Карпов А.В. (KarpovAV@cps.tver.ru) - НИИ «Центрпрограммсистем» (зав. отделением), Тверь, Россия, кандидат технических наук | |
Ключевое слово: |
|
Ключевое слово: |
|
|
Быстродействие системы защиты информации (СЗИ) от несанкционированного доступа (НСД) является важной характеристикой, влияющей на быстродействие и эффективность всей защищаемой автоматизированной системы (АС). Зачастую требования по быстродействию СЗИ задаются в техническом задании на АС. Указанные факты обусловливают важность и актуальность задачи оценки быстродействия СЗИ. Основным средством СЗИ от НСД является аппаратно-программный комплекс защиты информации (АПКЗИ). В данной статье рассмотрен способ определения быстродействия АПКЗИ. АПКЗИ от НСД состоит из ряда механизмов защиты (МЗ), реализующих соответствующие защитные функции. МЗ, входящие в состав АПКЗИ представляют собой функциональные блоки или подсистемы АПКЗИ, выполняющие функции защиты информации от соответствующих угроз. Наиболее оптимально цели защиты информации в АС можно достичь, разрабатывая СЗИ от НСД одновременно с разработкой самой защищаемой информационной системы. В таком случае защищенная система разрабатывается как единое целое, включая аппаратную часть, операционную систему и функциональное программное обеспечение. Однако разработка защищенных информационных систем в нашей стране выполняется преимущественно по другому методу, основой которого является доработка средств защиты от НСД импортной ОС до соответствия заданному классу защищенности. МЗ СЗИ встраиваются в защищаемую АС. Таким образом, СЗИ представляет собой, по сути, функциональную подсистему защищаемой АС. В работе [1] приведена модель СЗИ, представленная в виде сетевой модели, состоящей из некоторого набора средств защиты Si. На вход средств защиты поступают потоки запросов НСД, определяемые моделью нарушителя на множестве потенциальных угроз {Ui}. Каждое из средств отвечает за защиту от угрозы определенного типа и использует соответствующий МЗ. Его задача состоит в том, чтобы распознать угрозу и заблокировать несанкционированный запрос. В результате функционирования системы защиты исходный поток НСД разрежается, образуя выходной поток. Потоки запросов на НСД, поступающие по i-м каналам, разрежаются с вероятностями pi(y), которые зависят от используемого способа обнаружения и блокирования НСД. На выходе СЗИ образуется выходной поток, являющийся объединением выходных потоков i-средств защиты и потока НСД-запросов, приходящих по m неконтролируемым каналам. Поток НСД-запросов в общем случае является частью всего потока запросов, обрабатываемых АПКЗИ. На вход МЗ поступают запросы, часть которых является запросами НСД. Учитывая, что в общем случае функционирование субъекта, выполнившего запрос, приостанавливается на время его обработки АПКЗИ, задержка, вносимая МЗ в реализацию поступившего запроса, определяется временем его обработки. В качестве субъекта доступа в данном случае можно рассматривать некоторую задачу или процесс защищаемой системы. Например, запрос на доступ к файлу в защищаемой системе будет обрабатываться дольше аналогичного запроса в незащищенной системе как минимум на время проверки прав субъекта, запрашивающего такой доступ. Быстродействие МЗ определяется как разница времени между моментами поступления запроса на его вход t0 (начало обработки запроса) и отклонения или удовлетворения запроса t1 (окончание обработки запроса – выход МЗ): τ = t1-t0. Технически определение быстродействия МЗ может быть выполнено с помощью программных тестов. Например, операционные системы семейства MS Windows, Linux, QNX позволяют использовать высокоточные программные таймеры. В общем случае время обработки запросов МЗ не постоянно. В процессе обработки поступившего запроса МЗ выполняет ряд различных операций. Время выполнения внутренних операций подчинено определенным законам распределения. Очевидно, что быстродействие всего МЗ определяется быстродействием выполнения внутренних операций. Процесс обработки запросов в пределе будем считать пуассоновским [3]. Соответственно время обработки МЗ поступающих запросов распределено по показательному закону. В процессе функционирования АПКЗИ МЗ функционируют с разной интенсивностью. Для оценки интенсивности потоков запросов, поступающих на входы МЗ, используем модель, показанную на рисунке 1. Субъект доступа, выполняя ряд функций или задач, образует поток запросов V∑, который декомпозируется на потоки V1,V2,…,Vi,…,Vj реализации запросов G1,G2,…,Gi,…,Gj. Запросы G поступают с интенсивностями l1,l2,…,li,…,lj на входы МЗ S1,S2,…,Si,…,Sj соответственно. Каждый МЗ обрабатывает запросы соответствующего типа. На выходе СЗИ образуется выходной поток V'∑, являющийся объединением выходных потоков МЗ V'1,V'2,…,V'i,…,V'j. Оценить быстродействие как каждого МЗ, так и всей АПКЗИ можно, зная характеристики потока обработанных запросов. Очевидно, что быстродействие АПКЗИ определяется быстродействием ее МЗ. Учитывая, что МЗ обрабатывают поступающие запросы последовательно, а задачи АС в общем случае функционируют параллельно, МЗ к моменту поступления следующего запроса может быть занят обработкой предыдущего. В таком случае, согласно [3], время обработки запроса Ci МЗ можно выразить как: , где μ – интенсивность обработки запросов МЗ; ρ – загрузка МЗ. Учитывая и , средняя задержка, вносимая МЗ в реализацию запроса Ci, выразится как: . Средняя интенсивность потока обработанных МЗ запросов определяется как: . Средняя интенсивность суммарного потока обработанных АПКЗИ запросов является суммой интенсивностей частных выходных потоков МЗ: , где j – количество МЗ в АПКЗИ. Среднее время обработки запроса может быть определено следующим образом [4]: . Кроме того, функции и задачи, реализуемые АС, можно декомпозировать на множество запросов МЗ. Например, передача файла по сети от одной ПЭВМ к другой может быть осуществлена только после отработки механизмов идентификации и аутентификации, разграничения доступа и аудита (регистрации данной операции в АПКЗИ). Каждый МЗ в процессе реализации определенной задачи АС может обработать несколько запросов. Поэтому для определения задержки, вносимой АПКЗИ в работу защищаемой системы (отдельной ее функции или задачи), необходимо знать интенсивности потоков запросов, поступающих на входы МЗ. Интенсивности потоков запросов, поступающих на входы МЗ можно определить с помощью тестового выполнения функций АС. В процессе такого тестирования при помощи программных датчиков можно определить перечень МЗ, сработавших во время реализации тестируемой функции, а также подсчитать количество обработанных ими запросов. Результаты тестирования можно представить в таблице.
Таким образом, для каждой функции (задачи, процесса) защищаемой системы можно определить перечень МЗ и интенсивность их срабатывания. Отдельно взятые задачи (процессы), как правило, реализуют свои операции последовательно. Это означает последовательное функционирование МЗ, обрабатывающих запросы операций данной задачи. Например, уже упоминавшаяся задача передачи файла в локальную вычислительную сеть в общем случае затронет сначала механизм идентификации и аутентификации S1 субъекта доступа, а затем механизм разграничения доступа S2 и т.д. Вся анализируемая задача представляется в виде запроса, последовательно проходящего МЗ S1,S2,…,Si, задействованные в цепи ее реализации. Каждый МЗ может обрабатывать несколько запросов за время реализации выбранной задачи. Например, как после идентификации и аутентификации, так и после разграничения доступа может выполняться МЗ аудита S3, регистрирующий выполненную операцию, и т.д. Схема выполнения операции для данного случая показана на рисунке 2. Каждый МЗ характеризуется временем обработки запроса τ. Очевидно, что суммарная задержка, вносимая АПКЗИ в работу данной задачи, определяется суммой задержек, вносимых МЗ цепи реализации. В таком случае . Как было показано выше, задержка, вносимая МЗ, зависит от интенсивности потока поступающих запросов l. Основной задачей вычисления Cy в данном случае является нахождение интенсивности потока, поступающего на вход каждого следующего МЗ. Из рисунка 2 понятно, что промежутки времени между запросами потока, поступающего на вход МЗ Sk+1, равны промежуткам времени выходного потока МЗ Sk. Для определения распределения промежутков времени между обработанными запросами воспользуемся теоремой Берке [5]. Пусть d(t) означает плотность распределения вероятностей промежутков времени между последовательными запросами на выходе МЗ Sk, а D*(s) – ее преобразование Лапласа. Рассмотрим момент окончания обработки очередного запроса МЗ Sk. МЗ Sk в данной момент немедленно приступает к обработке следующего ожидающего запроса, если он есть, либо простаивает до его перехвата. В первом случае промежуток времени, через который следующий запрос будет обработан, распределен так же, как и время обслуживания: , где B*(s) – преобразование Лапласа плотности распределения времени обработки запроса МЗ. Однако если по окончании обработки запроса МЗ простаивает, то время до следующего обработанного запроса складывается из двух промежутков: времени ожидания поступления следующего запроса и времени его непосредственной обработки. Учитывая независимость распределения этих двух промежутков, плотность распределения вероятностей их суммы равна свертке плотностей распределения суммируемых промежутков. Соответственно, преобразование Лапласа плотности распределения суммы равно произведению преобразований исходных плотностей распределения: . Так как время обработки является показательно распределенной случайной величиной, то можно записать: . Вероятность того, что после обработки запроса МЗ будет простаивать, согласно [3], равна вероятности того, что следующий перехваченный запрос застанет МЗ простаивающим . В таком случае безусловное преобразование Лапласа для плотности распределения промежутков времени между обработанными требованиями выразится как: . Преобразуя данное выражение, получаем: . Следовательно, распределение промежутков времени между обработанными запросами: . Таким образом, согласно [4], промежутки времени между поступающими и обработанными запросами распределены по показательному закону с одинаковым параметром l. Однако для оценки быстродействия АПКЗИ для конкретной задачи необходимо учитывать тот факт, что каждый МЗ может обрабатывать последовательно поступающие запросы разных задач, выполняющихся в защищаемой системе параллельно. Это означает, что входной поток запросов каждого МЗ Sk+1 в цепи реализации задачи складывается из выходного потока запросов, обработанных МЗ Sk, и потока запросов, поступающих от других задач. Модель реализации данной задачи показана на рисунке 3. Решение задачи может быть получено при помощи результатов работы Джексона [6]. На вход каждого МЗ Sk цепи реализации задачи поступает поток запросов от предыдущего МЗ Sk-1 и поток запросов других задач γk. Необходимо вычислить полную интенсивность входящего потока запросов lk для МЗ Sk. Согласно [6] полная интенсивность входящего потока запросов lk равна сумме интенсивностей потоков от МЗ Sk-1 lk-1 и внешнего потока γk: . Учитывая [5], для λk запишем . Таким образом, быстродействие каждого МЗ Sk в цепи реализации задачи определяется как: . Согласно второй теореме Джексона [6] поведение каждого МЗ в цепи реализации задачи не зависит от остальных МЗ. В таком случае быстродействие АПКЗИ для данной задачи (задержка, вносимая АПКЗИ в реализацию задачи) определяется как сумма быстродействий всех МЗ цепи реализации задачи: . Наличие запросов НСД в потоке запросов частной задачи АС означает, что выходной поток МЗ Sk разрежается с вероятностью pk и поступает на вход МЗ Sk+1. В таком случае для полной интенсивности входящего потока запросов lk запишем: . Быстродействие МЗ определяется как: . Соответственно, быстродействие АПКЗИ для задачи защищаемой АС, цепь реализации которой затрагивает n МЗ, составит: . В заключение отметим, что предложенный подход к определению быстродействия АПКЗИ учитывает интенсивности исходных потоков запросов, обрабатываемых МЗ, а также вероятности их разрежения вследствие блокирования запросов НСД и позволяет оценивать быстродействие АПКЗИ и, соответственно, временную задержку, вносимую в реализацию определенных задач защищаемой АС. Адекватность приведенных критериев может быть проверена на практике посредством оценки быстродействия реальных АПКЗИ и при помощи имитационного моделирования [7]. Список литературы 1. Карпов В.В. Вероятностная модель оценки защищенности средств вычислительной техники с аппаратно-программным комплексом защиты информации от несанкционированного доступа. // Программные продукты и системы. - 2003. - №1. 2. Карпов А.В. Задача адаптации системы защиты информации от несанкционированного доступа. // Программные продукты и системы. - 2005. - № 4. 3. Клейнрок Л. Теория массового обслуживания. - М.: Машиностроение, 1979. 4. Гуляев В.А. Оптимальный синтез систем контроля цифровых управляющих машин. – В кн.: Теорема точности и надежности кибернетических систем: 2-е изд. - К.:. Ин-т кибернетики АН УССР, 1969. 5. Burke P.J. The Output of a Queuing System. Operations Research, 4, 1956. 6. Jackson J.R. Networks of Waiting Lines. Operations Research, 5, 1957. 7. Григорьев В.А., Карпов А.В. Имитационная модель системы защиты информации. // Программные продукты и системы. – 2005. - №2. |
http://swsys.ru/index.php?id=469&lang=%E2%8C%A9%3Den&page=article |
|