Программные продукты и системы

В процессе проектирования аппаратно-программного комплекса защиты информации (АПКЗИ) решается задача создания оптимальных для защищаемой автоматизированной информационной системы (АИС) механизмов защиты, средств управления ими и механизмов общей организации работы АПКЗИ, предназначенных для обеспечения эффективного взаимодействия и координации работы всех компонентов защиты.

На выбор общей структуры АПКЗИ наибольшее влияние оказывают следующие факторы:

– требования по защищенности;

– общая структура защищаемой АИС;

– перечень угроз;

– модель нарушителя.

Первый фактор обусловлен наличием на государственном уровне требований к соответствию между классом защищенности и набором функций защиты, реализуемых соответствующей системой защиты информации (СЗИ) [1,2].

Учитывая то, что АПКЗИ является по сути функциональной подсистемой автоматизированной системы (АС), а также требование системного подхода к созданию СЗИ, можно сделать вывод об аналогии архитектур АИС и АПКЗИ [3], что подтверждает необходимость учета второго фактора.

Таким образом, если рассматривать АС как объект защиты, то синтез структуры АПКЗИ можно представить как процесс деления структуры АС на ряд подструктур, наложения на них определенных ограничений и размещения на них механизмов защиты. Например, если требования по защищенности сформулированы для средств вычислительной техники (СВТ) и минимальной единицей защищаемой информации является файл, то декомпозиция должна распространяться до уровня управления файловой системой, на котором целесообразно размещение защитных механизмов.

Если требования сформулированы для АС, в составе которой имеется СУБД, то необходимо деление структуры до уровня управления доступом к записям и полям записей базы данных. В этом случае механизмы защиты будут располагаться на уровне собственных средств доступа СУБД.

В результате анализа угроз, оценки вероятности их реализации через модель нарушителя, определения необходимого состава и мест размещения защитных механизмов строится граф. Вершины графа соответствуют механизмам защиты, а дуги соединяют их в последовательности, определяемой последовательностью прохождения запросов на доступ к информации в защищаемой системе.

Полученный таким образом граф G является исходным для дальнейших преобразований, поскольку на его вершинах  можно условно располагать различные механизмы защиты. По графу G строится направленный взвешенный граф альтернативных вариантов защиты таким образом, что каждая вершина графа  определяет множество вершин вариантного графа Gv(E,J), которые соответствуют возможным способам защиты, а дуги соответствуют способам соединения средств защиты (см. рис.). Вершины графа Gv(E,J) взвешиваются по следующим правилам. Каждой вершине ei ставятся в соответствие:

– функции, характеризующие свойства способа защиты ;

– функции, характеризующие дополнительную трудоемкость и затраты на оборудование для механизмов защиты

– индексы механизмов защиты .

Кроме того, на графе вводятся следующие операции:

– суммирование значений P0(y),;

– алгебраические операции над индексами механизмов защиты.

Арифметические операции используются для определения характеристик выбранной совокупности механизмов защиты – вектора состава системы защиты .

Логические операции над индексами используются для контроля за отсутствием цепей разрыва при использовании различных механизмов защиты для соседних вершин.

Представим внутреннюю структуру системы защиты в виде N подсистем, каждая из которых реализует метод защиты от одной или нескольких угроз. Каждый из защитных механизмов характеризуется показателем защищенности, который он обеспечивает для защищаемой системы для данного типа угроз.

Обозначим через  вектор состава системы защиты, i-я компонента которого соответствует j-му методу защиты, реализуемому i-й подсистемой. Каждому механизму защиты, реализующему метод защиты, поставим в соответствие показатель защищенности  – вероятность обеспечения защиты и показатель материальных затрат  на реализацию j-го механизма защиты.

Учитывая, что общий показатель защищенности является функцией от защищенности от каждой из потенциальных угроз:

                              (1)

и учитывая, что подсистемы СЗИ соединены в смысле защищенности последовательно, можно записать

.

Очевидно, что затрачиваемые на создание системы защиты средства возрастают с увеличением количества защитных механизмов и с улучшением характеристик защищенности, то есть

.

Поэтому задача выбора оптимальной системы защиты по критерию защищенности при наличии ограничения на стоимость разработки может быть сформулирована следующим образом: найти вектор состава системы  такой, что   при , где Y – множество допустимых решений.

Для решения указанной задачи предварительно перейдем в выражении (1) от мультипликативного критерия к аддитивному:

.                                      (2)

Тогда задача выбора оптимальной системы защиты при наличии критерия

                                                       (3)

и ограничения  может быть решена в простейшем случае методом перебора вариантов. В более сложных случаях (при наличии большого числа вариантов) эта задача может быть решена с использованием метода динамического программирования. Алгоритм динамического программирования для решения аналогичных задач описан в работах [4,5].

Задачу выбора оптимальной системы защиты по критерию достоверности можно также сформулировать как оптимальную задачу на графах. Аппарат теории графов обладает достаточной наглядностью, удобен для представления исходной информации и включает хорошо отработанную теорию решения оптимальных задач. Первый этап решения указанной задачи заключается в анализе исходных данных технического задания на проектирование.

Анализ требований к классу защищенности определяет перечень необходимых функций за- щиты в соответствии с руководящими докумен- тами.

Анализ и декомпозиция защищаемой системы с точки зрения встраивания механизмов защиты должны определить возможные варианты использования защитных механизмов, в том числе и с учетом их взаимодействия.

Анализ угроз в сочетании с моделью нарушителя определяет интенсивности потоков НСД на входе защитных механизмов. Далее с учетом вероятностей пропуска НСД конкретными механизмами защиты определяются интенсивности пропущенных НСД  j-го метода защиты от i-й угрозы.

Затем подсчитываются дополнительные затраты  на реализацию yj-го метода защиты от i-й угрозы.

Результаты расчетов заносятся в таблицы. С использованием этих таблиц строится направленный конечный граф Gv(E,U) по следующим правилам.

Каждой вершине  из подмножества , соответствующего методам защиты от k-й угрозы, ставится в соответствие m-й метод защиты , дополнительные затраты  и функция , определенная на множестве входящих в  путей .

Дуге графа  ставятся в соответствие интенсивность пропущенных НСД  и дополнительные затраты .

Вершины графа  и соединяются дугой при выполнении условий:

1) ;

2)  (равенство индексов методов защиты, означающее целесообразность сочетания m-го и f-го методов защиты от k-й и (k+1)-й угроз).

После построения графа Gv(E,U) задача оптимального выбора состава СЗИ сводится к нахождению кратчайшего допустимого пути в графе, для чего можно использовать алгоритм Форда [6].

1. Каждой вершине графа Gv(E,U) ставится в соответствие число .

Индекс k определяет номер угрозы, а индекс m – номер способа защиты от нее.

Первоначально полагаем все =0.

2. Рассчитываем  по формуле  , где  – длина дуги между вершинами m и f.

3. Сравниваем разности  c соответствующим значением .

Если , то  входит в кратчайший путь.

После построения кратчайшего пути находится число  и производится проверка: .

Если неравенство не выполняется, проводится построение путей , ближайших к кратчайшему .

Для вычисления длины пути, близкого к кратчайшему, дуга  заменяется дугой , длина которой является минимальной для всего графа, исключая дуги кратчайшего пути.

Затем вновь находится  и производится проверка .

Таким образом, для достижения заданного уровня защищенности от НСД необходимо осуществить целенаправленный перебор вариантов построения СЗИ с целью выбора оптимального в смысле обеспечения максимальной защищенности при удовлетворении ограничений на стоимость разработки.

Список литературы

1. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.

2. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. - М.: Военное изд-во, 1992.

3. Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации. - Орел: 2000.

4. Барлоу Р., Прошан Ф. Математическая теория надежности. - М.: Советское радио, 1969.

5. Кеттель Дж. Увеличение надежности при минимальных затратах. - В кн.: Оптимальные задачи надежности. - М.: Изд.-во стандартов, 1968.

6. Ермольев Ю.М., Мельник И.В. Экстремальные задачи на графах. - К.: Наукова думка, 1968.