Эффективность защиты за определенные периоды функционирования системы характеризуется параметрами a и b. Ожидаемое количество проявлений угроз в последующие t периодов характеризуется математическим ожиданием
E(
/ t) at
b
r
и дисперсией
V (
/ t)
at
r
.
b(t b)
Подходы к оценке стоимости проявления угроз состоят вот в чем. Прежде всего рассматриваются средние стоимости проявления угроз, а потому используется нормальная функция распределения с параметрами т и V
f (m,V / m , V , n , k ) fn (m / m , n , V ) fg (V / V , ),
где fn( ), fg( ) - нормальный и гамма-распределение вероятностей соответственно, а n , - параметры гамма-распределения.
Если за следующие t периодов времени происходит r проявлений рассмотренной угрозы, которая приводит к убытку в размере соответственно xi (i = 1, п), то параметры распределения вероятностей ожидаемых потерь корректируются так
m
n m rx
;
n
V
V n (m )2 (r 1)S 2 rx
2 n (m )2
,
k
2
где n n r; r;
xi / r; S2
(xi
)2 / (r 1).
x
x
Прогнозируемое распределение убытков от возможного проявления рассмотренной угрозы формируется путем выделения неопределенных параметров т и V из функции распределения вероятностей для стоимости проявления угрозы данного типа, тогда
fS ( x / m , V , K ) f ( x / m, V ) f (m / m , V
, V ) fS (V / V , ) dmdV ,
0
где f ( ) — член семьи распределения Стьюдента.
Ожидаемое изменение значения X определяется параметрами
E(
) m;
V (
)
x
x
.
K 2
680
Глава 9. Методы и средства защиты от несанкционированного доступа
Необходимо указать, что возможное количество проявлений i-й угрозы данного типа за данный период времени rі и стоимость каждого проявления этой угрозы xij (j = i = 1, r) являются случайными переменными, поэтому
ожидаемая полная стоимость угроз за t периодов времени Ct определяется по формуле
t
r
i
C t
,
xij
i 1
j 1
а ожидаемая стоимость проявления угрозы одного i-го типа - по формуле
r
Ci ,t xij . j 1
Следует отметить, что стоимости проявления угроз являются случайными величинами, а для полной их оценки необходимо определить функции распределения их вероятностей.
Если бы удалось собрать достаточное количество фактических данных о проявлениях и следствиях угроз, то рассмотренную модель можно было бы использовать для решения достаточно широкого круга задач защиты информации.
Рассмотренная модель может иметь игровую интерпретацию, т.е. ее можно свести к постановке в сроках теории игр. Предположим, что неавторизованная сторона применяет x средств с целью преодоления механизма защиты, на создание которого израсходовано у средств. Тогда ожидаемое количество информации, получаемое неавторизованной стороной, является некоторой функцией I (х, у). Если f (n) для неавторизованной стороны является ценностью п единиц информации, a g (n) является суммарными затратами на создание и сохранение этой самой информации, то чистая прибыль неавторизованной стороны определяется по формуле
V (x, y) f [I (x, y)] x;
а потери –
u( x, y) g[I ( x, y)] y.
В соответствии с известными правилами теории игр оптимальные стратегии обеих сторон можно определить по формулам:
f [I ( x, y)] dI ( x, y) 1;
dx
dI (x,
y)
1.
g [I (x, y)]
dy
Эта модель с теоретической точки зрения достаточно строгая, но для практического использования необходимо знать стоимость информации, а также функции I, f и g для общего случая, который до сих пор является нерешенной проблемой.
Модель с полным перекрытием. Развитием моделей оценки угроз информационных систем являются модели их нейтрализации, т.е. модели защиты, наиболее общей из которых есть модель системы с полным перекрыти-
ем.
Построение этой модели базируется на том, что в механизме защиты должны содержаться по крайней мере одно средство для перекрытия любого потенциально возможного канала утечки информации. Рассмотрим методику формального описания моделирующей системы.
1.Составляется полный перечень объектов О системы, которые подлежат защите.
2.Составляется полный перечень потенциально возможных угроз Т информации.
3.Составленные таким образом множества объединяются в двудольный
граф с соблюдением условия: ребро <ti, oj> существует тогда и только тогда, когда угроза ti есть реальной для объекта oj.
4.Для каждого ребра в графе определяется количественная мера соответствующей угрозы для соответствующего объекта.
5.Формируется множество М средств защиты информации в вычислительной системе.
6.Определяется количественная мера возможности противодействия каждого средства защиты каждой из угроз. Если возможность противодействия превышает уровень угрозы, то соответствующее ребро графа исключается.
Если множество М такое, что устраняются все ребра графа, то такая си-
стема является системой с полным перекрытием.
Одной из разновидностей теоретически строгих моделей являются модели систем разделения доступа к ресурсам информационных систем.
В общем случае сущность этих моделей можно описать так. Информа-
ционная система является системой множественного доступа, т.е. к тем самым ее ресурсам имеет права доступа некоторое количество пользовате-
лей (процессов). Если любые из указанных ресурсов защищаются, то доступ
кним осуществляется лишь при наличии соответствующих полномочий. При этом система разделения доступа является механизмом, который регулирует такой доступ. По этому механизму не должен быть разрешен доступ пользователям (процессам), которые не имеют на это полномочий, и не должно быть отказано в доступе пользователям (процессам), которые имеют соответствующие полномочия.
Рассмотрим пример модели дискреционного доступа (АДЕПТ50), построенной на названных механизмах. Основными структурными элементами этой модели есть объекты таких типов: пользователь u, задача j, терминал t и файл f. Объект каждого типа целиком описывается с помощью четырех характеристик: А - уровень компетенции, выраженный наибольшим грифом секретности данных (для данного объекта); C - категория доступа к данным,
682
Глава 9. Методы и средства защиты от несанкционированного доступа
по которой разрешен доступ для объекта; F - полномочие пользователей, которые имеют доступ к объекту; М - режим, выраженный перечнем процедур, разрешенных для соответствующего объекта.
На базе такого формального описания системы можно сформулировать систему формальных правил регулирования доступа. Например:
1)пользователь u получает доступ к задаче j тогда и только тогда, когда u U, где U — множество всех пользователей, зарегистрированных в системе;
2)пользователь u получает доступ к терминалу t тогда и только тогда,
когда u F(t);
3)пользователь u получает доступ к файла f тогда и только тогда, когда u F(f); A(u) A(f); C(u) C(f); M(u) M(f);
4)из терминала t может быть осуществлен доступ к файла f тогда и
только тогда, когда F(t) F(f); A(t) A(f); C(t) C(f); M(t) M(f).
Набор таких правил может расширяться и модифицироваться, а на их основе легко построить алгоритм управления доступом к данным.
К такому типу принадлежит известная пятимерная модель безопасности Хартсона, согласно которой для формального описания процесса доступа к данным в условиях защиты введено пять таких множеств: U - список зарегистрированных пользователей; R - набор имеющихся в системе ресурсов; S - множество возможных состояний ресурсов; Е - набор операций над ресурсами; А - перечень возможных полномочий пользователей.
Далее вводится понятие области безопасности как декартового произведения указанных множеств
D = U A R S E.
В области безопасности можно выделить четыремерные подобласти, которые отвечают отдельным пользователям, группам пользователей, отдельным ресурсам и т.п.
Любой запрос на доступ можно описать кортежем
g = (u, r, s, e) (u U; r R; s S; e E).
Запрос получает право на доступ только в том случае, если он попадает в соответствующую подобласть области безопасности.
Описанная структуризация дает возможность построить алгоритмическую процедуру управления доступом, а обобщением моделей этого типа является модель, в которой сформулирована и строго решена задача разделения доступа.
Постановка задачи. Дана система (A, B, g), в которой:
A = (A1, A2, ..., Au) - конечный набор субъектов (активных элементов системы);
B = (B1, B2, ..., Bv) - конечный набор объектов (пассивных элементов) системы;
ai - код доступа субъекта i;
bj - код доступа объекта j(i, j - некоторые двоичные числа);
g = g (ai, bj) - механизм доступа, причем если g (ai, bj) = 1, то субъекту i разрешается доступ к объекту j, а если g (ai,bj) = 0, то указанный доступ не разрешается.
Задача заключается в том, чтобы при заданных наборах субъектов и объектов с их ограничениями в иерархических структурах и заданном механизме доступа выбрать такое значение разрядности кода доступа n и определить такое распределение значений кодов доступа субъектов и объектов, чтобы обеспечивались все разрешенные и минимизировались неразрешенные доступы.
Механизмом доступа может быть любая булевая функция
n
g(ai ,bj ) f (aik ,bik ),
k 1
которая удовлетворяет условию
n
,bjk
) m
g(ai
1,
если f (aij
.
, bj )
k 1
0, в противном слу чае
Здесь f (aik, bjk) — произвольная булевая функция двух бит; aik — значение k-го бита в коде доступа j-го объекта; m — порог доступа, причем
0 m n.
С целью нахождения выражений для количественных оценок вводятся такие определения.
1. Пусть xij и yij - булевые переменные, где xij = 1 (yij = 1) означает, что Ai имеет разрешенный (неразрешенный) доступ к Bj, иначе xij = 0 (yij = 0). При
этом xij yij = 0 для всех i (1 i |A|) и всех j (1 j Bj), где |А| означает кардинальное число множеств А.
2.Пусть xj - количество субъектов Ai A, имеющих разрешенный доступ
кBj, а yj - количество субъектов, не имеющих такого доступа, причем
x j
xij ;
Ai A
y j
yij .
Ai A
3. Пусть x(y) - среднее (относительно B) количество субъектов, которые имеют разрешенный (неразрешенный) доступ к любому Bj B, т.е.
684
B j B
B j B
Глава 9. Методы и средства защиты от несанкционированного доступа
x j
x
B j B
;
| B |
y j
B j B
y
.
| B |
4. Пусть x(y) - минимальное (относительно B) количество субъектов, которые имеют разрешенный (неразрешенный) доступ к любому Bj B, т.е.
x min(x j );
B j B
y min( y ).
j
B j B
5. Пусть х(у) - максимальное (относительно В) количество субъектов, которые имеют разрешенный (неразрешенный) доступ к любому Bj B, т.е.
x max(x );j
y max( y ).
j
Тогда качество распределения кодов доступа можно оценить приведенными дальше показателями.
1. Абсолютная степень защиты
абс (1 y) 1.
При этом абс 1 будет только тогда, когда найдено такое распределение, при котором неразрешенных доступов нет вообще; в противоположном случае абс 1. Значения этого показателя не зависит от количества субъек-
тов и объектов, а изменяется только в зависимости от среднего количества неразрешенных доступов.
2. Относительная степень защиты
A x yотн A x ,
0 отн 1, причем отн = 1, если система не допускает неразрешенных доступов, а отн = 0, если система разрешает максимально возможное количество неразрешенных доступов.
Доказано, что оптимальное распределение кода будет при минимальном количестве наборов, которые разрешают доступ. Это достигается при равномерном распределении субъектов по всем классам доступа.
Рассмотрим дальше теоретико-эмпирическийподход к оценке информации.
По определению, базовым есть показатель уязвимости информации в одном структурном ресурсе информационной системы относительно одного дестабилизирующего фактора и относительно одного нарушителя одной категории (для факторов, связанных с преступными действиями людей).
Для определения базовых показателей уязвимости разных видов применяются аналитические модели, которые дают возможность определять искомые величины (в данном случае - показатели впечатлительности информации) путем проведения вычислений по заранее установленным (выведенным) зависимостям.
Приведем некоторые аналитические модели.
1. Нарушение физической целостности информации. Введем такие обозначения:
Pi(цвх) - вероятность того, что на вход i-го структурного компонента поступает информация с затронутой целостностью;
Pijk(ц) - вероятность того, что целостность информации (обрабатываемой,
сохраненной, переданной), которая содержится в i-му структурном компоненте, будет затронуто под влиянием j-го дестабилизирующего фактора и (в случае преступных действий людей) относительно одного нарушителя k-ой категории. Для тех дестабилизирующих факторов, которые не связанные с
преступными действиями людей, индекс k игнорируется, т.е. значение Pijk(ц) для всех k одинаковые и зависят только от i и j;
Pijk(ц) вых - вероятность того, что целостность исходной из i-го компонента
информации нарушена под влиянием j-го дестабилизирующего фактора и (в случае преступных действий людей) относительно одного нарушителя k-й категории (относительно индекса k исполняется высказанное только что замечание).
Соответственно теореме умножения вероятностей случайных событий величину Pijk(ц)вых (нарушение целостности исходной информации) можно по-
дать такой зависимостью
Pijkцвых 1 1 Pi вхц 1 Pijkц .
686
Глава 9. Методы и средства защиты от несанкционированного доступа
Раскрыв скобки и выполнив тельно получим:
P ц
P ц
ijk вых
i вх
тождественные преобразования, оконча-
1 P ц P ц p.
(9.1)
i вх ijk
Графически эта зависимость представлена семейством кривых, приведенных на рис. 9.32.
Как видим, на эту модель есть определенные ограничения. Здесь предполагается такое:
1)разные дестабилизирующие факторы влияют на информацию независимо друг от друга;
2)процесс нарушения целостности ресурсов информационной системы не зависит от того, затронута ли целостность информации, которая поступает на его вход.
Р ц
ijk вых
ц
0,6
Рiвх
ц
0,2
Рiвх
ц
0
Рiвх
Р ц
0,2
0,4
ijk
0,6
0,8
1,0
Рис. 9.32. График значений базовой вероятности нарушения физической целостности информации
Поэтому правомерность использования такой модели необходимо обосно-
P ц
вать. События ijk являются сложными с той точки зрения, что для их осу-
ществления необходимо одновременное проявление соответствующего дестабилизирующего фактора и собственно нарушение целостности информации вслед-
ствие его действия. Если вероятность первого события обозначить через Pijkц, п , а
Значение Pijkцвых и является базовым показателем уязвимости с точки зрения нарушения целостности исходной информации. Тем не менее для его использования необходимы значения Pijkц для всех структурных компонентов
и всех дестабилизирующих факторов информационной системы. Следует отметить, что формирование всего множества значений этих величин связано
сопределенными трудностями.
2.Несанкционированное получение информации. С точки зрения не-
санкционированного получения информации главную опасность представляют преступные действия людей. Введем такие обозначения:
Piklп, д - вероятность доступа нарушителя k-й категории в l-ю зону i-го ресурса информационной системы;
Pijlп, к - вероятность наличия (проявления) j-го канала несанкциониро-
ванного получения информации в l-й зоне i-го ресурса информационной системы;
Pijklп, н - вероятность доступа нарушителя k-й категории к j-го канала не-
санкционированного получения информации в l-й зоне i-го компонента при условии доступа нарушителя в зону;
P п, i
- вероятность наличия информации, которая защищается, в j-м
ijl
канале несанкционированного получения информации в l-й зоне i-го компонента в момент доступа туда нарушителя. Укажем, что зоны являются со-
ставными, например, если l 1,5 (рис. 9.33), то первая зона является внешней (первый рубеж), а пятая - внутренней (последний рубеж).
Но поскольку под базовым показателем уязвимости информации (с точки зрения несанкционированного получения) понимается вероятность несанкционированного ее получения в одном ресурсе информационной системы одной неавторизованной стороной одной категории по одному каналу несанкционированного получения информации, то выражение для базового показателя для пяти зон запишется так:
5
5
Pilkп, д Pijlп, к Pijklп, н Pijlп, i .
Pijkп, б 1 1
Pijklп, б 1 1
l 1
l 1
688
Глава 9. Методы и средства защиты от несанкционированного доступа
Внутренняя неконтролируемая зона
Зона контролируемой територии
Зона помещений информационной системы
Зона ресурсов информационной системы
Зона баз данных
Неавторизированные действия
Рис. 9.33. Пример схемы возможных несанкционированных действий в информационной системе
Классические мандатные модели целостности и размежевания до-
ступа. Модель мандатного размежевания доступа, которая получила название модели Белла - Лападула (БЛМ), до сих пор влияет на исследования и разработки в области компьютерной безопасности. Идеи, заложенные в БЛМ, могут быть использованы при построении разных политик безопасности (например, в основе «Оранжевой книги» [51]).
Принципы, которые положено в основу БЛМ, происходят от бумажного документирования информации с ограниченным доступом, а Белл и Лападула перенесли известные подходы обеспечения безопасности в информационные технологии. Здесь основным тезисом является то, что все субъекты и объекты ассоциируются с уровнями безопасности, которые варьируются от низких (неклассифицированных) уровней к высоким (совершенно секретных). Кроме того, для предотвращения утечки информации к неуполномоченным субъектам с низкими уровнями безопасности им не разрешается читать информацию из объектов с высокими уровнями безопасности. Этот тезис ведет к первому правилу БЛМ.
Простое свойство безопасности, известное также как правило «запрет чтения вверх» (NRU), говорит, что субъект с уровнем безопасности xs может читать информацию из объекта с уровнем безопасности xо, только если xs преобладает над xо. Это значит, что когда в системе, которая удовлетворяет
