, для коэффициента потерь от взломов системы защиты имеем:
1 1
где
R,
(р)
— коэффициент потерь от взлома
/-того
типа; показывает, какие
в среднем потери приходятся на один взлом
/-того
типа.
Для незащищенной системы
P
yepi
=Qj,
для защищенной системы
Руг,!
=
б/
•(!-/>,•)•
Соответственно, для коэффициента потерь от взломов системы защиты
в единицу времени имеем:
где Д. (я) — коэффициент потерь от взломов
/-того
типа в единицу време-
ни.
Для незащищенной системы
Я^,-
=
Я,.,
для защищенной системы
^•угр!
=
^/
•(!"#)•
Соответственно,
из
(1.1) имеем:
'
/7
Т\
с,..
А,.
Если в качестве
исходных
параметров заданы вероятности появления
угроз
(2,
,
то коэффициент защищенности удобно считать через вероят-
ности появления угроз. Если же в качестве исходных параметров заданы
интенсивности потоков угроз
Я,
,
то, естественно, коэффициент защи-
щенности считается через интенсивность.
3.4.2. Способы задания исходных параметров
для оценки защищенности
Очевидно, что при использовании любого математического метода проек-
тирования системы защиты необходимо задавать определенные исходные
параметры для оценки ее защищенности. Однако именно с этим связаны
основные проблемы формализации задачи синтеза системы защиты. По-
этому мы отдельно рассмотрим основные пути решения данной задачи.
3
Зак.
369 65
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
Способы задания вероятностей и интенсивностей угроз
Основной проблемой проведения количественной оценки уровня защи-
щенности является задание входных параметров для системы защиты —
вероятностей и интенсивностей угроз. Рассмотрим возможные способы
задания вероятностей и интенсивностей угроз.
1. Метод статистической
оценки
А.,((?,)
и
р,
,
.
Основным способом зада-
ния интенсивностей потоков угроз
А,
(вероятностей угроз
Q,)
и вероят-
ностей взломов
PJ
является получение этих значений на основе имею-
щейся статистики угроз безопасности информационных систем, в которых
реализуется система защиты. Если существует статистика для аналогич-
ной информационной системы, то задавать исходные параметры для
оценки защищенности можно на ее основе. При этом желательно, что-
бы сходные информационные системы эксплуатировалась на предприя-
тиях со сходной спецификой деятельности.
Заметим, что статистика угроз периодически публикуется достаточно
авторитетными изданиями, т.е. всегда существуют исходные данные для
использования данного подхода для большинства приложений средств
защиты информации. Обычно эта статистика доступна в Интернете на
сайтах специализированных организаций.
Если же необходимая статистика по угрозам безопасности отсутствует,
то можно воспользоваться одним из других подходов, описанных далее.
2. Оптимистически-пессимистический подход. В рамках данного подхода
предусмотрено два разных способа.
Первый способ — это способ равных интенсивностей
VX,
= а, а = const. При
этом способе для расчета защищенности константа а может быть выбра-
на любой. В формуле (1.2) она будет вынесена за скобки и в конечном
итоге сократится, так что защищенность в данном случае будет зависеть
только от потерь:
w
EC,,
66
Глава 3. Подходы к проектированию системы защиты
Второй способ — это способ пропорциональности потерям
А,-
= а •
С
п
а = const.
При этом способе предполагается, что чем больше потери от взлома, тем
чаще осуществляются попытки несанкционированного доступа к этой ин-
формации. То есть интенсивности потоков угроз прямо пропорциональны
потерям. В этом случае защищенность будет зависеть от квадрата потерь:
,
,-a-Ci
i
=
l
a
•
У
С
2
У
С
2
"•
Z~i
'
LJ
'
1 1
3. Метод экспертной оценки. Экспертная оценка исходных параметров для
расчета защищенности может осуществляться с использованием так назы-
ваемой дельфийской группы. Дельфийская группа — это группа экспертов,
созданная в целях сбора информации из определенных источников по
определенной проблеме.
При этом необходимо задать лингвистический словарь возможных оценок
экспертов, определить набор вопросов и условных значений квалифика-
ций отдельных экспертов. После определения всех входных переменных
производится поочередный опрос каждого эксперта. После опроса всех
экспертов с учетом их квалификации определяется общая оценка группы
и согласованность (достоверность) ответов для каждого вопроса.
Эксперт оценивает эффективность (вероятность) отражения угроз элемен-
тами защиты
p
t
и вероятность появления угроз
Q
r
Вероятности эксперт
задает лингвистическими оценками: отлично, хорошо, удовлетворитель-
но, плохо, не отражает; вероятно, близко к нулю, близко к единице, весь-
ма вероятно и т.п. Затем эти лингвистические оценки при помощи сло-
варя переводятся в числа р. и
Q,
в диапазоне [0; 1].
Для задания вероятности появления угрозы возможна оценка вероятно-
сти появления угрозы
/-того
вида в общем потоке угроз:
а-'*
Исходя из заданной квалификации экспертов, рассчитываются их веса
(значимость) в группе по формуле:
67
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
S.
k
=•
где
s
e
- -
кваяификация
эксперта, задаваемая в некотором диапазоне, на-
пример, от 0 до 10 в зависимости от опыта, образования и
других качеств эксперта.
Затем оценки суммируются с учетом весов экспертов:
Pi
= S^fc*«>
где
р.
е
и
Q
ie
— оценка вероятностей отражения и появления угроз, сделан-
ные одним экспертом;
k
e
- «вес» эксперта в группе.
После расчета общей оценки всей группы рассчитывается согласованность
ответов, которая может использоваться для оценки достоверности резуль-
татов. Согласованность рассчитывается при помощи среднеквадратичес-
кого отклонения и выражается в процентах.
Максимальная согласованность достигается при одинаковых значениях
оценок экспертов и в этом случае равняется 100%. Минимальная согла-
сованность достижима при максимальном разбросе оценок экспертов.
Способы задания стоимости потерь
Важнейшей характеристикой защищаемого объекта (как следствие, и
системы защиты) является стоимость потерь от взлома. Рассмотрим воз-
можные способы задания стоимости потерь.
•
1. Стоимость похищенной/искаженной/утерянной информации.
Исходные данные:
c
i
[руб.
/бит]
...... удельная цена
информации
;
v[6um/c]
............ скорость получения/искажения/уничтожения ин-
формации;
t[c] .................... время нахождения субъекта в системе;
V.[6um]
............. объем информации.
С,.
=min(c
l
-v-t,c
l
-V
t
).
2. Затраты от невозможности получения доступа к информации.
Исходные данные:
с
:
[руб./бит]
...... удельная цена недоступности информации;
t[c] .................... время восстановления системы.
С,
-с,-/.
68
Глава 3. Подходы к проектированию системы защиты
Способы задания соответствия между параметрами угроз,
параметрами защищаемых объектов
и параметрами элементов защиты
Существуют различные классификации угроз:
» по принципам и характеру воздействия на систему;
» по используемым техническим средствам;
* по целям атаки и т.п.
Очевидно, что стоимость потерь С. удобнее задавать для угроз, классифи-
цированных по целям атаки. Что касается характеристики интенсивности
угроз, то она определяется с помощью средств аудита и сетевого монито-
ринга, которые различают угрозы по принципам и характеру воздействия
на систему (механизму атаки, способу проникновения). Вероятность от-
ражения угрозы средствами защиты р. определяется в соответствии с теми
механизмами, которые реализованы в каждом средстве. Причем каждый
из механизмов в общем случае может отражать несколько видов атак.
Таким образом, необходимо задавать соответствие между всеми этими
параметрами (см. рис. 3.2). Для успешного приведения в соответствие раз-
личных параметров оценки защищенности необходимо корректное по-
строение модели нарушителя. В этой модели должны быть отражены
практические и теоретические возможности нарушителя, его априорные
знания, время и место действия.
Стоимость
потерь Интенсивность
угроз
Вероятность
отражения
Цель атаки
Способ
в систему
Механизм отражения
угрозы
Рис.
3.2. Взаимозависимость параметров защиты
Задание соответствия между стоимостью потерь
и интенсивностью угроз
Задание соответствия между стоимостью потерь и интенсивностью угроз
можно осуществлять следующим образом:
1. Статистический подход. Статистический подход является основным, как
обладающий большей достоверностью. Из анализа статистики можно
выявить вероятности нанесения определенных видов ущерба при опре-
деленных видах взломов. Однако на практике далеко не всегда подобная
статистика существует, в частности, при внедрении новых технологий
защиты информации, новых версий ОС или приложений и т.д., т.к. для
ее сбора требуется некоторое время. В этом случае может использовать-
ся пессимистический подход.
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
2. Пессимистический подход. Если не имеется достаточной статистики,
можно воспользоваться другим способом. Будем считать, что при про-
никновении в систему злоумышленник наносит наибольший вред, какой
он только может причинить.
При задании соответствия между интенсивностью угроз и вероятностью
их отражения нужно учитывать, что, если в системе реализовано несколь-
ко механизмов, отражающих некоторую атаку, вероятность преодоления
защиты рассчитывается следующим образом.
Если
p
k
есть вероятность отражения
/-той
угрозы каждым средством за-
щиты, то вероятность взлома системы
(/>,.)
будет:
k
а вероятность отражения угрозы системой защиты
А = 1 - А •
3.4.3. Особенности проектирования системы
защиты на основе оценки защищенности системы
Этапы проектирования системы защиты
Задача проектирования системы защиты принципиально отличается от
задач проектирования иных информационных систем. Дело в том, что
проектирование осуществляется с учетом статистических данных об уже
существующих угрозах. Однако, в процессе функционирования системы
защиты поле угроз может принципиально измениться. В частности, это
связано с тем, что многие угрозы предполагают нахождение злоумыш-
ленниками ошибок в реализации системных и прикладных средств, ко-
торые могут быть неизвестны на момент создания системы защиты, но
должны быть учтены в процессе ее функционирования.
Поэтому проектирование системы защиты — процедура итерационная, в
общем случае предполагающая следующие этапы (см. рис. 3.3):
» проектирование первоначальной системы за-
щиты (исходный вариант);
анализ защищенности на основе статисти-
ческих данных, полученных в процессе экс-
плуатации системы защиты;
модификация «узких мест» системы защиты
(настройка/замена/дополнение отдельных
механизмов защиты информации).
Проектирование
первоначальной
СЗИ
Анализ защищенности
на основе статистики
Модификация узких мест
системы защиты
После модификации «узких мест» происходит
Рис
_
З
.з.
Иллюстрация
возврат к эксплуатации системы защиты и накоп- проектирования системы
ление статистической информации. защиты (СЗИ)
70