Подходы к проектированию системы защиты

Оценка надежности систем защиты информации
Отказоустойчивость системы защиты. Понятие отказа
Ранее, исследуя вопросы защиты компьютерной информации, мы не зат­рагивали вопросы надежности системы защиты. При этом следует понимать, что интерпретация самого понятия «надежность системы защиты», а также основных параметров и характеристик надежности системы защиты, прин­ципиально иная, чем для свойств надежности вычислительной системы.
В общем случае надежность вычислительной системы — это свойство си­стемы выполнять возложенные на нее функции в течение заданного про­межутка времени. Применительно к системе защиты информации от НСД
надежность — это свойство системы защиты обеспечивать защиту компью­терной информации от НСД в течение заданного промежутка времени.
В общем случае отказ системы — это случайное событие, приводящее к невозможности выполнения системой в течение некоторого времени воз­ложенных на нее функций.
Для системы защиты понятие «отказ» может трактоваться совсем иначе, чем при рассмотрении любого иного технического средства, т.к. с отка­зом связан не только переход системы защиты в состояние неработоспо­собности (данная составляющая «отказа» присуща любому техническому
средству и нами в работе не рассматривается), но и обнаружение в сис­теме защиты уязвимости.
Действительно, пусть обнаружена ошибка в механизме защиты, исполь­зование которой злоумышленником прямо, либо косвенно, приводит к
НСД. Это можно трактовать как отказ системы защиты, т.к. до тех пор, пока подобная ошибка не будет исправлена, система защиты не выпол­няет своих функций, и в данной ситуации существует канал несанкцио­нированного доступа к информации.
Кстати говоря, неважно, что на какой-то момент времени для системы за­щиты известен только один-единственный канал НСД к информации. Этого вполне достаточно, чтобы говорить об отказе системы защиты в целом, т.к. характеристикой защиты является вероятность отражения ею атак на защи­щаемый объект, которая в данном случае имеет нулевое значение.
Определение.
Под «отказом» системы защиты будем понимать обнаружение злоумышлен­ником канала НСД к информации (например, ошибки в ОС, либо в приложе­нии, которая может привести к несанкционированному доступу). Под «отка­зоустойчивостью» — способность системы защиты обеспечивать свои функции (обеспечивать защиту компьютерной информации) в условиях об­наружения канала НСД к информации.
Отметим, что, вообще говоря, вопрос обеспечения надежности функци­онирования любой системы является одним из важнейших при ее про­ектировании. И совершенно непонятно, почему на сегодняшний день ему уделяется столь незначительное внимание при построении систем защи­ты (в данном случае под надежностью понимаем ее отказоустойчивость
к обнаружению канала НСД к информации).
Действительно, представим себе, что вся сеть предприятия реализована на единой платформе — установлен единый тип ОС, вся защита обеспечива­ется встроенными в ОС средствами защиты. В этом случае с момента об­наружения канала НСД к информации и до момента его ликвидации (на­пример, посредством установки некоторого дополнительного программного обеспечения, которое должен поставить разработчик ОС), можно считать систему защиты отказавшей, а сеть предприятия
Аналогично тому, как это выполнено в теории надежности вычислительных систем, в данном случае можно ввести еще два важнейших параметра, харак­теризующих систему защиты: интенсивность отказов — среднее число отка­зов в единицу времени, А; время восстановления системы после отказа
Под интенсивностью отказов системы защиты от НСД следует понимать
интенсивность обнаружения в ней каналов НСД к информации в еди­ницу времени.
Численные значения данного параметра могут быть получены на осно­вании статистики угроз НСД, которая для современных универсальных ОС приведена выше.
При расчете надежности принимается, что интенсивность отказов являет­ся постоянной во времени величиной. Если предположить, что угрозы НСД
взаимонезависимы и любая i-я (i = угроза носит катастрофический
характер, предоставляя злоумышленнику несанкционированный доступ к информации, то интенсивность отказов системы защиты равна сумме ин-тенсивностей угроз НСД к соответствующей системе защиты:
И
Тогда вероятность исправной работы системы защиты в течение произ­вольного интервала времени t определяется следующим образом:
Соответственно, обратная величина интенсивности отказов системы равна среднему промежутку времени между двумя отказами и называется вре­менем наработки на отказ:
Т = \/Х.
Интенсивность отказов системы определяется рядом параметров, в том числе, сложностью исследования защитных механизмов в системе, ква­лификацией злоумышленника и временным интервалом эксплуатации системы защиты.
Сложность исследования механизмов защиты зависит не только от каче­ства разработки системы защиты (уровня квалификации разработчика),
но и от доступности информации о системе защиты для исследования злоумышленником. С точки зрения доступности для исследования мож­но выделить следующие категории систем, характеризуемые возможнос­тью обнаружения злоумышленником каналом НСД к информации:
» Очень высокая — некоммерческие средства (в том числе ОС), харак­теризуемые свободным доступом злоумышленника к их исходным кодам.
Высокая -- широко используемые на практике коммерческие сред­ства (в том числе ОС), характеризуемые отсутствием доступа зло­умышленника к их исходным кодам. » Низкая — ограниченно (по различным причинам) используемые на практике коммерческие средства (в том числе ОС), характеризуемые отсутствием доступа злоумышленника к их исходным кодам. Очень низкая — используемые на практике коммерческие средства, име­ющие формализованные правила ограниченного распространения, ха­рактеризуемые отсутствием доступа злоумышленника к исходным кодам ПО. К этой категории, в первую очередь, относятся коммерческие сред­ства защиты отечественных производителей.
Очень важно при построении системы защиты правильно учесть квали­фикацию злоумышленника. При этом в определенных случаях его квали­фикация может быть очень высокой, т.к. для обнаружения некорректно-
стей в реализации механизма защиты, либо ошибок, требуется проведе­ние некоторого системного и архитектурного анализа защищаемого объек­та и т.д. В других же случаях злоумышленник вполне может обойтись небольшим набором знаний и умений. Очевидно, что квалификация зло­умышленника в большой мере определяется областью применения защи­щаемого объекта, т.е. ценностью той информации, которая обрабатыва­ется защищаемым объектом.
Временной интервал эксплуатации системы защиты — также весьма важ­ный аспект, влияющий на интенсивность отказов. Ведь понятно, что сначала злоумышленником выявляются наиболее очевидные каналы НСД к информации, которые соответствующим образом ликвидируются раз­работчиком. Соответственно, чем дольше эксплуатируется система, тем сложнее злоумышленнику найти канал НСД к информации. Однако это
при условии, что вносимые разработчиком исправления, не приведут к новым, еще более очевидным некорректностям и ошибкам.