Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет информационных технологий, механики и оптики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Uch.Posobie_new.doc
Скачиваний:
48
Добавлен:
09.11.2019
Размер:
2.66 Mб
Скачать
►Содержание►

1.3.4. Применение метода последовательного выбора уступок

Качественная зависимость изменения основных параметров, характеризующих систему защиты, от ее сложности – используемого набора механизмов защиты, представлена на рис.1.10.

Проанализировав характер зависимостей от сложности системы, можно сделать вывод о том, что стоимость системы защиты возрастает неограниченно, производительность снижается в пределе до нуля, в то время как кривая коэффициента защищенности (D) стремится к предельному значению единица (100%) и в некоторый момент достигает насыщения. Это приводит к тому, что при дальнейшем нарастании сложности (и, соответственно, увеличении цены, а также снижении производительности) увеличение коэффициента защищенности незначительно. Следовательно, при проектировании системы защиты (параметры защищенности которой расположены в области насыщения) целесообразно проанализировать параметры альтернативных вариантов - менее сложных систем защиты и, задав некоторый промежуток снижения коэффициента защищенности (dD), выбрать систему, уровень защищенности которой удовлетворяет полученному (D - dD), если таковые имеются. При этом может быть получен ощутимый выигрыш в цене и производительности. В этом состоит применение известного метода сведения многокритериальной задачи оптимизации к однокритериальной - метода последовательных уступок при выборе оптимальной системы защиты (набора реализуемых механизмов защиты при ее проектировании). Данный метод представляет собою итерационную процедуру анализа, используя которую разработчик системы защиты, задавая допустимые приращения одним параметрам (в частности, задавая снижение коэффициента защищенности), анализирует изменение других, принимая решение о допустимости вводимых уступок.

Рис.1.10. Иллюстрация применения метода последовательного выбора уступок

1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты

Выше отмечали следующую принципиальную особенность функционирования системы защиты – коэффициент защищенности непрерывно снижается в процессе функционирования защищенной системы, что связано с накоплением информации злоумышленником о системе защиты, а также изменяющейся статистики уязвимости системы, в частности ошибок в реализации системных и прикладных средств.

Возникает следующая проблема. Если строить систему с требуемым уровнем защищенности на момент ее внедрения (учитывающим текущую статистику угроз), то через небольшой промежуток времени функционирования систему защиты потребуется проектировать вновь, что связано с большими накладными расходами. Поэтому может быть сделан вывод, о необходимости разработки системы защиты с учетом не только существующей статистики угроз, но и с учетом потенциально возможных (неизвестных) угроз. Но если изначально вводить запас по параметрам защищенности – это приведет к значительным накладным расходам, прежде всего по параметрам производительности (относительно стоимости лучше раз создать систему с избыточным набором механизмов защиты и заплатить изначально больше, чем практически сразу после ее внедрения вновь проектировать систему защиты, т.е. вновь оплачивать все расходы, связанные с проектированием системы защиты, да еще думать об очередном ее внедрении в функционирующую систему, что, как правило, протекает весьма болезненно).

Вывод. С целью увеличения жизненного цикла системы защиты (без необходимости ее модификации) разработчикам следует не только ориентироваться на существующую статистику угроз, но и закладывать технические решения, позволяющие противодействовать неизвестным на момент проектирования системы защиты угрозам (потенциальным угрозам).

Классификация возможных подходов к проектированию системы защиты представлена на рис.1.11. Альтернативные подходы составляют метод необходимого минимума и метод полного покрытия. Метод необходимого минимума состоит в поиске варианта построения системы по характеристике требуемого уровня защищенности, метод полного покрытия состоит в исходной реализации избыточности механизмов, что изначательно позволяет построить систему защиты с большим запасом в характеристике защищенности. Как отмечалось, данные подходы к построению системы защиты характеризуются следующими недостатками:

  • Метод необходимого минимума с учетом специфики функционирования рассматриваемого класса систем позволяет построить систему практически без запаса защищенности, что потребует ее достаточно скорого проектирования вновь;

  • Метод полного покрытия (полного перекрытия угроз безопасности) связан с существенными затратами, прежде всего в производительности системы.

Рис.1.11. Классификация методов проектирования системы защиты

Рассмотренные недостатки данных альтернативных подходов проиллюстрированы на рис.1.12.

Здесь же проиллюстрирована идея, на наш взгляд, наиболее обоснованного для исследуемой области приложений систем подхода к проектированию – метода динамического анализа. Его суть состоит в следующем:

  • Исходя из возможных затрат на систему защиты, выбирается вариант, обеспечивающий максимальный уровень защищенности (при условии, что он не ниже требуемого), соответственно при выполнении заданных ограничений на параметр производительности;

Рис.1.12. Иллюстрация метода динамического анализа

  • Затем, в рамках выбранного варианта определяется набор механизмов защиты и их параметры, которые должны быть включены для обеспечения требуемого уровня защищенности, остальные механизмы находятся в резерве – выключены (по существу данная задача аналогична исходной – определение набора исходно включенных механизмов защиты является той же задачей, что и определение варианта построения системы защиты);

  • При внедрении в систему включаются лишь необходимые механизмы, но система обладает резервом в защищенности, который может постепенно выбираться при снижении уровня защищенности;

  • В процессе функционирования системы собирается необходимая статистика о параметрах системы (реализуется метод статистической оценки) с использованием которой непрерывно оценивается (с учетом представленных ранее формул) уровень защищенности системы;

  • При снижении уровня защищенности ниже заданного порогового значения – включаются зарезервированные механизмы защиты, что позволяет поддерживать требуемый уровень защищенности в течение некоторого времени функционирования системы (естественно тем большего, чем выше исходные затраты на систему защиты).

Таким образом, особенностью метода динамического анализа является то, что исходно реализуется некоторый избыток в механизмах защиты, что обеспечивает уровень защищенности выше необходимого на текущий момент. Вместе с тем, данные механизмы при внедерении системы защиты в эксплуатацию изначально не используются – резервируются. Резервирование механизмов защиты позволяет реализовать требуемый уровень защищенности без дополнительного снижения производительности (что по существу и отличает данный подход от метода полного перекрытия). При снижении же уровня защищенности ниже требуемого порога (обнаружении новых угроз), подключаются зарезервированные механизмы, уже естественно при соответствующем снижении производительности системы.

При этом отметим, что включение новых (зарезервированных) механизмов и реализация новых свойств механизмов защиты может привести к целесообразности отключения некоторых задействованных механизмов в результате частичного дублирования выполняемых ими функций, что позволит минимизировать влияние системы защиты на производительность защищаемого объекта.

Таким образом, метод динамического анализа представляет собою разумный компромисс, состоящий в следующем – чтобы обеспечить жизнеспособность системы защиты вносятся дополнительные (относительно возможности обеспечения текущего уровня защищенности) функции защиты, однако они не включаются при внедрении системы защиты - резервируются. Это позволяет обеспечить максимальную производительность системы при требуемой текущей защищенности. Производительность снижается по мере подключения резервных механизмов защиты при необходимости повышения уровня защищенности.

Важнейшим требованием к реализации описанного метода является непрерывная оценка защищенности системы, т.е. здесь должна быть реализована система мониторинга защищенности, решающая следующие задачи:

  • Непрерывный сбор статистики и расчет текущих значений параметров защищенности;

  • Оценка уровня защищенности системы и его сравнение с пороговым значением;

  • Выработка рекомендаций, по включению зарезервированных механизмов защиты при снижении текущего уровня защищенности ниже порогового значения.

Вывод. На практике целесообразно использование компромиссного подхода к решению проблемы включения в систему защиты избыточных механизмов и свойств, основанного на реализации метода динамического анализа, состоящего в подключении зарезервированных механизмов защиты, при значительном изменении поля угроз.

Отметим, что для выработки рекомендаций опять же осуществляется сравнение возможных вариантов защиты с использованием рассмотренных подходов, где варианты различаются набором включаемых механизмов. Параметры же защищенности здесь уже определяются на основании собранной статистики о конкретной системе.

В части достоинств и недостатков подход к проектированию системы защиты, основанный на использовании теории рисков, является полной противоположностью подхода, основанного на выполнении формализованных (определенных в нормативных документах) требований.

Достоинства:

  • В полном смысле реализуется проектирование системы защиты (определены численные параметры и критерии оптимальности);

  • В результате исследований в полной мере (причем количественно) определяется от каких актуальных угроз следует строить защиту, какой эффект будет получен (по критерию оптимальности) в результате проектирования системы защиты;

  • Понятно, как настраивать механизмы защиты при внедрении и эксплуатации системы, поскольку определены задачи защиты и угрозы безопасности, которые необходимо нивелировать;

  • Количественно характеризуется актуальность угрозы, причем актуальность определяется, как вероятностью угрозы, так и опасностью ее реализации в защищаемой системе.

Недостатки:

  • Сложность процедуры оптимизации, обусловленная массой субъективных экспертных оценок, которые не очень понятно кто и как будет получать, как следствие, высока мера субъективности полученного результата;

  • Нет формализации требований собственно к средствам защиты, прежде всего, в части корректности реализации механизмов для решения каждой конкретной задачи защиты. Можно говорить о применимости (целесообразности применения) данного метода проектирования при условии наличия исходного множества решения (средств защиты), причем в необходимом объеме, которыми выполняются требования к корректности реализации механизмов защиты (но они не определены).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности