Задача и методы резервирования встроенных в ОС механизмов защиты для повышения отказоустойчивости системы защиты

Для увеличения надежности любой вычислительной системы применяет­ся резервирование. Любое резервирование основывается на включении в состав системы защиты дополнительных средств. В нашем случае — до­полнительных механизмов защиты. Причем в отличие от классических спо­собов резервирования средств вычислительной техники, предполагающих параллельное включение резервного оборудования, однотипного с резер­вируемым оборудованием, в данном случае резервные механизмы (допол­нительные механизмы защиты) должны включаться последовательно.
Определение.
Под резервированием механизмов защиты будем понимать последова­тельное включение в систему защиты дополнительных механизмов, реализу­ющих те же функции защиты, что и основные механизмы, но иным способом и средствами.
Требование к реализации механизмов защиты различными способами и
средствами обусловлено необходимостью резервного противодействия
угрозе в случае преодоления злоумышленником основного механизма защиты. То есть одна и та же угроза должна распространяться либо на
резервируемый, либо на резервный механизмы, в противном случае факт
резервирования отсутствует, как таковой.
Таким образом, использование в системе защиты дополнительных меха­низмов можно рассматривать не только с целью расширения функций встроенных механизмов защиты, но и с целью их резервирования.
Если надежность системы защиты характеризуется вероятностью р бе­зотказной работы за время t и определяется для встроенных средств за­щиты надежностью р0:
Р =
то при использовании дополнительных механизмов защиты, обеспечи­вающих резервирование встроенных механизмов, и характеризуемых на­дежностью рр имеем:
/> = 0-0-/0(1 -/>,))
Заметим, что резервирование приводит не только к увеличению вероят­ности безотказной работы системы защиты, но и к снижению требова­ний к времени восстановления.
В общем случае можно выделить три режима резервирования системы за­щиты дополнительными механизмами защиты:
» Горячий резерв, при котором основные и дополнительные механизмы защиты настроены и включены. В этом случае ограничений на время восстановления системы практически не накладывается (естественно, в разумных пределах). Этот подход обеспечивает наиболее высокий уровень защиты, т.к. при преодолении основного механизма защиты
противодействие угрозе оказывает резервный механизм (в предполо­жении, что угроза в равной мере не распространяется на основной и
резервный механизмы защиты).
Для систем защиты информации, критичной к НСД, следствием ска­занного будет вывод о целесообразности резервной реализации основ­ных механизмов защиты от НСД, дополнительными механизмами за­щиты с их включением в режиме «горячего резерва» совместно со встроенными механизмами защиты. При этом к основным механизмам защиты от НСД прежде всего относятся механизм идетификации и аутентификации, а также механизм управления доступом к ресурсам.
» Активный холодный резерв, при котором основной и дополнительный механизмы защиты настроены, но включен только один из них. В этом случае время восстановления определяется продолжительностью запус­ка резервной системы при отказе основной. Как правило, это время составляет несколько часов. Однако, по сравнению с горячим резерви­рование здесь достигается снижение влияния системы защиты на заг­рузку вычислительного ресурса защищаемого объекта.
» Пассивный холодный резерв, при котором только одно из средств защиты (основное или дополнительное) настроено и включено. В этом случае время восстановления определяется продолжительностью
настройки и запуска резервной системы при отказе основной. Обыч­но это составляет от нескольких часов до несколько дней. Однако, по сравнению с активным холодным резервирование здесь достигается упрощение администрирования системы защиты, как при ее внедре­нии, так и в процессе функционирования.
55
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
Ранее нами рассматривались вопросы необходимости усиления механизмов зашиты, встроенных в ОС. Однако, на основании анализа, проведенного в данном разделе, можем сделать вывод, что наряду с этим важнейшей зада­чей усиления системы защиты следует считать резервирование встроенных в ОС и приложения механизмов защиты. Связано это с тем, что даже при потенциально максимальной оперативности предприятия-разработчика по устранению ошибок (выявленных каналов НСД к информации), только этим невозможно обеспечить сколько-нибудь высокую отказоустойчивость сис­темы защиты (ее способность выполнять свои функции). Таким образом, по мнению автора, без резервирования механизмов защиты о гарантирован­ной защите не приходится говорить в принципе.