1.1.2. Эксплуатационная безопасность системного средства
Уровень эксплуатационной безопасности системного средства определяется тем, в какой мере обеспечивается реализованный уровень функциональной безопасности в процессе эксплуатации системного средства. В качестве критерия оценки эксплуатационной безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации.
1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
В общем случае надежность вычислительной системы – это свойство системы выполнять возложенные на нее функции в течение заданного промежутка времени. Применительно к системе защиты информации надежность – это свойство системы защиты обеспечивать защиту информации в течение заданного промежутка времени.
Отказ системы защиты – это случайное событие, приводящее к невозможности выполнения системой в течение возложенных на нее функций.
Для системы защиты понятие «отказа» может трактоваться совсем иначе, чем при рассмотрении любого иного технического средства, т.к. с отказом связан не только переход системы защиты в состояние неработоспособности (данная составляющая «отказа» присуща любому техническому средству и нами в работе не рассматривается), но и обнаружение в системе защиты уязвимости. Действительно, пусть обнаружена ошибка в механизме защиты, использование которой злоумышленником прямо, либо косвенно приводит к несанкционированному доступу. Это можно трактовать как отказ системы защиты, т.к. до тех пор, пока подобная ошибка не будет исправлена, система защиты не выполняет своих функций – существует незащищенный канал несанкционированного доступа к информации (кстати говоря, неважно, что на какой-то момент времени для системы защиты известен только один (единственный) канал несанкционированного доступа к информации, этого вполне достаточно, чтобы говорить об отказе системы защиты в целом, т.к. характеристикой защиты является вероятность отражения ею атак на защищаемый объект, которая в данном случае имеет нулевое значение).
Определение. Под «отказом» системы защиты будем понимать обнаружение злоумышленником канала несанкционированного доступа к информации (например, ошибки в ОС, либо в приложении, которая может привести к несанкционированному доступу), под «отказоустойчивостью» – способность системы защиты обеспечивать свои функции (обеспечивать защиту компьютерной информации) в условиях обнаружения канала несанкционированного доступа к информации.
А
налогично
тому, как это выполнено в теории надежности
вычислительных систем, в данном случае
можно ввести еще два важнейших параметра,
характеризующих систему защиты –
интенсивность отказов – среднее число
отказов в единицу времени, и время
восстановления системы после отказа –
соответственно:
Определение. Под интенсивностью отказов системы защиты от несанкционированного доступа следует понимать интенсивность обнаружения в ней каналов несанкционированного доступа к информации в единицу времени.
Численные значения данного параметра могут быть получены на основании статистики угроз несанкционированного доступа, в частности для ОС и приложений.
При расчете надежности принимается, что интенсивность отказов постоянная во времени величина. Если предположить, что угрозы несанкционированного доступа взаимонезависимы и любая i – я, i = 1,…,I угроза носит катастрофический характер, предоставляя злоумышленнику несанкционированный доступ к информации, то интенсивность отказов системы защиты равна сумме интенсивностей угроз несанкционированного доступа к соответствующей системе защиты:
Тогда вероятность исправной работы системы защиты в течение произвольного интервала времени t определяется следующим образом:
Соответственно обратная величина интенсивности отказов системы равна среднему промежутку времени между двумя отказами называется временем наработки на отказ:
Интенсивность отказов системы определяется рядом параметров, в том числе, сложностью исследования механизмов защиты, реализованных в системе, квалификацией злоумышленника, временным интервалом эксплуатации системы защиты.
Сложность исследования механизмов защиты зависит не только от качества разработки системы защиты (уровня квалификации разработчика), но и от доступности информации о системе защиты для исследования злоумышленником. С точки зрения доступности для исследования можно выделить следующие категории:
Очень высокая. Сюда относятся некоммерческие средства, в том числе ОС, характеризуемые свободным доступом злоумышленника к исходным кодам ПО;
Высокая. Сюда относятся широко используемые на практике коммерческие средства, в том числе ОС, характеризуемые отсутствием доступа злоумышленника к исходным кодам ПО;
Низкая. Сюда относятся ограниченно (по различным причинам) используемые на практике коммерческие средства, в том числе ОС, характеризуемые отсутствием доступа злоумышленника к исходным кодам ПО;
Очень низкая. Сюда относятся используемые на практике коммерческие средства, имеющие формализованные правила ограниченного распространения, характеризуемые отсутствием доступа злоумышленника к исходным кодам ПО. К этой категории, в первую очередь, относятся коммерческие добавочные средства защиты отечественных производителей.
Квалификация злоумышленника (это очень важный аспект, т.к. для обнаружения некорректностей в реализации механизма защиты, либо ошибок, требуется проведение некоторого системного анализа, архитектурного анализа защищаемого объекта и т.д.) определяется областью применения защищаемого объекта, т.е. ценностью той информации, которая обрабатывается защищаемым объектом.
Временной интервал эксплуатации системы защиты также весьма важный аспект, влияющий на интенсивность отказов, т.к. понятно, что сначала злоумышленником выявляются наиболее очевидные каналы несанкционированного доступа к информации, которые соответствующим образом ликвидируются разработчиком. Соответственно, чем дольше эксплуатируется система, тем сложнее злоумышленнику найти канал несанкционированного доступа к информации (при условии, что исправления, вносимы в систему разработчиком, не приведут к новым, еще более очевидным некорректностям и ошибкам).
Не менее (если не более) важной, при оценке эксплуатационной безопасности системного средства, является другая составляющая надежности системы защиты – «время восстановления».
Определение. Интервал времени, в течение которого после возникновения отказа системы защиты, обнаруженный канал несанкционированного доступа к информации устраняется, будем называть временем восстановления.
Время восстановления (в общем случае случайная величина, тогда речь идет о среднем времени восстановления) характеризуется следующими компонентами:
временем устранения соответствующего канала несанкционированного доступа к информации разработчиком;
в
ременем
внедрения на защищаемый объект
исправленной версии системы защиты,
включая ее настройку, соответственно:
Очевидно, что можем принять, что среднее время восстановления определяется временем устранения соответствующего канала несанкционированного доступа к информации разработчиком (другой компонентой, ввиду ее относительной малости, можем пренебречь), имеем:
С учетом сказанного можем отметить, что в рассматриваемом случае одна из основных характеристик надежности функционирования системы защиты – среднее время восстановления (определяется тем, насколько предприятие-разработчик системы защиты (при использовании встроенных механизмов защиты – соответственно разработчик ОС или приложения) оперативно исправляет обнаруживаемые каналы несанкционированного доступа к информации).
Отметим, что характеристика «время восстановления» объективно зависит от сложности системы. Действительно, исправление одной ошибки требует тестирования практически всех функциональных модулей системы вновь (в единой сложной технической системе все функциональные модули сильно взаимосвязаны) и, кроме того, может привести к другим ошибкам. Поэтому исправление ошибок в ОС и сложных приложениях требует реализации соответствующей технологии внесения исправления, предполагающей серьезного тестирования ПО практически по всем функциям, т.е. может составлять месяцы (например, для ОС семейства Windows данный параметр можно охарактеризовать, как половину среднего интервала времени между выходами в свет доработок ОС – Servisе Pack). Отметим, что с учетом сложности исправления ошибок, на практике разработчики сложных систем стараются не исправлять ошибки по одиночке, т.е. приступать к тестированию системы уже по факту исправления некоторой совокупности ошибок (с учетом совокупности внесенных изменений).
При этом необходимо учитывать, что в течение всего времени восстановления можно считать систему защиты отказавшей, а защищаемый объект – незащищенным.
Таким образом, характеристика надежности системы защиты – «время восстановления» может служить требованием к предприятию-разработчику системы защиты.
С позиций надежности эксплуатационные свойства системы защиты можно охарактеризовать коэффициентом готовности:
Коэффициент готовности, во-первых, характеризует долю времени, в течение которого система защиты работоспособна (выполняет свои функции), во-вторых, характеризует вероятность того, что в любой произвольный момент времени система защиты работоспособна. Соответственно получаем долю времени, в течение которого объект находится в незащищенном состоянии, а также вероятность того, в любой момент времени объект незащищен:
