OIBD
.pdfпароль або використовувати наступний. Якщо при кожній помилці використовувати наступний пароль, то повний список паролів повинен бути достатньо великим, а при повторному використанні одного і того ж паролю порушується принцип одноразовості, крім того, пароль в такій ситуації може бути перехоплений зловмисником;
• при великій кількості користувачів для генерації списку паролів необхідно використовувати генератори випадкових послідовностей, що в принципі дозволяє зловмисникові відновити паролі за допомогою статистичного аналізу.
При використанні методу "запит - відповідь" в пам'яті АС завчасно створюється і особливо захищається масив питань, що включає в себе питання загального характеру, так і персональні питання, що відносяться до конкретного користувача. Для розпізнавання користувача АС послідовно ставить перед ним ряд випадково обираних питань, на які користувач повинен дати відповідь. Розпізнавання вважається позитивним, якщо у відповідях користувача число помилок не перевищує заданого порогу.
Метод перехресного впізнання полягає в тому, що процедура впізнання повторюється періодично в процесі роботи користувача, причому моменти повтору процедури вибираються випадково. При цьому кожен раз можуть використовуватися різні особисті методи розпізнання.
Методи особливого надійного розпізнання
Особливо надійне впізнання повинно використовуватися в разі обробки інформації підвищеної секретності, особливо в разі роботи в режимі віддаленого доступу. При цьому використовуються суто індивідуальні характеристики людини: голос, відбиток пальців, сітківка ока, малюнок, особистий підпис і т.п.
Реалізація методів пізнання по перерахованим характеристикам сполучена з вирішенням двох груп проблем: проблеми зняття індивідуальних характеристик людини в процесі розпізнавання та проблеми аналізу та обробки отриманих характеристик.
При пізнанні користувача по голосу в пам'яті АС заздалегідь формується еталон його голосу, для чого користувач повинен вимовити перед мікрофоном задану сукупність фраз. В процесі впізнання АС порівнює вимовлені фрази з еталонними і приймає рішення про пізнання.
Надійність розпізнавання по голосу в ідеальних умовах досить висока, але на неї справляють значний вплив такі чинники, як зміна голосу при застуді та деяких інших захворюваннях (а можливо і просто від втоми), можливість
121
імітації голосу зловмисником. З цих причин впізнання по голосу до останнього часу не набуло широкого розповсюдження.
Впізнання за відбитками пальців і по сітківці ока, найбільш традиційний метод пізнання, заснований на загальновідомому факторі, що відбитки і сітківка є строго індивідуальними характеристиками людини. При належній обробці відбитків і сітківки надійність впізнання може бути досить високою. Схема процедури розпізнавання для цього випадку зрозуміла і загальновідома. Основну працю при вирішенні цього завдання складає перетворення малюнків відбитків пальців і сітківки ока в цифрову форму для подальшої їх обробки на ЕОМ. Розробка та реалізація програмного забезпечення для вирішення цього завдання не представляє особливих труднощів.
Впізнання по довжині пальців грунтується на менш очевидному і менш відомому факті - довжина пальців, і співвідношення довжин окремих пальців також є індивідуальними характеристиками людини. Вимірювання довжини чотирьох пальців (без великого) дозволяє впізнати людину з імовірністю не нижче 95%. У той же час пристрій для вимірювання довжини пальців є настільки простим, що їм можна обладнати навіть невеликі термінали користувачів.
Впізнання по фотографії пов'язано з наявністю в будові особи стійких індивідуальних характеристик, сукупність яких не може бути імітована навіть при гримуванні. У цю сукупність входять: будова і розташування вух, геометричні співвідношення рис обличчя, знятого в анфас і в профіль, геометричні параметри положення очей і т.п.
Аналогічно наведеним вище методом може проводиться впізнання по особистому підпису, причому в системах такого типу використовуються не тільки геометричні характеристики підпису, але й динамічні характеристики процесу її написання. Ці параметри також утворюють сукупність характеристик, що дозволяють досить надійність але зробити впізнання користувача.
Слід зазначити, що високу надійність впізнання може забезпечити тільки комбінована система, що використовує кілька різних методів, хоча вона і буде достатньо складною і дорогою.
Методи розпізнання АС і її елементів користувачем
Таке впізнання необхідно для того, щоб користувач міг переконатися в тому, що надані йому ресурси є саме ті, які призначені для роботи з ним, а не є помилковими, фальсифікованими зловмисником для отримання секретних даних, у тому числі і паролів.
122
Розпізнавання користувачем системи та її окремих елементів також можна здійснювати за допомогою паролів, тільки в цьому випадку сама система буде пред'являти свій код (пароль) користувачеві. Цілком очевидно, що користувач повинен знати такий пароль заздалегідь. Такий метод впізнання при великому числі користувачів не може бути надійним.
Найбільш ефективним методом вирішення розглянутої задачі в даний час вважається реалізація так званої "схеми рукостискання". При її реалізації зазделегідь вибирається не дуже складне, але далеко не тривіальне перетворення А (х, кt), де х - аргумент, а кt - ключ, що залежить від поточного часу. Це перетворення повинно міститися в секреті, але бути відомим користувачеві, і системі. Користувач разом із запитом на роботу посилає вибране ним значення аргументу х (наприклад, своє ім'я). Система обчислює Ас (х, кt) і посилає це значення користувачеві. Користувач обчислює Ап (х, кt). Якщо Ас = Ап, упізнання вважається позитивним ("рукостискання відбулося").
Така схема впізнання може бути досить ефективною навіть при великому числі користувачів, оскільки для кожного користувача неважко підібрати окреме перетворення. Особливо просто реалізується режим "рукостискання" при наявності шифрувальної апаратури, що сполучається як з терміналом, так і з АС. Тоді в якості перетворення А (х, кt) може використовуватися криптографічне перетворення, що реалізується в наявній криптографічній системі.
Глава 14. Побудова систем технічного захисту інформації
Методологія системного аналізу – наука, що займається проблемою прийняття рішень в умовах аналізу великої кількості інформації різної природи.
Методологія системного аналізу включає основні означення:
Елемент – деякий об’єкт (матеріальний, енергетичний, інформаційний), що володіє рядом важливих для захисту властивостей, але внутрішня побудова не має відношення до цілей розгляду.
Зв’язок – важливий для розгляду обмін між елементами речовиною, енергією, інформацією.
Система – сукупність елементів, що має такі ознаки:
-зв’язки, що дозволяють за допомогою переходів по них від елемента до елемента з’єднати два будь-яких елементи в сукупність;
-властивості, відмінні від властивостей окремих елементів сукупності. Практично будь-який елемент із певної точки зору може бути розглянутим
як система.
123
Велика система – система, що включає значне число однотипних елементів і однотипних зв’язків.
Структура системи – розчленування системи на групи елементів із указівкою зв’язків між ними, незмінне на весь час розгляду, яке дає уявлення про систему в цілому. Зазначене розчленування може мати матеріальну, алгоритмічну або іншу основу. Структура системи може бути охарактеризована за наявними у ній типами зв’язків. Найпростішім з них є послідовне, паралельне з’єднання і зворотний зв’язок.
Структурно-складна система (складна система) – система, що складається з елементів різних типів і має різнорідні зв’язки між ними.
Декомпозиція – розподіл системи на частини, зручні для будь-яких операцій з цією системою. Приклади декомпозицій: розподіл об’єкта на окремо проектовані частини, зони обслуговування; розгляд фізичного явища або математичний опис окремо визначеної частини системи.
Ієрархія – структура з наявністю підпорядкованості, тобто нерівноправних зв’язків між елементами, коли дія в одному з напрямків зумовлює набагато більший вплив на елемент, чи в іншому. Види ієрархічних структур різноманітні, але найбільш важливі дві – деревоподібна і ромбовидна.
Операція – будь-який захід (система дій), об’єднаний єдиним задумом і спрямований на досягнення певної мети.
Мета дослідження операцій – попереднє кількісне обґрунтування оптимальних рішень.
Усякий визначений вибір залежних від нас параметрів називається рішенням. Оптимальним називається рішення, по тим чи іншим ознакам кращим за інші.
Параметри, сукупність яких утворюється рішення, називається елементами рішення.
Множиною допустимих рішень називаються задані умови, які фіксовані і не можуть бути порушені.
Показник ефективності – кількісна міра, що дозволяє порівнювати різні рішення по ефективності.
Принципи системного підходу – це положення загального порядку, які є узагальненням досвіду роботи людини зі складними системами. Іх часто вважають ядром методології. Відомо біля двох десятків таких принципів, з яких можна розглянути наступні:
- принцип кінцевої цілі: абсолютний пріоритет кінцевої цілі;
124
-принцип єдності: спільний розгляд системи як цілого і як сукупності елементів;
-принцип зв’язності: розгляд будь-якої частини разом з іїзв’язками з оточенням;
-принцип модульної побудови: корисним є виділення модулів у системі
ірозгляд ії як сукупності модулів;
-принцип ієрархії: корисним є введення ієрархії елементів та (або) їхнє ранжування;
-принцип функціональності: спільний розгляд структури і функції з пріоритетом функції над структурою;
-принцип розвитку: врахування змінюваності системи, ії здатності до розвитку, розширення, заміни частин, накопиченню інформації;
-принцип децентралізації: вплив на кінцевий елемент з вершини ієрархії мінуючи проміжні елементи.
З урахуванням викладених означень та принципів, процес оптимального проектування систем захисту інформації можна визначити як процес вибору структури параметрів таким чином, щоб вибрати рішення, яке забезпечує досягнення максимального значення показника ефективності.
З урахуванням викладених основних принципів системного аналізу, можна сформулювати загальні підходи до створення систем захисту інформації – як структурно-складних систем:
-встановлення границі системи, яка підлягає проектуванню, тобто представлення системи у вигляді деякої ізольованої частини реального світу;
-вибір внутрішньо системних незалежних змінних, котрі повинні адекватно описувати допустимі параметри або умови функціонування системи і сприяти тому, щоб усі найважливіші техніко-економічні вимоги знайшли відображення у формулюванні задачі;
-побудова моделі, яка описує взаємозв’язки між змінними задачі і відбиває вплив незалежних змінних на значення показника ефективності;
-визначення показника ефективності, на основі якого можна оцінити характеристики системи або ії проекту для того, щоб виявити «найкращій» варіант або множину «найкращих» умов функціонування системи, яка проектується;
-формування множини альтернативних проектних варіантів і розв’язання оптимізаційної задачі, результатом якої є вибір проектної системи, оптимальної за обраними показниками ефективності ії функціонування.
125
Встановлення границі системи, яка підлягає проектуванню, тобто представлення системи у вигляді деякої ізольованої частини реального світу.
Чітке визначення границь системи, яка досліджується або проектується дає можливість розмежувати множини елементів самої системи і їх властивостей, а також множини зовнішніх впливів (загроз), в умовах яких здійснюється аналіз і проектування системи.
Важливо відзначити, що розширення границь системи підвищує розмірність і складність багатокомпонентної системи, якою є система захисту інформації і, тим самим, ускладнює ії аналіз. Отже важно прагнути до декомпозиції такої складної системи на підсистеми, які можна вивчати окремо без зайвого спрощення реальної ситуації.
Вибір внутрішньо системних незалежних змінних, котрі повинні адекватно описувати допустимі параметри або умови функціонування системи і сприяти тому, щоб усі найважливіші техніко-економічні вимоги знайшли відображення у формулюванні задачі.
Серед властивостей систем, які відбиваються в описах на певному ієрархічному рівні, розрізняють властивості систем, елементів систем і зовнішнього середовища, у якому має функціонувати об’єкт. Кількісний вираз цих властивостей здійснюється за допомогою параметрів (вхідних, вихідних, внутрішніх і зовнішніх).
Побудова моделі, яка описує взаємозв’язки між змінними задачі і відбиває вплив незалежних змінних на значення показника ефективності.
У самому загальному випадку структура моделі включає основні рівняння матеріальних і енергетичних балансів, співвідношення, які пов’язані з проектними рішеннями, рівняння, що описують фізичні процеси, які протікають у системі, нерівності, що визначають область припустимих значень незалежних змінних і встановлюють ліміти наявних ресурсів. Елементи моделі містять всю інформацію, яка звичайно використовується при розрахунку проекту або прогнозуванні характеристик системи. Очевидно, процес побудови моделі є дуже праце ємним і вимагає чіткого розуміння специфічних особливостей системи, яка розглядається.
Моделі можуть бути фізичними (різного роду макети, стенди) і математичними. Математична модель – сукупність математичних об’єктів (чисел, змінних, векторів, множин тощо) і відношень між ними.
Математична модель об’єкта (системи) можуть бути функціональними, якщо вони відбивають фізичні або інформаційні процеси, які протікають у об’єкті (системі), що моделюється, та структурними, якщо вони відбивають
126
тільки структурні (в окремому випадку геометричні) властивості об’єктів. Функціональні моделі об’єкта (системи) частіше за все являють собою системи рівнянь, а структурні моделі об’єкта (системи) – це графи, матриці і т.п.
Математичну модель об’єкта (системи), яку отримано безпосереднім об’єднанням математичних моделей елементів у загальну систему називають повною математичною моделлю. Спрощення повної математичної моделі об’єкта дає його макромодель.
Якщо позначити через X, E і Y вектори відповідно внутрішніх, зовнішніх і вихідних параметрів, то очевидно, що Y є функцією X і E. Якщо ця функція відома і може бути представлена в явній формі 
, то ії називають аналітичною моделлю.
Часто використовуються алгоритмічні моделі, у яких функція 
задається у вигляді алгоритму.
Наявність такої математичної моделі дозволяє легко оцінювати вихідні параметри по відомим значенням векторів X і E. Однак, існування залежності 
не означає, що вона відома розробнику і може бути представлена саме в такому вигляді щодо векторів Y і X. Як правило, математичну модель у такому вигляді вдається одержати для дуже простих об’єктів.
Більш складний вид математичної моделі:
де X – вектор внутрішніх параметрів; E – вектор зовнішніх параметрів системи; V – вектор незалежних змінних, які визначають вплив на систему невідомих факторів (загроз); P – вектор заданих, заздалегідь відомих параметрів системи, якими можна варіювати.
Визначення показника ефективності, на основі якого можна оцінити характеристики системи або ії проекту для того, щоб виявити «найкращій» варіант або множину «найкращих» умов функціонування системи, яка проектується.
В інженерних застосуваннях звичайно, як показники ефективності, вибирають показники економічного (витрати, прибуток і т.п.) або технологічного (продуктивність, енергоємність, матеріалоємність і т.п.) характеру. Найкращому варіанту системи завжди відповідає екстремальне значення показника ефективності функціонування системи.
Вибір показників і критеріїв якості функціонування складної системи, яка проектується, представляє важку проблему системного проектування, ії
127
рішення лежить поза сферою математики. Практика показує, що вибір показників ефективності і критеріїв якості (критеріїв оптимальності) звичайно здійснюється на основі досвіду, інтуїції, аналогії, тобто евристичних методів, і в багатьох випадках є свого роду мистецтвом дослідника.
При цьому, якщо формалізований процес можна перевірити, півторити й у подібних ситуаціях одержати той самий результат, то евристичні методи не мають цю властивість. І проте вони також знаходять широке застосування. Необхідність їхнього застосування продиктована невмінням або неможливістю формалізувати проблему. Це відноситься і до вибору критеріїв якості функціонування проектної системи.
Практика показала, що й у цьому випадку при застосуванні евристичних методів можуть бути отримані гарні результати. Це особливо важливо при вивченні і проектуванні систем захисту інформації, тому що встають надзвичайно великі труднощі і складності в науковому обґрунтуванні критеріїв оцінки якості функціонування системи, а також в узгодженні критерію для всієї системи з критеріями для ії окремих частин (елементів).
Проблема обґрунтування критеріїв при системному проектуванні полягає у встановленні ознак показників, по яким можуть бути виконані порівняння і вибір кращого варіанта побудови системи.
Процедура вибору показників ефективності (і критеріїв якості) не може бути алгоритмізована. Кожній системі відповідає множина критеріїв і визначення, вибір найбільш придатних з них ставить творчу задачу. Очевидно, рішення цієї задачі буде полегшено, якщо керуватися загальними підходами і вимогами до критеріїв.
Основний принцип вибору показників ефективності сформульований ще академіком Колмогоровим: показник ефективності повинен суворо відповідати меті, яка повинна бути досягнута в результаті тих чи інших дій. Отже, під ефективністю системи (процесу, прийнятих технічних рішень) розуміється ступінь пристосованості системи до виконання поставленої задачі. Показник ефективності, таким чином, повинен кількісно визначити міру відповідності результатів функціонування системи поставленій задачі. Крім того, показник ефективності повинен задовольняти ряду інших вимог для використання його в системних дослідженнях: відповідати ієрархічній структурі побудови системи, враховувати вплив всіх основних параметрів, дозволяти порівняння варіантів побудови системи і т п.
Система захисту інформації розраховується на застосування в широкому діапазоні умов, тому треба обирати раціональний варіант ії побудови, що
128
задовольняє заданому діапазону умов ії застосування, деякі з яких можуть бути ще невідомі. У цьому випадку завдання полягає у виборі такого альтернативного рішення, що не будучі суворо оптимальним для однієї умови - виявляється найбільш прийнятним для всього діапазону умов.
Узагальнюючі усе викладене, коротко можна сформулювати такі вимоги до показників ефективності функціонування структурно-складних систем – таких як система захисту інформації:
1.Відповідати меті, що повинна бути досягнута при використанні за призначенням.
2.Допускати математичний (формальний) опис і кількісно визначати міру відповідності досягнутого результату поставленій меті (об’єктивно характеризувати ступінь виконання тієї задачі, для вирішення якої призначається ці система захисту).
3.Досить повно відбивати істотні сторони проектної системи (тобто бути представницьким стосовно ії основних характеристик і параметрів, що варіюються), бути чуттєвим до змін технічних характеристик і параметрів, що варіюються, раціональні значення яких потрібно визначити для різних умов застосування системи.
4.Показувати рівень досягнутої науково-технічної досконалості системи (характеризувати, у якій ступені ефективність відповідної системи захисту відрізняється від гранично можливої – оптимальної або від ефективності аналогічних найкращих варіантів побудови системи).
5.Бути простими, по можливості, наочними і доступними для сприйняття за фізичним змістом, порівняно легко обчислюваними та аналізованими.
6.Відповідати ієрархічній схемі побудови системи.
7.Бути адекватними (враховувати найважливіші властивості, зовнішні умови, внутрішньоструктурні зв’язки, специфіку розв’язаної задачі, способи використання і взаємодії засобів системи та інших факторів).
8.Бути однозначними у статистичному сенсі (мати малу дисперсію).
9.Дозволяти оцінювати ефективність різних альтернативних варіантів побудови системи, встановлювати відношення упорядкованості і т.п.
Для того, щоб показник задовольняв, основний принцип його формування та інші зазначені вимоги, він повинен, насамперед, враховувати всі основні особливості і властивості системи, а також ії функціонування і взаємодію з зовнішнім середовищем. Показник ефективності залежить від структури системи, ії параметрів, характеру і впливу на систему середовища і багатьох інших зовнішніх і внутрішніх факторів, що визначають функціонування
129
системи. Отже, показник ефективності є функціоналом процесу функціонування системи.
Як правило, процеси в системі мають випадковий характер, тому показник ефективності роботи системи захисту інформації також є випадковою величиною. Тільки в окремих випадках користуються критеріями в детермінованому вигляді.
Загальний вираз для показника ефективності визначається через наступні позначення: Р – задані, заздалегідь відомі, але такі, що варіюються, параметри системи; Х – реальні параметри, які розраховуються, що характеризують стан системи (звичайно рішення знаходяться у припустимій області: 
); E – умови функціонування; V – невідомі фактори. Таким чином, для показника ефективності системи це співвідношення має вигляд:
Узагальному випадкуV- невизначеності, а, отже і Q- невизначена величина
ізадача оптимального проектування системи втрачає визначеність. Перед проектувальником стає задача: розробити систему так, щоб комплекс показників якості системи, частина яких складає Q, приймав найкраще значення. Отже, стає задача: що обрати за Q. Щоб зробити це, розробнику треба чітко визначити: чого він вимагає від системи, яку задачу повинна вирішувати система, тобто, форма показника ефективності, перш за все, залежить від задачі, яку розв’язує система.
Формування множини альтернативних проектних варіантів і розв’язання оптимізаційної задачі, результатом чого є вибір варіанта проектованої системи, оптимального за обраними показниками ефективності ії функціонування.
Задачі, які розв’язані на цьому етапі проектування системи поділяються на задачі синтезу та аналізу. Задачі синтезу пов’язані з отриманням проектних варіантів, а задачі аналізу – з їхньою оцінкою.
Для кожного нового варіанта структури повинна корегуватися або заново складатися модель і виконуватися оптимізація параметрів. Сукупність процедур синтезу структури, складання моделі й оптимізації параметрів складають процедуру синтезу об’єкта.
Розрізняють синтез параметричний і структурний. Мета структурного синтезу – отримання структури об’єкта, тобто складу його елементів і способів зв’язку між собою.
130