Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Моделирование угроз атак при проектировании системы защиты информации

Поскольку целью решения данной задачи моделирования является в том числе определение регламента устранения возникающих в системе уязвимостей, акцентируем далее внимание на том, как при моделировании учитываются различные дисциплины обслуживания заявок, с учетом сформулированных в предыдущей главе принципов реализации дисциплин обслуживания.

В данном случае уже разрабатываются модели массового обслуживания, так как целью моделирования является формирование требований к обслуживающим приборам, к их распределению между заявками различного типа, включая формирование требований к реализуемой дисциплине обслуживания. Преобразование счетной модели угрозы атаки в конечную в данном случае должно основываться на реализации вероятностного метода, аналитический метод преобразования здесь может использоваться в дополнение к вероятностному.

Прежде всего на примере проиллюстрируем построение модели угрозы атаки, которую далее будем использовать.

Построим корректную конечную модель угрозы атаки, создаваемой двумя типами угроз уязвимостей реализации с п (пусть п = 3) обслуживающими приборами. Пусть два из этих приборов могут обслуживать заявки первого типа, один — заявки второго тина. Предположим, что применительно к первой угрозе уязвимостей (первого типа) необходимо учитывать одновременное возникновение в системе двух уязвимостей (например, пусть для нее р = 0,3, см. табл. 6.1), для второй же угрозы уязвимостей (второго типа) одновременным возникновением в системе нескольких уязвимостей можно пренебречь (пусть для нее р 0,3), т.е. применяем вероятностный метод преобразования исходной счетной модели в корректную конечную модель. Таким образом, в системе одновременно может присутствовать не более трех уязвимостей, причем из них не более двух первого типа и не более одной второго типа.

В результате вводимых допущений получим корректную конечную модель угрозы атаки. Размеченный граф системы состояний случайного процесса для этой системы представлен на рис. 6.3, а, модель вероятностного разрежения входных потоков случайных событий между состояниями системы, используемая для расчета надежностных параметров и временных характеристик угрозы атаки, — на рис. 6.3, б.

В модели, приведенной на рис. 6.3, а, реализована дисциплина обслуживания FIFO, что обусловливается соответствующей постановкой задачи моделирования — в системе может одновременно присутствовать не более трех заявок на обслуживания при трех обслуживающих приборах, каждый из которых может обслуживать заявки соответствующего типа. Использование иной дисциплины обслуживания в данном случае не имеет смысла, поскольку очередь заявок на обслуживание применительно к данной зада-

Размеченные графы системы состояний случайного процесса

Рис. 6.3. Размеченные графы системы состояний случайного процесса

угрозы атаки:

а — корректная конечная модель угрозы атаки; б — модель вероятностного разрежения входных потоков

че моделирования отсутствует (не создается) — все поступившие заявки сразу же начинают обслуживать в одном из приборов.

Рассмотрим, как интерпретируются состояния в данной модели угрозы атаки. 500 — в системе отсутствуют заявки на обслуживание, 510 — присутствует одна уязвимость первого типа, она устраняется, б0| — присутствует одна уязвимость второго типа, она устраняется, 520 — присутствуют две уязвимости первого типа, обе устраняются, 5П — присутствуют по одной уязвимости обоих типов, обе устраняются, 521 — присутствуют две уязвимости первого типа и одна уязвимость второго типа, все три устраняются. Реальная угроза атаки в системе возникает при ее переходе в состояния 5П или 521.

Оценим корректность вероятностного разрежения входных потоков случайных событий между состояниями системы для модели, приведенной на рис. 6.3, а.

Для этого определим, аналогично тому, как это делалось ранее, интенсивность первого потока случайных событий, циркулирующего в системе. Этот поток событий переводит систему из состояния 500, из состояния 510, из состояния 501 и из состояния 5И. Как следствие, интенсивность Л.„, рассматриваемого потока событий, циркулирующего в системе, определяется следующим образом:

В данном случае уже выполняется условие А,п1 ~ X,. В результате сделанных допущений при моделировании (к точности моделирования) за счет исключения событий (состояний из модели), не влияющих на точность моделирования, из модели исключены состояния, переходами в которые можно пренебречь. Это позволяет считать, что оставшиеся состояния образуют полную группу несовместных событий в системе.

Теперь покажем, как учесть в рассматриваемой модели (см. рис. 6.3, а) приоритетную дисциплину обслуживания. Предположим, что в системе имется два обслуживающих прибора. Поскольку по условиям задачи (в рамках введенных допущений) в системе одновременно может присутствовать три заявки на обслуживание — две первого типа и одна второго типа, здесь уже возможно ожидание заявки в очереди. Поэтому актуальной становится задача анализа целесообразности реализации какой-либо дисциплины обслуживания, отличной от FIFO. Преобразование исходной модели (см. рис. 6.4, а) в модель с двумя обслуживающими приборами показано на рис. 6.4.

Построение системы с бесприоритетным выбором заявки на обслуживание из очереди

Рис. 6.4. Построение системы с бесприоритетным выбором заявки на обслуживание из очереди:

а — исходная модель; 6 — преобразованная модель

Необходимость двух состояний 521 в полученной модели обусловливается необходимостью учета порядка поступления в систему заявок на обслуживание. Если третья по порядку заявка поступает в систему при нахождении ее в состоянии 520, обслуживаются две заявки первого типа, третьей поступает заявка второго типа, то система переходит в состояние 521, откуда при завершении обслуживания одной из заявок первого типа (интенсивность обслуживания заявок первого типа при этом составляет 2р,, оба прибора заняты обслуживанием заявок первого типа) система может перейти только в состояние 5И. Переход же системы из состояния 5И (обслуживается по одной заявке каждого типа) в состояние при поступлении второй заявки первого типа предполагает, что при завершении обслуживания одной из двух обслуживаемых заявок различных типов система может перейти как в состояние 520, так и в состояние Sn, в зависимости от того, обслуживание заявки какого типа завершится раньше. Таким образом, для модели, приведенной на рис. 6.4, б, реальная угроза атаки в системе возникает при ее переходе в состояния 5И, S21 или 5|,. К обслуживающим приборам при этом выдвигается следующее требование — оба должны обслуживать заявки первого типа, а один из них — и заявки второго типа.

Дисциплину обслуживания с относительными приоритетами мы на этом примере показать не можем, поскольку при рассматриваемых условиях ее в системе нельзя реализовать. Ответ на вопрос «почему?» достаточно очевиден — в очереди может присутствовать только одна заявка на обслуживание, как следствие, априори отсутствует возможность какого-либо приоритетного выбора заявок из очереди. А вот как учесть в модели дисциплину обслуживания с абсолютными приоритетами, мы на этом примере покажем.

Учет в модели абсолютного приоритета обслуживания заявок первого типа и то, как при этом преобразуется исходная модель с бесприоритетным обслуживанием заявок (см. рис. 6.5, а), показано на рис. 6.5.

Учет абсолютного приоритета обслуживания заявок первого типа

Рис. 6.5. Учет абсолютного приоритета обслуживания заявок первого типа:

а — бесириоритетная дисциплина обслуживания; б — абсолютный приоритет заявки первого типа

В модели, приведенной на рис. 6.5, б, снова используется только одно состояние S2V однако им уже характеризуется событие одновременного обслуживания в системе двух заявок первого типа, что учитывается соответствующей интенсивностью устранения уязвимостей в этом состоянии 2р,, заявка второго типа при этом находится в очереди. Именно реализация в модели соответствующих особенностей переходов из этого состояния позволяет учесть абсолютный приоритет заявок первого типа. Если система находится в состоянии 5,, (приборы заняты обслуживанием заявок различных типов), то при поступления второй заявки первого типа система переходит в состояние S2V В этом случае обслуживание заявки второго типа прерывается, и она возвращается в очередь на обслуживание.

Аналогично можно учесть в рассматриваемой модели и абсолютный приоритет заявок на обслуживание второго типа. Учет в модели абсолютного приоритета обслуживания заявок второго типа и преобразование исходной модели с бесприоритетным обслуживанием заявок (рис. 6.6, а) показаны на рис. 6.6.

В модели, приведенной на рис. 6.6, б, также используется только одно состояние S2V однако им уже характеризуется событие одновременного обслуживания в системе двух заявок различных типов. Заявка первого типа при этом находится в очереди. Опять же реализацией в модели соответствующих особенностей переходов из этого состояния учитывается абсолют-

Учет абсолютного приоритета обслуживания заявок второго типа

Рис. 6.6. Учет абсолютного приоритета обслуживания заявок второго типа:

а — бесприоритетная дисциплина обслуживания; б — абсолютный приоритет заявки второго типа

ный приоритет заявок второго типа. В случае поступления заявки на обслуживание второго типа при состоянии системы 520 (приборы заняты обслуживанием двух заявок первого типа) система переходит в состояние S2V что сопровождается прерыванием обслуживания заявки первого типа и возвращением ее в очередь на обслуживание.

Важным для исследуемой здесь задачи моделирования является то, что обслуживающие приборы, в отличие от абстрактных обслуживающих приборов, используемых при решении альтернативной задачи моделирования, ассоциируются не с типом заявки, а со средством. Например, разработчики какого-либо приложения должны устранять в нем возникающие уязвимости всех различных типов. На практике достаточно распространена ситуация, когда в системе обслуживающих приборов меньше, чем типов угроз уязвимостей. Покажем, как это учитывается при моделировании с учетом реализации в системе различных дисциплин обслуживания заявок.

При тех же условиях моделирования, что и ранее, рассмотрим предельный случай — в системе только один обслуживающий прибор, который может обслуживать заявки обоих возможных типов.

Модель этой системы с бесприоритетной дисциплиной обслуживания заявок приведена на рис. 6.7. Рассмотрим, в чем состоят ее отличия от предыдущих.

В данном случае требуется использовать в модели несколько состояний и S2V что позволяет учесть очередность обслуживания заявок в системе в порядке поступления (дисциплина обслуживания FIFO). Для каждой возможной очередности обслуживания заявок в данном случае вводится свое состояние. Так, в состоянии S{ сначала обслуживается заявка первого типа, затем второго. В состоянии S}2,, наоборот, сначала обслуживается заявка второго типа, затем первого. В состоянии S2i очередность обслуживания заявок (в системе одновременно по условиям задачи моделирования могут присутствовать две заявки первого и одна заявка второго типа) -

Модель угрозы атаки с одним обслуживающим прибором и бесприоритетной дисциплиной обслуживания заявок

Рис. 6.7. Модель угрозы атаки с одним обслуживающим прибором и бесприоритетной дисциплиной обслуживания заявок

первого, второго, первого типа, в состоянии 5|, — первого, первого, второго типа, в состоянии 5|, — второго, первого, первого типа. Естественно, меняется и интерпретация состояний. Состоянием 5J, характеризуется наличие в системе по одной уязвимости каждого типа, устраняется уязвимость первого типа (один прибор). В состоянии 5,2, система также содержит по одной уязвимости разных типов, по устраняется уже уязвимость второго типа. Для состояний 521 и 522 характерно наличие в системе трех уязвимостей, две из которых первого типа, при этом устраняется уязвимость первого типа, а в состоянии устраняется уже уязвимость второго типа.

Теперь при тех же условиях рассмотрим, как учитывается в модели реализуемая дисциплина обслуживания с абсолютными приоритетами заявок. Получим из модели, приведенной па рис. 6.7, модель угрозы атаки с такой дисциплиной обслуживания. Данная модель представлена на рис. 6.8. Рассмотрим ее отличия от предыдущих.

Модель угрозы атаки с одним обслуживающим прибором и дисциплиной обслуживания заявок с абсолютным приоритетом

Рис. 6.8. Модель угрозы атаки с одним обслуживающим прибором и дисциплиной обслуживания заявок с абсолютным приоритетом

Данная модель предполагает, что абсолютный приоритет обслуживания имеют заявки второго типа. Отличается она тем, что при появлении в системе одновременно грех заявок на обслуживание (по условиям задачи двух заявок первого типа и одной — второго), при условии обслуживания заявки первого типа, это обслуживание прерывается, обслуживающий прибор переходит на обслуживание заявки второго тина. Реализация данной дисциплины в модели, приведенной на рис. 6.8, учитывается переходом из состояния S21 в состояние 520.

Теперь покажем, как в модели учесть относительный приоритет заявок на обслуживание. С это целью опять же рассмотрим модель с двумя типами угроз уязвимостей и одним обслуживающим прибором. Но на этот раз возьмем счетную модель, дающую возможность выбора заявок на обслуживание из очереди.

Пример такой счетной модели для случая приоритетного обслуживания поступающих заявок первого тина приведен на рис. 6.9.

Счетная модель угрозы атаки с одним обслуживающим прибором и дисциплиной обслуживания заявок с относительным приоритетом

Рис. 6.9. Счетная модель угрозы атаки с одним обслуживающим прибором и дисциплиной обслуживания заявок с относительным приоритетом

В данной модели состояния системы обозначены как Sfjt где i — количество в системе заявок первого типа, у — то же второго типа, d — тип обслуживаемой заявки. Поскольку в системе один прибор, обслуживается только одна из поступивших заявок, остальные находятся в очереди. Таким образом, обслуживающий прибор при отсутствии заявок на обслуживание в очереди характеризуется двумя состояниями, S0 и 5^.

Приоритет обслуживания поступающих заявок в данной модели учтен следующим образом — в каком бы порядке ни поступали заявки на обслуживание, всегда в первую очередь на обслуживание будет выбираться заявка первого типа, что показано переходами из состояний системы 521 и S2.

Как видим, модели с различными дисциплинами обслуживания достаточно сильно различаются. Сильно при определенных условиях для них будут различаться и надежностные параметры и характеристики угроз атак, что обусловливает актуальность решения рассматриваемой задачи моделирования угроз безопасности. Применительно к вопросам реализации ЗИ, это касается выбора оптимального регламента устранения возникающих в системе уязвимостей.

Теперь вновь вернемся к моделям, приведенным на рис. 6.3, и рассмотрим на них, как рассчитываются надежностные параметры угрозы атаки.

Поскольку в системе присутствие реальной угрозы атаки характеризуется двумя состояниями, Sn и S2{ (объединенное состояние отсутствует). Интенсивность возникновения в системе реальной угрозы атаки для состояния 5И обозначим как Аа1, для состояния S2{ как А,а2:

Соответственно определим интенсивности устранения присутствующей в системе реальной угрозы атаки для обоих этих состояний ра1 и ра2:

Соответствующим образом может быть определена интенсивность возникновения в системе реальной угрозы атаки в одном из двух соответствующих состояний А, *

и

Интенсивность же устранения реальных угроз атак рц следует определять, как математическое ожидание интенсивностей восстановлений — устранения реальных угроз уязвимостей, для состояний 5П и S2l следующим образом:

Замечание. Данный подход к моделированию — определение интенсивности устранения реальных угроз атак, ра, как математического ожидания интенсивностей восстановлений для возможных состояний присутствия в системе реальной угрозы атаки (в том числе и нескольких) может использоваться на практике в том случае, когда невозможно корректно (с учетом сформулированного ранее требования) объединить соответствующие состояния системы в модели в одно — в состояние отказа безопасности в отношении угрозы атаки. К этому вопросу мы в этой главе еще вернемся.

Теперь определим эти же параметры угрозы атаки, но уже реализуя объединение состояний в соответствующей конечной модели угрозы атаки, полученной из счетной модели вероятностным методом преобразования моделей.

Для расчета параметров отказов и восстановлений безопасности в отношении угрозы атаки Х0 и цв в модели вероятностного разрежения входных потоков случайных событий между состояниями системы для рассматриваемого примера (см. рис. 6.3, б) требуется объединить в одно все состояния системы, характеризующие наличие хотя бы одной реальной угрозы атаки с сохранением всех исходных переходов в полученное подобным образом состояние или из него, получив тем самым состояние отказа безопасности в отношении угрозы атаки. В частности, в модели, представленной на рис. 6.3, б, в одно требуется объединить состояния Sn и 521, так как именно они означают отказ безопасности в отношении угрозы атаки — наличие реальной угрозы атаки в ИС. Обозначим объединенное состояние через S2 (при этом Р2 = Рп + Р21).

Построенная подобным образом модель вероятностного разрежения входных потоков случайных событий представлена на рис. 6.10.

Модель вероятностного разрежения входных потоков случайных событий для расчета параметров отказа безопасности

Рис. 6.10. Модель вероятностного разрежения входных потоков случайных событий для расчета параметров отказа безопасности

Для модели, приведенной на рис. 6.10, параметр XQ рассчитывается следующим образом:

Замечание. С учетом сказанного выше (см. рис. 6.3,6) несложно показать, что для Х0 справедливо

где XaV Xa2 соответственно интенсивности возникновения в системе одной и двух реальных угроз атак.

Параметр же рв, с учетом того, что безопасность системы, нарушаемая с интенсивностью ХоУ восстанавливается за долю времени Р2 = Рп + Р21, рассчитывается по формуле

Здесь опять же несложно показать, что для рв справедливо

Замечание. Поток событий с интенсивностью Р2,2(1,, переводящий систему из состояния S2] в состояние Sn (см. рис. 6.3, б), не приводит к устранению реальной угрозы безопасности ИС, поскольку устраняется только одна из двух возникших в системе реальных угроз атак.

Как видим, получили тот же результат.

Соответствующим образом рассчитываются надежностные временные характеристики безопасности в отношении угрозы атаки: среднее время наработки на отказ безопасности ИС (восстанавливаемая система) в отношении угрозы атаки Г и среднее время восстановления безопасности И С Гв отношении угрозы атаки:

Среднее время между отказами безопасности ^ОоОуа + ^Ов-

Вероятность готовности ИС к безопасной эксплуатации в отношении угрозы атаки Р определяется (надежностная вероятностная характеристика безопасности) на модели, приведенной на рис. 6.3, а, следующим образом:

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>