На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Особенности проектирования системы защиты на основе оценки защищенности системы

Этапы проектирования системы защиты
Задача проектирования системы защиты принципиально отличается от задач проектирования иных информационных систем. Дело в том, что проектирование осуществляется с учетом статистических данных об уже существующих угрозах. Однако, в процессе функционирования системы защиты поле угроз может принципиально измениться. В частности, это связано с тем, что многие угрозы предполагают нахождение злоумыш­ленниками ошибок в реализации системных и прикладных средств, ко­торые могут быть неизвестны на момент создания системы защиты, но
должны быть учтены в процессе ее функционирования.
Поэтому проектирование системы защиты — процедура итерационная, в общем случае предполагающая следующие этапы (3):
» проектирование первоначальной системы за­щиты (исходный вариант); анализ защищенности на основе статисти­ческих данных, полученных в процессе экс­плуатации системы защиты; модификация «узких мест» системы защиты (настройка/замена/дополнение отдельных
механизмов защиты информации).
Проектирование первоначальной СЗИ
Анализ защищенности на основе статистики
Модификация узких мест системы защиты
После модификации «узких мест» происходит
возврат к эксплуатации системы защиты и накоп- проектирования системы ление статистической информации. защиты (СЗИ)
Этапы оценки защищенности и выбора оптимального варианта системы защиты
Оценка защищенности с учетом приведенных выше расчетных формул и выбор оптимального варианта системы защиты (необходимого набора механизмов защиты при разработке новой системы) осуществляется сле­дующим образом:
Расчет параметров     Я,, /?. для оценки защищенности по исходным
данным, полученным статистическим или, в случае недостатка ста­тистики, одним из приведенных выше способов (оптимистически-
пессимистический подход, метод экспертной оценки).
2. Расчет критериев защищенности D, //< .„, ПС1И (dIJr?i для каждого варианта системы защиты (набора механизмов защиты при разра­ботке новой системы).
3. Выбор системы защиты (набора механизмов защиты при разработ­ке системы) с максимальным коэффициентом защищенности D, удовлетворяющей ограничениям по стоимости Цсзи и производи­тельности Псш
4. Анализ изменения коэффициента защищен­ности dD при задании приращений для кри­териев Цсзи и <1ПСЗИ методом последователь­ного   выбора   уступок   с оценкой
целесообразности выбора системы, удовлет­воряющей новым ограничениям.
Назначение ограничений
Последовательность задач, решаемых при проектировании системы защиты. Требование непрерывности проектирования
Последовательность задач, решаемых при проекти­ровании системы защиты проиллюстрирована 4.
С учетом сказанного ранее можем сделать следу­ющий важный вывод: проектирование системы за­шиты — это непрерывный процесс, осуществляемый в течение всего жизненного цикла системы, предпо­лагающий исходное проектирование системы по рас­четным значениям параметров и последующую ее мо­дификацию (доработку), основанную на непрерывном анализе текущего состояния обеспечиваемого систе­мой уровня защищенности средствами мониторинга с учетом меняющегося поля угроз.
жения механизмами защиты, присутствующими в системе. При необхо­димости следует либо модифицировать существующие механизмы, либо встраивать новые.
Таким образом, с учетом сложности формализации задачи (особенно при зада­нии исходных параметров), можно выделить характерную особенность проекти­рования системы защиты. В общем случае она заключается в невозможности ре­ализовать гарантированную защиту информационной системы при условии ее проектирования по расчетным значениям параметров без пос-
ледующего мониторинга защищенной системы. При этом в задачи мониторин­га входит сбор статистики для задания параметров конкретной системы защи­ты, а также ее повторный расчет в рамках полученной статистики. Результатом повторного расчета будет обоснование оптимальности принятых на этапе про­ектирования технических решений и их соответствующая корректировка.
Метод последовательного выбора уступок
Качественная зависимость изменения основных параметров, характери­зующих систему защиты, от ее сложности — используемого набора ме­ханизмов защиты, представлена 5.
Проанализировав характер за­висимостей от сложности си­стемы, можем сказать, что стоимость системы защиты возрастает неограниченно, а производительность снижает­ся в пределе до нуля.
В то же время кривая коэф­фициента защищенности (D) стремится к предельному зна­чению — к единице (100%) и в некоторый момент достига­ет насыщения. Это в свою очередь приводит к тому, что при нарастании сложности (и, соответственно, увеличении цены, а также сни­жении производительности) увеличение коэффициента за­щищенности происходит не­значительно.
Следовательно, при проектировании системы защиты, параметры защи­щенности которой расположены в области насыщения, целесообразно про­анализировать параметры альтернативных вариантов. То есть целесообразно исследовать возможность использования менее сложных систем защиты и,
задав некоторый промежуток снижения коэффициента защищенности (dD),
выбрать систему, уровень защищенности которой удовлетворяет получен­ному (D — dD). Конечно, если таковые имеются. При этом может быть получен ощутимый выигрыш в цене и производительности.
В этом и состоит применение известного метода последовательных усту­пок при выборе оптимальной системы защиты (набора реализуемых ме­ханизмов защиты при ее проектировании). Этот метод, как уже упоми­налось, подразумевает сведение многокритериальной задачи оптимизации к однокритериальной.
Метод последовательных уступок представляет собою итерационную че­ловеко-машинную процедуру, используя которую разработчик, давая до­пустимые приращения одним параметрам (в частности, задавая сниже­ние коэффициента защищенности), анализирует изменение других,
принимая решение о допустимости вводимых уступок.
Методы проектирования системы защиты с избыточными механизмами защиты
Необходимость избыточных механизмов в системе защиты
Выше мы особо отмечали одну принципиальную особенность функцио­нирования системы защиты. Суть ее заключается в том, что коэффици­ент защищенности непрерывно снижается в процессе функционирования
защищенной системы. Это связано с накоплением информации злоумыш­ленником о системе защиты, а также с накоплением статистики об ошиб­ках реализации системных и прикладных средств.
Возникает следующая проблема. Если строить систему с требуемым уров­нем защищенности (учитывающим текущую статистику угроз), то через
небольшой промежуток времени функционирования защищаемой систе­мы систему защиты потребуется проектировать вновь, что связано с боль­шими накладными расходами. Поэтому ранее был сделан вывод о необ­ходимости разработки системы защиты с учетом не только существующей статистики угроз, но и с учетом потенциально возможных (неизвестных) угроз. Тем не менее приходится учитывать тот факт, что наличие запаса по параметрам защищенности приводит к значительным накладным рас­ходам, прежде всего, по параметрам производительности.
Что касается стоимости, то лучше раз создать систему с избыточными механизмами защиты и заплатить изначально больше, чем практически сразу после ее внедрения вновь проектировать систему защиты, т.е. вновь
оплачивать все расходы, связанные с этим проектированием, да еще ду­мать об очередном ее внедрении в функционирующую систему, что, как правило, протекает весьма болезненно.
Из сказанного можем сделать важнейший вывод: с целью увеличения жизненного цикла системы защиты (без необходимости ее модификации) разработчикам следует ориентироваться не только на существующую ста­тистику угроз, но и закладывать технические решения, позволяющие про­тиводействовать неизвестным на момент проектирования системы защиты
угрозам (потенциальным угрозам).
Обратите внимание на принципиальную разницу между подходами резерви­рования и подходами включения избыточных механизмов. При резервирова­нии, рассмотренном нами ранее в п. 3.2, механизмы защиты дублируются
такими же механизмами (решают те же функциональные задачи), но реали­зуются иным способом. Резервный призван заменить основной механизм при
выходе его из строя (при обнаружении его уязвимости к атакам).
Что касается включения избыточных механизмов, то здесь рассматри­вается добавление новых механизмов с иными, чем у механизмов, реа­лизованных в системе защиты, свойствами (решающих частично, либо
полностью иные функциональные задачи). Другое дело, что данные воз­можности на первых этапах функционирования системы защиты могут
быть не востребованными. Поэтому, чтобы не загружать излишне вы­числительные ресурсы системы, их рекомендуется не активизировать -благодаря избыточным механизмам реализуется запас защищенности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика