1.8. Математические модели эксплуатационной безопасности информационной системы
Характеристика
определяет вероятность того, что в любой
момент времени эксплуатации информационной
системы, на нее может быть осуществлена
успешная атака. Ее практическое
использование при проектировании
системы защиты корректно при условии:
В этом случае в среднем через интервал
времени
создаются условия
= 0 – условия реализации успешной атаки
(злоумышленник готов и заинтересован
в ее осуществлении).
Применительно
же к проектированию системы защиты
конкретной информационной системы ряд
потенциально возможных атак будет
характеризоваться условием:
Но при этом условии через интервал
времени
,
когда создаются условия
= 0, успешная атака будет реализована
лишь с некоторой вероятностью, определяемой
значением:
В случае же, если атака не будет
реализована, то в среднем очередная
попытка успешной атаки может быть
проведена злоумышленником через
следующий интервал времени
,
когда вновь создаются условия
= 0, что проиллюстрировано на рис.7.
Из
сказанного следует, что при проектировании
системы защиты в отношении угроз атак,
характеризуемых выполнением условия:
:
крайне важно учесть изменение
характеристики
за
некоторый интервал времени в процессе
эксплуатации информационной системы,
поскольку в
процессе эксплуатации системы
злоумышленнику неоднократно
"предоставляется" возможность
осуществления успешной атаки.
Ранее
мы ввели характеристику среднего
времени наработки на нарушение
эксплуатационной информационной
безопасности информационной
системы в отношении атаки
(в частном случае, в отношении уязвимости
).
Именно использование данной характеристики
уже позволяет рассматривать информационную
систему, как систему с отказами и
восстановлениями ее безопасности в
процессе эксплуатации, как следствие,
рассматривать изменение характеристик
информационной безопасности во времени
- в процессе эксплуатации информационной
системы [22,23].
Введем
понятие периода эксплуатации информационной
системы в отношении угрозы атаки
,
задаваемого следующем образом:
В
этой формуле
– среднее время наработки на нарушение
эксплуатационной информационной
безопасности информационной
системы в отношении угрозы атаки, по
истечении которого, в течение времени
(
-
интенсивность восстановлений
информационной безопасности в отношении
атаки)безопасное
состояние информационной системы в
отношении атаки будет нарушено (что
определяется условием
=0)
-
атака на информационную систему может
быть успешно осуществлена, безопасное
состояние системы в течение этого
интервала времени восстанавливается
(устраняются выявленные уязвимости,
используемые атакой), т.е. в среднем
через каждый интервал времени
информационная система в течение
промежутка времени
уязвима
для атак.
С
учетом полученной ранее модели нарушителя,
и сказанного выше, можем принять, что в
каждый период времени эксплуатации
системы
в течение времени
выполняется условие:
,
поскольку в данные моменты времени
информационная система не готова к
безопасной эксплуатации(что
определяется условием
=0),
т.е. вероятность успешной атаки на
информационную систему определяется
исключительно готовностью нарушителя
к осуществлению этой атаки, что задается
соответствующим коэффициентом
готовности
,
в остальное время система готова к
безопасной эксплуатации (для простоты
будем считать, что для этих моментов
времени справедливо:
=0,
как следствие, выполняется условие:
(как бы ни был готов нарушитель к
осуществлению атаки, отсутствуют условия
для ее практической реализации).
С
учетом сделанных допущений, по аналогии
с тем, как это было сделано ранее, см.
рис.7, получаем изменение характеристики
во
времени, определяемомпериодами
эксплуатации информационной системы
в отношении атаки
,i=1,…,I
[22],
см. рис.19.
Рис.19.
Изменение характеристики
во
времени
Таким
образом, в процессе эксплуатации
информационной системы, злоумышленнику
многократно с периодом
(определяется для конкретной атаки)
предоставляется возможность осуществления
успешной соответствующей атаки на
систему, причем вероятность осуществления
успешной атаки в каждом из этих периодов
составляет:
.
В
процессе эксплуатации злоумышленник
осуществит успешную атаку в первом
периоде (i=1)
с вероятностью, равной 0 (этот интервал
времени – это среднее время на нарушение
безопасности информационной системы
в отношении угрозы атаки, в течение
которого выполняется условие
=
0), во втором периоде с вероятностью
,
в третьем периоде с вероятностью
- с учетом вероятности того, что не
осуществил атаку во втором периоде
ит.д. В общем случае вероятность успешной
атаки на информационную систему вi-м
периоде эксплуатации
,
i=1,…,I,
:
Замечание.
Здесь и далее для удобства записи будем
считать, что
,
т.е., что
при
этих условиях определяем, что злоумышленник
осуществит успешную атаку в первом
периоде (i=1)
с вероятностью, равной 0 (такое предположение
допустимо для защищенных информационных
систем).
С
учетом этого может быть введена следующая
эксплуатационная характеристика
информационной системы – вероятность
того, что на информационную систему
будет осуществлена успешная атака за
время ее эксплуатации, характеризуемое
Iполными
периодами эксплуатации системы
,
с
номерами i=1,…,I,
Эта характеристика рассчитывается по следующей формуле:
С
учетом сказанного можем определить
эксплуатационную характеристику –
вероятность того, что на информационную
систему будет осуществлена успешная
атака за время ее эксплуатации t,
:
где ⌉d⌈ означает меньшее целое числа d.
С
учетом изменения во времени характеристики
см. рис.19, качественная зависимость
изменения характеристики
во
времени может быть представлена следующим
образом [22], см. рис.21.
Рис.21.
Качественная зависимость изменения
характеристики
во
времени
C
учетом сказанного можем корректно
определить важнейшую характеристику
эксплуатационной безопасности - среднее
временя наработки информационной
системы до осуществления на нее успешной
атаки при выполнении условия:
в отношении угрозы этой атаки.
Данная
характеристика,
,
с учетом всего сказанного ранее, может
быть рассчитана по следующей формуле:
Использование
представленных моделей, позволяющих
оценить изменение характеристики
во
времени, в том числе, позволяет корректно
определить требование к характеристике
заданном
ограничении к характеристике атаки
,
с учетом прогнозируемого промежутка
времени безопасной эксплуатации
проектируемой системы защиты в отношении
угрозы атаки
.