Модель захисту інформаційного процесу
Модель елементарного захисту. Модель елементарного захисту інформаційних процесів представлена на (Рис. 5. 1). Предмет захисту поміщений в замкнуту захисну оболонку, званої перешкодою. Міцність захисту залежить від властивостей перепони. Здатність протистояти вторгненню з боку порушника характеризується міцністю перепони. Таким чином проводиться оцінка захищеності інформації та їх процесів КС. При цьому вважається, міцність створеної перешкоди достатня, якщо вартість очікуваних затрат на її подолання потенційним порушником перевищує вартість захищається інформації. Однак можливий і інший підхід в оцінки міцності захисту.
Рис. 5. 1. Модель елементарного захисту
(1 - предмет захисту; 2 - перепона; 3 - міцність перепони)
Відомо, що інформація з часом втрачає свою привабливість, старіє, а в окремих випадках її ціна може впасти до нуля. Тоді за умови достатності захисту можна прийняти перевищення витрат часу на подолання перешкоди порушником над часом життя інформації. Якщо ймовірність неподолання перешкоди порушником через Pсзи, час життя інформації через tж, очікуваний час подолання перешкоди порушником через tн, ймовірність обходу перешкоди порушником через Pобх, то для випадку старіння інформації умова достатності виходить у вигляді:
Pсзи = 1, если tж < tн и Pобх = 0
Pобх рівне нулю, відображає необхідність замикання перепони навколо предмета захисту. Якщо tж> tн, а Pобх = 0, то
Pсзи = (1- Pнр), (5.1)
де Pнр - ймовірність подолання перешкоди порушником за час менше tж.
Для реального випадку, коли tж> tн і Pобх> 0, міцність захисту представляється у вигляді:
Pсзи = (1- Pнр)(1- Pобх),
Pнр =0, если tж < tн ; Pнр >0, если tж ³ tн.
Останній вираз справедливо при наявності двох порушників, тобто коли один долає перешкоду, інший в цей час її обходить. За умови якщо в наявності є один порушник, то порушник вибере найбільш простий тобто:
Pсзи = (1- Pнр) È(1- Pобх), (5.2)
де знак È означає логічну дію "АБО"
Отже, міцність перепони після визначення і порівняння буде дорівнює меншому значенню з них (5.2).
Як приклад елементарного захисту, що розраховується за формулою (5.2), може названа криптографічний захисту інформації, де величина Pнр може бути визначена шляхом оцінки ймовірності підбору коду ключа, за допомогою якого можна дешифрувати закриту інформацію і визначиться за формулою:
, (5.3)
де n - кількість спроб підбору коду;
A - число символів у вибраному алфавіті коду ключа;
S - довжина коду ключа в кількості символів.
Величина Pобх - залежить від обраного методу шифрування, способу застосування, повноти перекриття тексту інформації, існуючих методів криптоаналізу, а також способу зберігання дійсного значення коду ключа і періодичності його заміни на нове значення, якщо інформація, закрита даними способом, постійно зберігається у власника. Можливі також і інші обставини, що впливають на ймовірність обходу криптографічного захисту. Вибір і визначення конкретної величини Pобх спочатку проводиться експертним шляхом на основі досвіду фахівця. Величина Pобх = 1 захисту втрачає всякий сенс.
Можлива також і інша ситуація при якій в однієї перешкоди є кілька шляхів обходу. Тоді вираз (5.2) прийме вигляд:
Pсзи = (1- Pнр) È(1- Pобх1) È (1- Pобх2) È ... È(1- Pобхk), (5.4)
де k - число шляхів обходу перешкоди, тобто міцність перешкоди дорівнює найменшому значенню, отриманому після визначення і порівняння величин
(1 - Pнр), (1- Pобх1), (1- Pобх2), ... ,(1- Pобхk).
У разі якщо інформація, що підлягає захисту, не застаріває або періодично оновлюється, тобто tж> tн постійно або коли tн> tж неможливо забезпечити, то застосовується постійно діюча перепона, що володіє властивостями виявлення і блокування доступу порушника до предмета або об'єкта захисту. В якості захисту використовується людина або автоматизована система під контролем людини. Безумовно, параметри цієї перепони будуть впливати на її міцність.
Здатність перешкоди виявляти і блокувати НСД повинна враховуватися при оцінці її міцності шляхом введення в розрахункову формулу (5.4) замість (1 - Pнр), де Pобл - імовірність виявлення і блокування несанкціонованого доступу.
Принцип роботи автоматизованої перепони заснований на тому, що проводиться періодичний контроль датчиків виявлення порушника. Періодичність контролю може досягати соті частки секунди і менше. У цьому випадку очікуваний час подолання перешкоди порушником перевищує час опитування датчиків виявлення. Тому такий контроль вважається постійним. Але для виявлення порушника людиною (оператором) цього недостатньо. Необхідний час для спрацьовування тривожної сигналізації, так це час значно перевищує час опитування датчиків і тим самим збільшується час виявлення порушника. Практика показує, що сигнал тривоги, як правило, припиняє дії порушника, якщо цей сигнал дійшов до нього. Але оскільки фізичний доступ до об'єкта ще відкрите, то охорона повинна локалізувати порушника і організувати його блокування.
Таким чином, умова міцності перепони з виявленням і блокуванням НСД можна представити у вигляді співвідношення:
, (5.5)
де Tд - період опитування датчиків;
tср - час спрацьовування тривожної сигналізації;
tом - час визначення місця доступу;
tбл - час блокування доступу.
Якщо (Tд + tср + tом + tбл) через Tобл, отримаємо співвідношення
, (5.6)
де Tобл - час виявлення і блокування несанкціонованого доступу.
Процес контролю НСД і несанкціонованих дій порушника представлений на малюнку (Мал. 5. 2).
Рис. 5. 2. Тимчасова діаграма контролю НСД
З діаграми видно, що порушник може бути не виявлений у двох випадках:
а) коли tн <T;
б) коли T <tн <Tобл;
У першому випадку потрібно додаткове умова - попадання інтервалу часу tн в інтервал T, тобто необхідна система синхронізація дій порушника з частотою опитування датчиків виявлення. Для вирішення цієї проблеми порушнику доведеться потай підключити вимірювальну апаратуру в момент виконання НСД, що є досить складним завданням для сторонньої людини. Тому вважаємо, що свої дії з частотою опитування датчиків він синхронізувати не може і доводиться сподіватися на деяку ймовірність попадання відрізка часу tн в проміжок між імпульсами опитування датчиків, рівний T.
Згідно з визначенням геометричній ймовірності (курс теорії ймовірності) отримаємо вираз для визначення ймовірності успіху порушника в наступному вигляді.
. (5.7)
Ймовірність виявлення НСД порушника визначається виразом:
(5.8)
Або
, (5.9)
якщо tн> T порушник буде виявлений напевно, тобто Tоб = 1. У другому випадку, коли T <tн <Tобл, ймовірність успіху порушника буде визначатися за аналогією з попереднім співвідношенням:
. (5.10)
Ймовірність виявлення і блокування НСД:
(5.11)
. (5.12)
При tн. > Tобл спроба НСД не має сенсу, так як вона буде виявлена.
Таким чином, міцність перепони з властивостями виявлення і блокування можна проводити за формулою:
Pсзи = Pобл È(1- Pобх1) È (1- Pобх2) È ... È(1- Pобхj), (5.13)
де j - число шляхів обходу цієї перепони;
È - знак “АБО”.
Слід зазначити, що ця формула справедлива також і для організаційної заходи захисту.
Для більш повного уявлення міцності перешкоди у вигляді автоматизованої системи виявлення і блокування НСД необхідно враховувати надійність її функціонування та шляхи можливого обходу її порушником.
Імовірність відмови системи визначається її за формулою:
Pотк (t) = 1 – e-lt, (5.14)
де l - інтенсивність відмов групи технічних засобів, що складають систему виявлення і блокування НСД;
t - розглянутий інтервал часу функціонування системи виявлення та блокування НСД.
З урахуванням можливої відмови системи контролю міцність перепони буде:
PсзиК = Pобл(1- Pотк1) È (1- Pобх1) È (1- Pобх2) È ... È(1- Pобхj), (5.15)
де Pоб.л і Pотк визначається за формулами (5.12) і (5.14);
Pобх - кількість шляхів обходу j визначається експертним шляхом на основі аналізу принципів побудови системи контролю та блокування НСД.
Одним з можливих способів обходу системи виявлення і блокування - можливе її відключення або замикання (обриву) контрольних ланцюгів. Таким чином виходить, що захисні перепони можуть бути двох типів контрольовані та неконтрольовані людиною. Неконтрольовані визначається за формулою (5.4), а контрольовані (5.15).
Значення Pобх1, Pобх2, ..., Pобхj визначаються в межах від 0 до 1 експертним шляхом на основі досвіду фахівців. При експертній оцінці ймовірності настання тієї чи іншої події (РНР, Робх і т. д.) з метою уніфікації методу за основу прийняті наступні градації значень [3]:
Р = 0 - подія неможливо;
Р = 0,2 - подія малоймовірне;
Р = 0,5 - подія ймовірно наполовину;
Р = 0,8 - подія цілком імовірно;
Р = 0,95 - імовірність події висока;
Р = 1 - подія відбудеться напевно.
Модель багатоланкової захисту. На практиці в більшості випадків захисний контур складається декілька "з'єднаних" між собою перепон з різною міцністю. Модель такого захисту представлена на рис 5.3. Прикладом такого виду захисту може служити приміщення, в якому зберігається обладнання. В якості перешкод з різною міцністю тут можуть служити стіни, підлога, вікна і замок на двері.
Рис. 5. 3. Модель багатоланкової захисту (1-перепона 1; 2 - перепона 2, 3 предмет захисту; 4-міцність перешкоди; 5-перепона 3)
Для обчислювальної системи з'єднання перепон має дещо іншу реалізацію. Тут слід віднести систему контролю доступу до апаратури, систему захисту від розкриття, систему впізнання, систему, контролюючу доступ до периметру комп'ютерної системи. Однак така система не є замкненою. Система не захищена від доступу до засобів відображення інформації, документування, від побічного випромінювання і іншим каналам. Таким чином, до складу захисту інформаційних процесів увійдуть ще система контролю доступу в приміщення, система шифрування і т.п. Таким чином, система захисту не буде замкнутою і буде залишатися не захищеної поки є можливість каналів витоку.
Формальний опис для міцності багатоланкової захисту практично збігається з виразами (5.2) і (5.15), так як наявність декількох обхідних шляхів однієї перешкоди, не задовольняє для неконтрольованої перепони.
Pсзи = Pсзи1 È Pсзи2 Pсзи3 È...È Pсзиi È(1- Pобх1) È (1- Pобх2) È ... È ·(1- Pобхk), (5.16)
де Pсзиi - міцність i-тої перепони.
Вираз для міцності багатоланкової захисту з контрольованими перепонами буде мати вигляд:
Pсзиk = Pсзиk1 È Pсзиk2 Pсзиk3 È...È Pсзиkn È(1- Pобх1) È (1- Pобх2) È ... È(1- Pобхj), (5.17)
де Pсзиkn - міцність n-ой перепони.
Тут слід, що оцінка міцності захисту інформації для неконтрольованої і контрольованою перепони можуть бути роздільними, так як вихідні дані для них різні.
Якщо міцність слабкішого ланки задовольняє пред'явленим вимогам контуру захисту в цілому, виникає питання про надмірності міцності на всіх інших ланках даного контуру. Тому при проектуванні економічно доцільно використовувати равнопрочного ланки. При розрахунку міцності контуру захисту виникає ситуація, коли ланка з найменшою міцністю не задовольняє висунутим вимогам. У цьому випадку ланка замінюють на більш міцне або його дублюють. Іноді дублюється слабка ланка двома і більше перепон. Додаткові перепони повинні перекривати те ж кількість або більше можливих каналів НСД, що й перша. Тоді сумарна міцність дубльованих перепон буде:
, (5.18)
де і - порядковий номер перешкоди;
m - кількість дублюючих перепон;
Pi - міцність i-й перепони.
Ділянка захисного контуру з паралельними (дубльованими) перепонами іноді називають багаторівневим захистом. У комп'ютерній системі захисні перепони часто перекривають один одного (наприклад, системи контролю доступу в приміщення, охоронної сигналізації та контрольно-пропускного пункту на територію об'єкта захисту).
Багаторівневий захист. У відповідальних випадках при підвищених вимогах до захисту застосовується багаторівневий захист, модель якої представлена на рис 5.4. Дана модель дозволяє систематизувати роботу із створення комплексної системи захисту інформації та інформаційних процесів [6].
В якості об'єкта захисту в такій моделі є: інформаційні ресурси, інформаційні процеси та інформація.
Рис. 5. 4. Модель багаторівневого захисту інформації
1, 2, ..., N - рівні захисту; P1, k - міцність 1-го рівня k-ї ланки; P2, l - міцність 2-го рівня l-ї ланки; PN, m - міцність N-го рівня m-ї ланки.
Число рівнів захисту комп'ютерної системи або мережі має бути не менше чотирьох.
· Зовнішній рівень, що охоплює територію, де розташоване обладнання системи або мережі.
· Рівень споруд, приміщень або пристроїв.
· Рівень компонентів системи (технічних засобів, програмного забезпечення, елементів баз даних).
· Рівень технологічних процесів обробки даних (введення-виведення, внутрішня обробка т.д.).
При практичній реалізації системного підходу приймають три положення: 1) система захисту і впровадження системи захисту проводиться одночасно з розробкою комп'ютерної системи; 2) реалізація функції захисту - переважно апаратна; 3) суворе доказ забезпечення задається рівня захисту.
Міцність багаторівневої системи захисту визначається виразом
, (5.19)
де - сумарна міцність системи захисту;
- Міцність n-го рівня;
N - число рівнів системи захисту.
При PN = 0 даний рівень в розрахунок не приймається. При PN = 1 інші рівні є надлишковими. Дана модель справедлива для контурів захисту, що перекривають одні й ті ж канали ВКНСД до одного і того ж предмету.
Міцність захисту перепони є достатньою, якщо витрати на створення систем захисту адекватні цінності об'єкта захисту та очікуваний час подолання її порушником більше часу життя предмета захисту або більше часу виявлення і блокування його доступу при відсутності шляхів прихованого обходу цієї перепони.
При розрахунку сумарної міцності декількох контурів захисту в формулу (5.18) замість Pi включають Pкi - міцність кожного контуру, значення якої визначається за однією з формул (5.16) і (5.17), тобто для контрольованих і неконтрольованих перешкод знову розрахунки повинні бути роздільними і вироблятися для різних контурів, що утворюють кожен окрему багаторівневий захист. При Pкi = 0 даний контур в розрахунок не приймається. При Pкi = 1 решту контури є надлишковими. Дана модель справедлива лише для контурів захисту, що перекривають одні й ті ж канали НСД до одного і того ж предмету захисту.
Дата добавления: 2015-07-24; просмотров: 1831;