Эффективность защиты процессов переработки информации и методология ее расчета

Информация со временем начинает устаревать, а в отдельных случаях ее цена может упасть до нуля. Тогда за условие эффективности и достаточности защиты можно принять превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Если обозначить вероятность непреодоления преграды нарушителем через Рсзи, время жизни информации через tx, ожидаемое время преодоления преграды нарушителем через t„, вероятность обхода преграды нарушителем через Р0вх, то для случая старения информации условие достаточности защиты получим в виде следующих отношений:

Нобх, равное нулю, отражает необходимость замыкания преграды вокруг предмета защиты. Если > t„. а Рйх = 0, то

где Рир — вероятность преодоления преграды нарушителем за время, меньшее гж.

Для реального случая, когда tM > tH и Ро6х > 0, прочность защиты можно представить в виде:

Однако эта формула справедлива для случая, когда нарушителей двое, т.е. когда один преодолевает преграду, а второй ее обходит. Но в исходной модели поведения потенциального нарушителя мы условились, что нарушитель будет в единственном числе и ему известны прочность преграды и сложность пути ее обхода. Поскольку одновременно по двум путям он идти не сможет, он выберет один из них — наиболее простой, т.е. по формуле «или». Тогда формальное выражение прочности защиты в целом для данного случая будет соответствовать формуле:

где и — знак «ИЛИ».

Следовательно, прочность преграды после определения и сравнения величин (1 - Рнр) и (1 - Робх) будет равна наименьшему значению одной из них.

В качестве примера элементарной защиты, рассчитываемого по формуле (2.2), может быть названа криптографическая защита информации, где величина Рнр может определяться путем оценки вероятности подбора кода ключа, с помощью которого можно дешифровать закрытую данным способом информацию. Эту величину можно определить по формуле:

где п — количество попыток подбора кода;

А — число символов в выбранном алфавите кода ключа;

S — длина кода ключа в количестве символов.

Величина Ро6х будет зависеть от выбранного метода шифрования, способа применения, полноты перекрытия текста информации, существующих методов криптоанализа, а также способа хранения действительного значения кода ключа и периодичности его замены на новое значение, если информация, закрытая данным способом, постоянно хранится у ее владельца. Возможны и другие обстоятельства, влияющие на вероятность обхода криптографической защиты.

Выбор и определение конкретной величины Ро6х сначала можно проводить экспертным путем на основе опыта специалистов. Величина Ро6х должна принимать значения от 0 до 1. При Робх = 1 защита теряет всякий смысл.

Возможно также, что у одной преграды может быть несколько путей обхода. Тогда формула (4.2) примет вид:

где к — число путей обхода преграды, т.е. прочность преграды равна наименьшему значению, полученному после определения и сравнения величин:

Когда информация, подлежащая защите, не устаревает или периодически обновляется, т.е. когда неравенство ?ж > tH постоянно или же когда обеспечить tH > tM по каким-либо причинам невозможно, обычно применяется постоянно действующая преграда, обладающая свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защиты. В качестве такой защиты могут быть применены человек или специальная автоматизированная система обнаружения под управлением человека.

Очевидно, что параметры этой преграды будут влиять на ее прочность.

Способность преграды обнаруживать и блокировать НСД должна учитываться при оценке ее прочности путем введения в расчетную формулу (2.4) вместо (1 - Р„р) величины Робл — вероятности обнаружения и блокировки НСД.

Принцип работы автоматизированной преграды основан на том, что в ней блоком управления производится периодический контроль датчиков обнаружения нарушителя. Результаты контроля наблюдаются человеком. Периодичность опроса датчиков автоматом может достигать тысячные доли секунды и менее. В этом случае ожидаемое время преодоления преграды нарушителем значительно превышает период опроса датчиков. Поэтому такой контроль часто считают постоянным. Но для обнаружения нарушителя человеком, управляющим автоматом контроля, только малого периода опроса датчиков недостаточно.

Необходимо еще и время на выработку сигнала тревожной сигнализации, т.е. время срабатывания автомата, так как оно часто значительно превышает период опроса датчиков и тем самым увеличивает время обнаружения нарушителя. Практика показывает, что обычно сигнала тревожной сигнализации достаточно для приостановки действий нарушителя, если этот сигнал до него дошел. Но поскольку физический доступ к объекту защиты пока еще открыт, дальнейшие действия охраны сводятся к определению места и организации блокировки доступа нарушителя, на что также потребуется время.

Таким образом, условие прочности преграды с обнаружением и блокировкой НСД можно представить в виде соотношения:

где Гд — период опроса датчиков;

/ср — время срабатывания тревожной сигнализации;

taм — время определения места доступа;

г — время блокировки доступа.

Если обозначим сумму через Гобл, получим соотношение:

где То5л — время обнаружения и блокировки несанкционированного доступа.

  • а) когда tH < Т;
  • б) когда Т < гн < Го6л.

В первом случае требуется дополнительное условие — попадание интервала времени tH в интервал Т, т.е. необходима синхронизация действий нарушителя с частотой опроса датчиков обнаружения. Для решения этой задачи нарушителю придется скрытно подключить измерительную аппаратуру в момент выполнения несанкционированного доступа к информации, что является довольно сложной задачей для постороннего человека. Поэтому считаем, что свои действия с частотой опроса датчиков он синхронизировать не сможет и может рассчитывать лишь на некоторую вероятность успеха, выражающуюся в вероятности попадания отрезка времени tH в промежуток времени между импульсами опроса датчиков, равный Т.

Согласно определению геометрической вероятности из курса теории вероятности получим выражение для определения вероятности успеха нарушителя в следующем виде:

Тогда вероятность обнаружения несанкционированных действий нарушителя будет определяться выражением:

или

При tH> Т нарушитель будет обнаружен наверняка, т.е. Р0в= 1. Во втором случае, когда Т< *„< Гобл, вероятность успеха нарушителя будет определяться по аналогии с предыдущим соотношением:

Вероятность обнаружения и блокировки несанкционированных действий нарушителя:

При tH > Гобл попытка НСД не имеет смысла, так как она будет обнаружена наверняка. В этом случае Р05Л = 1.

Таким образом, расчет прочности преграды со свойствами обнаружения и блокировки можно производить по формуле

где j — число путей обхода этой преграды.

Следует отметить, что эта формула справедлива также и для организационной меры защиты в виде периодического контроля заданного объекта человеком. При этом полагаем, что обнаружение, определение места НСД и его блокировка происходят в одно время — в момент контроля объекта человеком, т.е. Гср = tOM = t6jI = 0, Гобл = Т, где Т — период контроля человеком объекта защиты. Вероятность обнаружения и блокировки действий нарушителя будет определяться формулой (2.9).

Для более полного представления прочности преграды в виде автоматизированной системы обнаружения и блокировки НСД необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.

Вероятность отказа системы определяется по формуле:

где X — интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки НСД;

t — рассматриваемый интервал времени функционирования системы обнаружения и блокировки НСД.

С учетом возможного отказа системы контроля прочность преграды будет определяться по формуле

где Ра6л и Ротк определяются соответственно по формулам (2.12) и (2.14); Р0бх и количество путей обхода j определяются экспертным путем на основе анализа принципов построения системы контроля и блокировки НСД.

Одним из возможных путей обхода системы обнаружения и блокировки может быть возможность скрытного отключения нарушителем системы обнаружения и блокировки (например, путем обрыва или замыкания контрольных цепей, подключения имитатора контрольного сигнала, изменения программы сбора сигналов и т.д.). Вероятность такого рода событий определяется в пределах от 0 до 1 методом экспертных оценок на основе анализа принципов построения и работы системы. При отсутствии возможности несанкционированного отключения системы величина его вероятности равна нулю.

На основании изложенного подводим некоторые итоги и делаем вывод о том, что защитные преграды бывают двух видов: контролируемые и не контролируемые человеком. Прочность неконтролируемой преграды рассчитывается по формуле (2.4), а контролируемой— по формуле (2.15). Анализ данных формул позволяет сформулировать первое правило защиты любого объекта:

Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытного обхода этой преграды.

При расчетах эффективности защиты многозвенной модели (см. рис. 2.14) формальное описание ее прочности можно сделать в соответствии с формулами (2.2) и (2.15). Но при использовании неконтролируемых преград расчеты прочности всей защиты целесообразнее проводить по формуле:

где РС!И| — прочность i-й преграды.

Выражение для прочности многозвенной защиты с контролируемыми преградами будет в следующем виде:

где Рсзикп — прочность п-й преграды.

Здесь следует подчеркнуть, что расчеты итоговых прочностей защиты для неконтролируемых и контролируемых преград должны быть раздельными, поскольку исходные данных для них различны, и, следовательно, это разные задачи.

Если прочность слабейшего звена удовлетворяет предъявленным требованиям контура защиты в целом, возникает вопрос об избыточности прочности на остальных звеньях данного контура. Отсюда следует, что экономически целесообразно применять в многозвенном контуре защиты равнопрочные преграды.

При расчете прочности контура защиты со многими звеньями может случиться, что звено с наименьшей прочностью не удовлетворяет предъявленным требованиям. Тогда преграду в этом звене заменяют на более прочную или данная преграда дублируется еще одной преградой, а иногда двумя и более преградами. Но все дополнительные преграды должны перекрывать то же количество или более возможных каналов НСД, что и первая. Тогда суммарная прочность дублированных преград будет определяться по формуле

где 1=1, т — порядковый номер преграды;

т — количество дублирующих преград;

Рj — прочность i-й преграды.

Иногда участок защитного контура с параллельными (дублированными) преградами называют многоуровневой защитой. В вычислительной системе защитные преграды часто перекрывают друг друга и по причине, указанной выше, и когда специфика возможного канала НСД требует применения такого средства защиты (например, системы контроля доступа в помещения, охранной сигнализации и контрольно-пропускного пункта на территории объекта защиты). Это означает, что прочность отдельной преграды _Р„ попадающей под защиту второй, третьей и т.д. преград, должна пересчитываться с учетом этих преград по формуле (2.18). Соответственно может измениться и прочность слабейшей преграды, определяющей итоговую прочность защитного контура в целом.

При повышенных требованиях к защите объекта применяется многоуровневая защита, модель которой представлена на рис. 2.15.

При расчете суммарной прочности этой модели в формулу (2.18) вместо Р-, включается /, — прочность каждого контура, значение которой определяется по одной из формул (2.16) и (2.17), т.е. для контролируемых и неконтролируемых преград опять расчеты должны быть раздельными и производиться для разных контуров, образующих каждый отдельную многоуровневую защиту. При Pki = 0 данный контур в расчет не принимается. При Pki = 1 остальные контуры защиты являются избыточными. Подчеркнем также, что данная модель справедлива лишь для контуров защиты, перекрывающих одни и те же каналы несанкционированного доступа к одному и тому же предмету защиты.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >