На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Вопросы оценки эффективности и проектирования системы защиты

Итак, ранее нами было приведено обоснование целесообразности при­менения добавочных средств защиты при построении современных ин­формационных систем. При этом были выделены две группы требова­ний к защищенности, которые должны учитываться при построении системы защиты — формализованные требования и требования, форму­лируемые на основе существующей статистики угроз. Невозможность в общем случае формализовать требования второй группы не позволяет и формализовать сравнительный анализ систем защиты, отнесенных к од­ному классу защищенности (в соответствии с классификацией норматив­ных документов).
В частности, две системы защиты, отнесенные к одному классу защи­щенности, могут принципиально различаться по своим возможностям.
При этом необходимо отметить, что в случае предполагаемой идентич­ности реализации формализованных требований, для них важнейшей ха­рактеристикой становится уровень квалификации их разработчиков.
Предположение идентичности обычно не соответствует действительности, т.к. в нормативных документах не указывается, каким способом должен быть реализован каждый механизм защиты. Поэтому существующие системы до­бавочной защиты, отнесенные к одному классу защищенности, принципиаль­но различаются и в реализации формализованных требований.
Понятно, что вопросы оценки эффективности и вопросы проектирования системы защиты тесно связаны, т.к. в их основе лежит единый математи­ческий аппарат решения соответствующей оптимизационной задачи.
Рассмотрим возможный подход к проектированию (оценке эффективности) системы защиты. Отметим, что в данном случае мы не разделяем механизмы защиты на встроенные и добавочные, поскольку это уже вопрос реализации тех требований к набору и функциям механизмов защиты, которые будут сформулированы в результате проектирования системы защиты. При этом будем понимать, что необходимо решать задачу многокритериальной опти­мизации, т.к. система защиты в общем случае характеризуется целым рядом параметров, которые должны учитываться при ее проектировании.
Общий подход к оценке эффективности системы добавочной защиты
Критерий и параметры проектирования оптимальной системы защиты
Будем оценивать системы      количественно в зависимос-
ти от стоимости защищаемой информации, вероятности взлома, стоимо­сти самой системы защиты, производительности системы:
где - стоимость защищаемой информации;
- вероятность взлома;
* юл '
Исш — стоимость СЗИ;
П     - производительность системы.
С учетом введенного понятия защищенности системы оптимизационная задача состоит в обеспечении максимального уровня защищенности (как
функции стоимости защищаемой информации и вероятности взлома) при
минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы:
С учетом сказанного может быть сделан важный вывод о многокритери­альном характере задачи проектирования системы защиты. При этом, кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейших характеристик системы. Например, обязательно должно учитываться влияние системы защиты на загрузку вычислительного ре­сурса защищаемого объекта.
(симечание
-
В общем случае Загрузка вычислительного ресурса определяется количе­ством прикладных задач, решаемых объектом в единицу времени.
Исходные параметры для задачи проектирования системы защиты, а так­же возможности сведения задачи к однокритериальной проиллюстри­рованы рис.
Защищенность системы с точки зрения риска
Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности на сегод­няшний день является наиболее часто используемым на практике подхо­дом. Риск (R) — это потенциальные потери от угроз защищенности:
/у (^р Ф р ^
По существу, параметр риска здесь вводится как мультипликативная свер­тка двух основных параметров защищенности.
С другой стороны, можно рассматривать риск как потери в единицу времени:
где AB1J — интенсивность потока взломов (под взломом будем понимать удач­ную попытку несанкционированного доступа к информации).
Эти две формулы связаны следующим соотношением:
Рв-м ~      7 У
Л
где Л    - общая интенсивность потока несанкционированных попыток доступа злоумышленниками к информации.
Основной критерий защищенности. Общее решение задачи проектирования оптимальной системы защиты
В качестве основного критерия защищенности будем использовать ко­эффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.
D% = \ 1-4^1x100% п п
J
где — риск в защищенной системе;
-- риск в незащищенной системе.
Таким образом, в данном случае задача оптимизации выглядит следую­щим образом:
)
ПСЗИ —> max.
Для решения этой задачи сведем ее к однокрптериалыюй посредством введения ограничений. В результате получим:
Чет 5 Ц&\
сзи —
где Цзад и Пзад — заданные ограничения на стоимость системы защиты и производительность системы.
Целевая функция выбрана исходя из того, что именно она отражает ос­новное функциональное назначение системы защиты -- обеспечение безопасности информации.
Производительность системы рассчитывается с применением моде­лей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени). На практике возможно задание ограничения по про­изводительности (влияние на загрузку вычислительного ресурса защища­емой системы) не непосредственно в виде требуемой производительнос-
ти системы, а как снижение производительности информацион­ной системы от установки системы защиты. В этом случае задача опти­мизации будет выглядеть следующим образом:
0( С. /)) - -> max ;
- ЦС11, —» mill ; till, ,п -> mm ,
или после сведения ее к однокритериальнои:
D(C, р )--> max ;
' Ист * ;
dnC3„ < dn„t.
где  Цш и Шзид — заданные ограничения на стоимость системы защи­ты и снижение производительности.
Заметим, что на наш взгляд именно такой принцип сведения задачи к однокритериальнои целесообразен, т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как прави­ло, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты.
Если рассчитанное значение коэффициента защищенности (D] не удов­летворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом после­довательного выбора уступок (рассмотрен ниже). При этом задается при­ращение стоимости и снижение производительности:
Щт =      + Ш, =      - А/7 или „•//  + МП.
В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничи­тельным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.
Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих ус­ловиях зададим следующие величины:
- количество видов угроз, воздействующих на систему;
См = l,wj — стоимость (потери) от взлома /-того вида;
= ),и')     интенсивность потока взломов /-того вида, соответственно;
Qi\j = l,w) — вероятность появления угроз /-того вида в общем потоке попыток несанкционированного доступа к информации,
причем С?, =-'-;
л
= 1,     -- вероятность отражения угроз /-того вида системой защиты. Соответственно, для коэффициента потерь от взломов системы защиты имеем:
R(p)= У Д,(я) = VC, ■ ршя
— коэффициент потерь от взлома типа; показывает, какие
в среднем потери приходятся на один взлом /'-того типа. Для незащищенной системы р„, =Qj,wik защищенной системы
Руг/ i = Qi   ' (l — Pi) ■
Соответственно, для коэффициента потерь от взломов системы защиты
в единицу времени имеем:
Л(АЬ£л,.(А)=£с(-А,,, i i
где Д. (я) — коэффициент потерь от взломов /-того типа в единицу време­ни.
Для незащищенной системы \„, =Х„ для защищенной системы Хугр1 = Х/ (1-/>, ). Соответственно, из (1.1) имеем:
D = \-^-- I —■--.
(1.2)
2 с,-а £с,..а,.
Если в качестве исходных параметров заданы вероятности появления угроз 0,, то коэффициент защищенности удобно считать через вероят­ности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз А, , то, естественно, коэффициент защи­щенности считается через интенсивность.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика