Учебное пособие 800529
.pdf
управления)
31
1.6.Оценивание эффективности и оптимизация защиты информации
Для измерения качества (результативности) проведенных мероприятий защиты проводят оценивание эффективности защиты. Для этого используют математическое моделирование, так как прямых методов измерения эффективности сложных мероприятий не существует. Под математической моделью понимается совокупность математических зависимостей результата выполнения интересующих нас действий от тех переменных (факторов), которые влияют на наш результат. Под переменными (факторами) будем использовать такие, которые обеспечиваются применением средств защиты. Та характеристика, по величине которой судят о значении эффективности, называется показателем эффективности. Для построения математической модели вычисления показателя оценивания эффективности защиты информации в тракте утечки нам нужно смоделировать зависимость величин, характеризующих работоспособность тракта от влияющих на них уязвимых характеристик. В качестве показателя работоспособности тракта принимается вероятность вскрытия объекта, свойства которого определяют содержание защищаемой информации, которая формально определяется (по сравнению с п.1.3) чуть подробнее:
Эф = Pвскр(t) = Рэн.обн.(с/ш) Рурк(t) Ррасп.,
где Рэн.обн.(с/ш) – вероятность энергетического обнаружения, выведенная (для удобства!) из зависимости от времени (имеется зависимость только от энергетики (с/ш);
Рурк(t) – вероятность установления разведконтактов в тракте утечки;
Ррасп – вероятность распознавания источника информации. Из приведенной зависимости видно, что для составления ма-
тематической модели оценивания эффективности по показателю вероятность вскрытия мы берем композицию ( ) частных математических моделей, обобщенно характеризующих каждое уязвимое
32
звено тракта утечки. Отношение уязвимых звеньев тракта показано на рис. 1.4.
Частные модели, отображающие уязвимость тракта, следую-
щие:
-вероятность энергетического обнаружения объекта в зависимости от соотношения «сигнал/шум» - математическое выражение уязвимости первого звена, в котором средства ЗИ влияют на изменение соотношения «сигнал/шум».
-вероятность установления разведконтакта средства разведки
систочником излучения в зависимости от t – математическое выражение динамической сущности ведения разведки, воспроизводящее условия совпадения проявлений свойств источника информации и их перехвата средствами добывания данных;
-вероятность распознавания полученного объекта в зависимости от алфавита объекта – математическое выражение основы принятия решения о выборе нужного источника информации из группы сходных.
Все эти частные вероятности должны быть таковы, чтобы позволяли совместно учесть эффективность всех имеющихся средств защиты.
Приведенная выше формальная запись модели оценивания эффективности взята как бы «с потолка», без обоснования и доказательства. Для обучения необходимо привести всю цепь рассуждений, которыми руководствуется исследователь при составлении модели. Такое рассуждение является трехэтапным: формулирование словесного представления (постановки) задачи; преобразование словесного описания в формализованную схему; создание математической (формальной) модели.
Словесное описание констатирует нужное, в нашем случае – «эффективность применения средств защиты информации по тракту утечки, которую можно оценить путем выявления воздействия этих средств на уязвимые звенья тракта». Тем самым определяется предметная граница исследуемого явления, подлежащего формализации.
33
ЗлУм
Тракт утечки информации
Источник |
|
|
|
R(Уп) |
|
|
|
|
|
||
информации |
УЗ |
УЗ |
УЗ |
||
|
|
||||
|
|
1 |
2 |
3 |
|
|
|
Р (СЗИ ) |
|
|
|
|
|
обн |
1 |
|
|
34
|
|
|
|
|
|
|
|
|
|
|
|
(0,2) |
|
Рурк |
( |
СЗИ ) |
|
|
|
|
|
|
|
|
|
i R(- Уп |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
|
|
|
|
|
||||
ВлИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(0,5) |
|
|
|
|
Ррасп (СЗИ3 ) |
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ВлИ |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(0,3) |
|
|
ЛПР |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
{СЗИ} |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
{СЗИ}=U{ЗИi |
|
i=1,3} |
|
|
|
|
|
|
Варианты средств защиты |
|
|
|
|
|
|
Упорядоченное множество {СЗИ Уп} |
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||
I. Математическая модель |
|
|
|
|
|
|
|
|
|
|
|
Шкала эффективности |
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
II. Модель |
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||
оценивания эффективности |
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
{СЗИ}: Эф(ЗИ)= |
Ф [P |
( ) |
|
|
|
|
Эф(СЗИi |
)= i R(- Уп |
|
|
|
|
|
|
|
|
|
|
|
|
|
оптимизации |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
2 |
обн |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
Р |
|
( ) |
Р |
|
( ) |
|
|
|
|
|
|
0 |
СЗИ 0,2 |
СЗИ |
0,4 |
0,8 |
СЗИ 1 |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
2 |
|
|
i |
|
|
|
|
||||||||
|
|
|
|
урк |
|
расп |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.1.4. Концептуальная схема процедур оценивания эффективности средств защиты информации
Содержание этой границы следующее. Материальный объект, как источник информации о его свойствах, проявляет эти свойства в виде электромагнитных излучений в видимом и невидимом диапазоне волн. То есть закономерности излучений и их распространения в среде – это первая составляющая предметной области интересующего нас явления.
Вторая составляющая определяется закономерностями приѐма этих излучений злоумышленником (ЗлУм). Третья составляющая определяется механизмом воздействия средств защиты, влияющих на интенсивность приѐма этих излучений.
Вот эти составляющие (излучения, приѐм излучений, воздействия на этот приѐм) и определяют содержание нашей предметной области, формирующей механизм защиты информации от утечки по техническим каналам.
Однако словесная процедура обоснования мероприятий защиты является многоходовой и сложной, и самое главное – нечетко выраженной. Чтобы быть адекватной поставленной цели и ситуации разработки конкретной математической модели, она должна далее развертываться на количественной основе. Для этого необходимо иметь соответствующий методический инструмент. Его содержание хорошо раскрывает формализованная схема процедуры обоснования. Рассмотрим ее.
Формализации любого реального процесса предшествует изучение структуры составляющих его явлений. В результате этого появляется так называемое содержательное описание процесса, изложенное в ходе предыдущих занятий.
Содержательное описание является исходным материалом для последующих этапов формализации: построения формализованной схемы процесса и математической модели для него.
Формализованная схема процесса является промежуточным звеном между содержательным описанием и математической моделью. Она разрабатывается не во всех случаях, но в сложных случаях – всегда. Хотя форма представления материала в ней, как и в содержательном описании, словесная, однако она должна быть уже строго формальным описанием процесса, то есть воспроизводя-
35
щим все необходимые связи между формализуемыми (моделируемыми) сущностями, определяющимися содержанием показателей эффективности.
Для построения формализованной схемы необходимо: вычленить исследуемый (формализуемый) процесс из реальности (сформулировав предметную область) и выбрать его характеристики; установить систему параметров, определяющих ход процесса; формализовано обозначить все зависимости между характеристиками и параметрами процесса. Так и будем действовать.
I. Вычленение процесса. Нас интересует процесс утечки информации о свойствах какого-либо изделия, детализированный до возможности учета (оценивания) степени воздействия на результат (процесса утечки) средств защиты, имеющихся в нашем распоряжении. Основными характеристиками, определяющими результат процесса, являются:
содержание тракта утечки, состав его элементов и их уязвимых звеньев;
содержание результата процесса – конечного продукта на выходе тракта и физических закономерностей, определяющих этот результат;
состав средств защиты, воздействующих на уязвимые звенья тракта и наличие ограничений на их применение (например, нельзя создавать помехи работе средств национального контроля соперника).
II. Система параметров, определяющих ход процесса. Под ними понимается взаимоувязанная совокупность характеристик, существенно влияющая на результат – конечный продукт тракта утечки. Формализованно еѐ можно представить так:
36
|
|
функционал |
|
|
|
|
|
|
|
|
|
|||
Результат |
R(Уи) = Ф1[Инт(Уи) Инт(ВУЗ1) Инт(ВУЗ2) Инт(ВУЗ3)] |
|||
|
|
|
||
утечка |
интенсивность утечки |
интенсивность воздействия средствами |
||
информации |
информации от источ- |
защиты на уязвимые звенья 1, 2, 3 соот- |
||
|
ника (задаѐтся симво- |
ветственно (то есть по энергетическому |
||
|
лом в предыдущей |
обнаружению, по установлению развед- |
||
|
формуле) |
контакта, по распознаванию) |
||
При этом совокупное качество воздействия на уязвимые звенья – эффективность применяемых средств ЗИ – определяется количественной мерой уменьшения результата утечки информации, ибо утечка является для нас отрицательным (нежелательным) свойством, которое мы хотим уменьшить. Формализованно это записывается так:
Эф(ЗИ) = ¯R(Уи),
где ¯ - величина изменения результата в сторону его уменьшения. Функционал Ф1 сигнализирует о том, что все стоящие справа от него функции мы связываем в единую закономерность, совместно учитывающую их влияние на величину R(Уи).
III. Формальные зависимости процесса.
Во втором пункте необходимые нам закономерности процесса формально обозначены, но в них отсутствует физическое содержание. Введем его.
1. Интерпретируем результат процесса физически содержательным показателем, принимая
R(Уи) Рвскр(Об.ист, t),
где Рвскр(Об.ист, t) – вероятность вскрытия объекта - источника информации в зависимости от времени, сигнализирующая о том, что данные о всех свойствах источника информации, интересующие ЗлУм, получены.
2. Раскроем физическую сущность Рвскр( ):
Рвскр(Об.ист, t) = Ф2[Робн.(ЗИ1) Рурк(ЗИ2, t) Pрасп(ЗИ3)],
где Робн(ЗИ1) – вероятность энергетического обнаружения объекта (т.е. превышения порогового значения отношения «сиг-
37
нал/шум») в зависимости от перечня возможных мер защиты ЗИ1, воздействующих на энергетическую уязвимость;
Рурк(ЗИ2, t) – вероятность установления разведконтактов средств добывания информации с вскрываемым объектом (т.е. вероятность совпадения времени проявления свойств объекта с временем нацеленности средств добывания на этот объект) в зависимости от соответствующих мер защиты информации ЗИ2;
Pрасп(ЗИ3) – вероятность распознавания (идентификации) объекта среди сходных в зависимости от соответствующих мер защи-
ты ЗИ3.
Таким образом, эффективность всех мер и средств защиты {(ЗИ1),(ЗИ2),(ЗИ3)} можно оценивать по совокупному (полному, комплексному) показателю Рвскр(Об.ист, t), который имеет достаточную сложность. В более простых случаях можно оценить эффективность по одному или двум частным показателям Робн( ),
Рурк( ), Ррасп( ). Но при этом будут оценены по эффективности не все средства, а только избранные, свойственные тому или другому
частному показателю.
3. В результате оценивания эффективности все средства защиты {(ЗИ1),(ЗИ2),(ЗИ3)} получают дополнительную характеристику – значение эффективности, которая «выстраивает» их в упорядоченный ряд «средство защиты – эффективность», что является количественной основой их выбора для использования при защите.
Однако при их выборе люди учитывают и другие предпочтения: стоимость средств, сложность применения, запас имеющихся средств. Для совместного учета всех этих предпочтений решается оптимизационная задача определения оптимального комплекта средств по критерию max Эф(ЗИ) или min Рвскр(·)
ЗИопт |
arg min |
Рвскр |
Об.ист., ЗИ ,t |
|
ЗИ |
ЗИ |
|||
при ограничении: затраты на защиту |
требуемым. |
|||
4. Оптимальный комплект средств {ЗИопт} обеспечивает защиту информации на одном объекте. Однако объектов защиты, как правило, очень много. Для защиты всей совокупности объектов
38
|
|
|
|
|
|
|
|
создается |
система |
защиты |
||
|
Об ии |
|
|
|
||||||||
|
|
|
|
|
|
|
|
S упр , |
как |
организационно- |
||
S ЗИ Об ии |
ЗИ opt j |
|||||||||||
|
|
|
|
|
|
|
j |
|
|
|
||
техническое объединение |
оптимальных комплектов защиты |
|||||||||||
|
|
|
|
|
с подсистемой управления процедурой их применения |
|||||||
|
ЗИ opt |
j |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
||
Sупр. Тем самым комплексная защита информации оформляется путем проектирования (синтеза) системы защиты информации.
При проектировании СЗИ необходимо ответить на пять вопросов:
1)Какую информацию защищать?
2)Какой ее источник и его информативность?
3)Кто перехватчик и каковы звенья его трактов?
4)Каковы средства воздействия на уязвимые звенья?
5)Как их лучше использовать?
Ответ на первый вопрос определяет цель ЗИ, на второйтретий – задачи ЗИ, четвертый – способы ЗИ, пятый формирует облик системы ЗИ.
Процесс проектирования системы очень сложен. Его разбивают на более мелкие фрагменты. Они следующие:
Стадии проектирования:
6)концептуальное проектирование;
7)внешнее проектирование;
8)формирование облика;
9)внутреннее проектирование.
Концептуальное проектирование проводится в случае проектирования сверхсложных систем, когда цель их функционирования недостаточно ясна.
Внешнее проектирование проводится для формулирования задач системы, исходя из принятой цели.
В ходе формирования облика системы осуществляется определение оптимальных способов решения задач сначала по отдельности, а затем – совместно.
Внутреннее проектирование осуществляется для создания недостающих элементов системы.
39
С точки зрения разработки и оформления проектной документации процесс проектирования делится на этапы:
-обоснование программы создания системы;
-выработка требований к системе;
-предварительное проектирование;
-эскизное проектирование;
-рабочее проектирование.
Выработку требований осуществляет заказчик системы. Предварительное проектирование проводится тогда, когда путь создания системы не ясен. В ходе эскизного проектирования отрабатывается основная идея (концепция) построения системы. В ходе рабочего проектирования отрабатывается вся конструкторская, технологическая документация и чертежи изготовления.
Все изложенное относилось к созданию систем защиты I, то есть к защите информации от источника. Но есть же информация и на носителях, уносимая по трактам доступа. Необходимо рассмотреть и путь построения системы защиты информации II.
Применительно к защите информации на носителях (бумажных электронных), далее коротко «информации в записях», составить общую классификацию способов защиты пока нельзя. Очень многообразны формы хранения (существования) записей. Для того, чтобы вывести какую-то общность, мы поступим наоборот – составим облик математической модели процедуры доступа к записям информации и по содержанию ее переменных определим способы воздействия на них для реализации целей защиты. Все это сделаем для случая электронных записей, то есть для случая доступа к информации, хранящейся в компьютере.
IV. Подход к исследованию тракта доступа к электронным записям.
Возможны три категории "взломщика": штатный работник; коллега из другого подразделения; посторонний человек; коротко
– штатник, коллега, посторонний. Все они выполняют поиск различной глубины, но одного содержания.
Наблюдатель типа:
40