Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Принципиальные отличия задачи моделирования угроз безопасности

Выше мы рассмотрели общий подход к построению марковских моделей угроз атак, показав, что получаемые модели на первый взгляд во многом схожи, но крайней мере, в постановке задачи моделирования в части определяемых характеристик угроз безопасности, с моделями восстанавливаемых систем, разрабатываемых в рамках теории надежности. Кроме того, такие модели, как покажем далее при решении соответствующих задач моделирования, могут быть отнесены к моделям массового обслуживания, которые разрабатываются в рамках теории массового обслуживания.

Определим, в чем состоят отличия в постановке задачи моделирования угроз безопасности, что необходимо для принятия решения о необходимости анализа и формирования соответствующих требований к построению корректных моделей угроз безопасности.

Сначала рассмотрим использование марковских моделей в теории массового обслуживания, для чего рассмотрим марковскую модель гибели

Марковская модель гибели и размножения

Рис. 4.10. Марковская модель гибели и размножения

и размножения с одним обслуживающим прибором и с бесконечным числом состояний (рис. 4.10) [4].

Замечание. Марковский процесс с дискретными состояниями называется процессом гибели и размножения, если все состояния можно вытянуть в цепочку, в которой каждое из состояний может переходить только в соседние состояния. Название модели связано с представлением, что стрелки вправо означают переход к состояниям, связанным с ростом номера состояния («рождение»), а стрелки влево — с убыванием номера состояний («гибель»).

При интерпретации соответствующим образом состояний системы данная модель представляет собою систему массового обслуживания (СМО) М | М11 (одноканальная система массового обслуживания с бесконечной очередью |4|, т.е. без потерь). Принятое представление такой очереди показано на рис. 4.11.

Одноканальная СМО с бесконечной очередью

Рис. 4.11. Одноканальная СМО с бесконечной очередью:

Н(О) — очередь; П — прибор

Состояния в модели, приведенной на рис. 4.10, определяются следующим образом: состояние S0 заявки на обслуживание в системе отсутствуют; состояние S{ в системе присутствует одна заявка, и она обслуживается (обслуживающий прибор занят), очередь заявок на обслуживание отсутствует; 52 — в системе присутствуют две заявки, одна обслуживается, вторая находится в очереди на обслуживание; состояние Sn в системе присутствует п заявок, одна из которых обслуживается, п - 1 заявок находится в очереди на обслуживание.

Данная модель строится исходя из следующих предположений [4]:

  • • СМО содержит один обслуживающий прибор (в нашем случае группа сотрудников, устраняющих уязвимость), в котором в каждый момент времени может обслуживаться только одна заявка (в нашем случае — устраняться уязвимость);
  • • перед прибором имеется накопитель Н неограниченной емкости, что означает отсутствие отказов поступающим заявкам при их постановке в очередь О, т.е. любая поступающая заявка всегда найдет в накопителе место для ожидания, независимо от того, сколько заявок уже находится в очереди;
  • • заявки поступают в СМО с интенсивностью А,;
  • • средняя длительность обслуживания одной заявки в приборе равна b (интенсивность обслуживания р), причем длительности обслуживания разных заявок не зависят друг от друга;
  • • обслуживающий прибор не простаивает, если в системе (накопителе) имеется хотя бы одна заявка, причем после завершения обслуживания очередной заявки мгновенно из накопителя выбирается следующая заявка;
  • • заявки из накопителя выбираются в соответствии с беенриоритетной дисциплиной обслуживания в порядке поступления по правилу «первым пришел — первым обслужен» (First In First Out, FIFO);
  • • в системе существует стационарный режим, предполагающий отсутствие перегрузок, т.е. нагрузка системы меньше единицы.

Предметом теории массового обслуживания является установление зависимостей между характером потока заявок, числом обслуживающих приборов, производительностью отдельного обслуживающего прибора и эффективным обслуживанием с целью нахождения наилучших путей управления этими процессами.

Перечень основных характеристик СМО можно представить следующим образом:

  • • среднее время обслуживания;
  • • среднее время ожидания в очереди;
  • • среднее время пребывания в СМО;
  • • средняя длина очереди;
  • • среднее число заявок в СМО;
  • • количество обслуживающих приборов;
  • • интенсивность входного потока заявок;
  • • интенсивность обслуживания;
  • • нагрузка;
  • • относительная пропускная способность;
  • • абсолютная пропускная способность;
  • • доля времени простоя СМО;
  • • доля обслуженных заявок;
  • • доля потерянных заявок;
  • • среднее число занятых приборов;
  • • среднее число свободных приборов и т.д.

Таким образом, объектом моделирования в теории массового обслуживания является обслуживающий прибор. Целью моделирования является формирование требований к обслуживающему прибору, к его производительности и к дисциплине обслуживания заявок, к объему накопителя для обеспечения требуемого качества обслуживания поступающих в систему заявок (запросов на обслуживание). Такие модели называются моделями массового обслуживания.

При моделировании угроз безопасности подобная задача также должна решаться при формировании требований к техническому сопровождению эксплуатируемой СЗИ, в части выполнения требований к интенсивности устранения возникающих в ней уязвимостей реализации (этот вопрос будем рассматривать далее).

С учетом сказанного можем заключить, что математические модели, разрабатываемые в рамках теории защиты информации, применительно к решению задачи формирования требований к техническому сопровождению эксплуатируемой СЗИ — это модели массового обслуживания. Под обслуживающими приборами в данном случае понимаются группы сотрудников предприятия, устраняющие возникающие уязвимости. Заявки же на обслуживание — это возникающие уязвимости реализации, обслуживаемые соответствующими приборами, т.е. устраняемые коллективами сотрудников предприятия.

Обслуживающих приборов в системе может быть несколько, т.е. в общем случае математическая модель угрозы уязвимостей P0yr=f(X, ц) имеет вид P{)yr=f(, р, к), где к — число обслуживающих приборов, соответственно — это число одновременно устраняемых возникших в системе уязвимостей реализации (P0v/. — вероятность готовности ИС к безопасной эксплуатации в отношении угрозы уязвимостей реализации). Формирование требований к к при проектировании СЗИ (о чем будет сказано ниже) связано с формированием требований к качеству реализации технической поддержки (технического сопровождения) СЗИ в процессе ее эксплуатации.

В качестве основной задачи моделирования угроз безопасности, что составляет принципиальное отличие моделей, разрабатываемых в рамках теории защиты информации, формулируется и решается совсем иная задача. Объектами моделирования являются переходы между состояниями системы, при этом требуется определение интенсивностей переходов между соответствующими состояниями системы, характеризующими отказы и восстановления безопасности ИС.

Характеристики же обслуживания заявок при решении задачи моделирования угроз безопасности являются задаваемыми параметрами моделей безопасности. Нужно заметить, что на практике при проектировании СЗИ должна решаться и обратная задача моделирования — задача формирования требований к параметрам р и k при исходно заданных значениях параметра X.

Принципиальное же отличие марковских моделей, используемых в теории надежности, определяется не отличительным свойством постановки задачи моделирования, а собственно принципиальным отличием объекта моделирования, обусловливаемым его соответствующим физическим свойством — поток входных случайных событий здесь формируют события отказов элементов, при этом априори не может отказать уже отказавший элемент, находящийся на восстановлении. Таким образом, события возникновения заявок на обслуживание одного типа (в данном случае события отказов одного элемента) здесь зависимы. При моделировании угроз безопасности все совсем не так. Естественно, что подобные отличия объектов моделирования не могут не сказаться на формировании соответствующих требований к разрабатываемым моделям, требований к их корректности, и па их виде.

Замечание. К вопросу, каким образом можно и следует интерпретировать понятие отказа в теории надежности, мы еще вернемся, когда будем моделировать системы с потерями входных случайных событий.

Другим принципиальным отличием постановки задачи моделирования уже реализуемости угрозы атаки является то, что требуется учитывать соответствующие свойства потенциального нарушителя — его заинтересованность и готовность к реализации атаки соответствующей сложности на ту или иную конкретную ИС, в том числе защищенную. Это кардинально отличает и усложняет задачу моделирования, и делает ее принципиально отличной от задачи моделирования, решаемой в рамках теорий надежности.

При этом важным аспектом моделирования в теории защиты информации является то, что отказ безопасности ИС может использоваться потенциальным нарушителем при осуществлении атаки с различными целями — с целью нарушения конфиденциальности, целостности, доступности информации. Это также требуется учитывать в соответствующих моделях.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>