Наши друзья
|
Подходы к проектированию системы защиты
Оценка надежности систем защиты информации
Отказоустойчивость системы защиты. Понятие отказа
Ранее, исследуя вопросы защиты компьютерной информации, мы не затрагивали вопросы надежности системы защиты. При этом следует понимать, что интерпретация самого понятия «надежность системы защиты», а также основных параметров и характеристик надежности системы защиты, принципиально иная, чем для свойств надежности вычислительной системы.
В общем случае надежность вычислительной системы — это свойство системы выполнять возложенные на нее функции в течение заданного промежутка времени. Применительно к системе защиты информации от НСД
надежность — это свойство системы защиты обеспечивать защиту компьютерной информации от НСД в течение заданного промежутка времени.
В общем случае отказ системы — это случайное событие, приводящее к невозможности выполнения системой в течение некоторого времени возложенных на нее функций.
Для системы защиты понятие «отказ» может трактоваться совсем иначе, чем при рассмотрении любого иного технического средства, т.к. с отказом связан не только переход системы защиты в состояние неработоспособности (данная составляющая «отказа» присуща любому техническому
средству и нами в работе не рассматривается), но и обнаружение в системе защиты уязвимости.
Действительно, пусть обнаружена ошибка в механизме защиты, использование которой злоумышленником прямо, либо косвенно, приводит к
НСД. Это можно трактовать как отказ системы защиты, т.к. до тех пор, пока подобная ошибка не будет исправлена, система защиты не выполняет своих функций, и в данной ситуации существует канал несанкционированного доступа к информации.
Кстати говоря, неважно, что на какой-то момент времени для системы защиты известен только один-единственный канал НСД к информации. Этого вполне достаточно, чтобы говорить об отказе системы защиты в целом, т.к. характеристикой защиты является вероятность отражения ею атак на защищаемый объект, которая в данном случае имеет нулевое значение.
Определение.
Под «отказом» системы защиты будем понимать обнаружение злоумышленником канала НСД к информации (например, ошибки в ОС, либо в приложении, которая может привести к несанкционированному доступу). Под «отказоустойчивостью» — способность системы защиты обеспечивать свои функции (обеспечивать защиту компьютерной информации) в условиях обнаружения канала НСД к информации.
Отметим, что, вообще говоря, вопрос обеспечения надежности функционирования любой системы является одним из важнейших при ее проектировании. И совершенно непонятно, почему на сегодняшний день ему уделяется столь незначительное внимание при построении систем защиты (в данном случае под надежностью понимаем ее отказоустойчивость
к обнаружению канала НСД к информации).
Действительно, представим себе, что вся сеть предприятия реализована на единой платформе — установлен единый тип ОС, вся защита обеспечивается встроенными в ОС средствами защиты. В этом случае с момента обнаружения канала НСД к информации и до момента его ликвидации (например, посредством установки некоторого дополнительного программного обеспечения, которое должен поставить разработчик ОС), можно считать систему защиты отказавшей, а сеть предприятия
Аналогично тому, как это выполнено в теории надежности вычислительных систем, в данном случае можно ввести еще два важнейших параметра, характеризующих систему защиты: интенсивность отказов — среднее число отказов в единицу времени, А; время восстановления системы после отказа
Под интенсивностью отказов системы защиты от НСД следует понимать
интенсивность обнаружения в ней каналов НСД к информации в единицу времени.
Численные значения данного параметра могут быть получены на основании статистики угроз НСД, которая для современных универсальных ОС приведена выше.
При расчете надежности принимается, что интенсивность отказов является постоянной во времени величиной. Если предположить, что угрозы НСД
взаимонезависимы и любая i-я (i = угроза носит катастрофический
характер, предоставляя злоумышленнику несанкционированный доступ к информации, то интенсивность отказов системы защиты равна сумме ин-тенсивностей угроз НСД к соответствующей системе защиты:
И
Тогда вероятность исправной работы системы защиты в течение произвольного интервала времени t определяется следующим образом:
Соответственно, обратная величина интенсивности отказов системы равна среднему промежутку времени между двумя отказами и называется временем наработки на отказ:
Т = \/Х.
Интенсивность отказов системы определяется рядом параметров, в том числе, сложностью исследования защитных механизмов в системе, квалификацией злоумышленника и временным интервалом эксплуатации системы защиты.
Сложность исследования механизмов защиты зависит не только от качества разработки системы защиты (уровня квалификации разработчика),
но и от доступности информации о системе защиты для исследования злоумышленником. С точки зрения доступности для исследования можно выделить следующие категории систем, характеризуемые возможностью обнаружения злоумышленником каналом НСД к информации:
» Очень высокая — некоммерческие средства (в том числе ОС), характеризуемые свободным доступом злоумышленника к их исходным кодам.
Высокая -- широко используемые на практике коммерческие средства (в том числе ОС), характеризуемые отсутствием доступа злоумышленника к их исходным кодам. » Низкая — ограниченно (по различным причинам) используемые на практике коммерческие средства (в том числе ОС), характеризуемые отсутствием доступа злоумышленника к их исходным кодам. Очень низкая — используемые на практике коммерческие средства, имеющие формализованные правила ограниченного распространения, характеризуемые отсутствием доступа злоумышленника к исходным кодам ПО. К этой категории, в первую очередь, относятся коммерческие средства защиты отечественных производителей.
Очень важно при построении системы защиты правильно учесть квалификацию злоумышленника. При этом в определенных случаях его квалификация может быть очень высокой, т.к. для обнаружения некорректно-
стей в реализации механизма защиты, либо ошибок, требуется проведение некоторого системного и архитектурного анализа защищаемого объекта и т.д. В других же случаях злоумышленник вполне может обойтись небольшим набором знаний и умений. Очевидно, что квалификация злоумышленника в большой мере определяется областью применения защищаемого объекта, т.е. ценностью той информации, которая обрабатывается защищаемым объектом.
Временной интервал эксплуатации системы защиты — также весьма важный аспект, влияющий на интенсивность отказов. Ведь понятно, что сначала злоумышленником выявляются наиболее очевидные каналы НСД к информации, которые соответствующим образом ликвидируются разработчиком. Соответственно, чем дольше эксплуатируется система, тем сложнее злоумышленнику найти канал НСД к информации. Однако это
при условии, что вносимые разработчиком исправления, не приведут к новым, еще более очевидным некорректностям и ошибкам. |