Оценка эффективности мер безопасности, закладываемых при проектировании электронно- информационных систем

Оценка эффективности мер безопасности, закладываемых при проектировании электронноинформационных систем
В настоящее время понятия электронная технология и информационная система практически
неотделимы. На базе электронных технологий построены многие информационные системы:
электронная почта, системы электронных платежей, интегрированные комплексные системы
безопасности и пр. Придание электронным технологиям глобального характера в части обработки
информации повышает требования по устойчивости информационных систем, реализованных на
этих технологиях, к случайным и преднамеренным внешним и внутренним воздействиям.
В большинстве случаев проектирование систем имеет эмпирически-интуитивный, а не
технический аспект в части информационной безопасности, что особенно наглядно проявляется в
оценке уровня безопасности информационных систем, когда оперируют такими понятиями, как
“защищенная электронная технология”, “защищенный компьютер”. Нечеткое определение в
отношении информационной безопасности связана с нечеткой формулировкой требований к
защите электронной информационной системы при возможных случайных или преднамеренных
воздействиях на элементы этой системы. Объясняется это тем, что сначала проектируется сама
электронная система, а затем тем или иным способом пытаются обеспечить ее информационную
безопасность. В результате достаточно сложно оценить качество функционирования
информационной системы при наличии воздействий на ее элементы, а, соответственно, и
определить, чем одна структурная схема проектируемой системы лучше другой.
Одним из возможных подходов к оценке технической эффективности проектируемой
информационной системы (с точки зрения ее уязвимости к преднамеренным внутренним и
внешним воздействиям) является использование вероятностного подхода, что позволит еще на
стадии проектирования качественно оценить средний риск принимаемого системой или ее
отдельным элементом решения. При этом задача синтеза структурной схемы системы сводится к
анализу потоков обрабатываемой информации и поиску оптимального варианта построения
структурной схемы. Оптимальным будет считаться такой вариант, который удовлетворяет
технологическим, системным и экономическим требованиям в рамках выбранного принципа
действия системы при наименьшем значении среднего риска вырабатываемого решения. Это в
последствии значительно упрощает процесс формулирования требований к проектируемой
подсистеме защиты информации этой системы, поскольку максимальная вероятность реализации
негативного воздействия возможна на наиболее уязвимый элемент, который достаточно легко
определить, используя вероятностный подход. Покажем это.
В общем случае работу информационной системы можно представить следующим
операторным уравнением 1:
Y=F(U,X,t),
(1)
где F – оператор преобразования переменных; фигурирующих в системе;
U=(u1,u1,…um)– вектор входной информации; X=(x1,x2,…xL) – вектор, определяющий
внутреннее состояние системы; L- число элементов сисатемы;
Y=(y1,y2,…yn)– вектор реакции системы на потоки входной информации.
При наличии внешних и внутренних воздействий на отдельные элементы системы можно
следующим образом оценить техническую эффективность проектируемой системы в целом 2:
~
C  Y Y ,
(2)
~
где Y – вектор фактической реакции системы, определяемый операторным уравнением (1);
Y - вектор требуемой реакции системы;
C – вектор ошибки работы системы, количественной мерой которой является функция
~
~
потерь I ( yi , yi ) | yi  yi | .
~
Причем, чем значительнее различия между yi и yi при тех или иных возмущениях, тем
выше величина потерь и ниже техническая эффективность системы.
Для уменьшения вероятности принятия системой неправильного решения функция потерь
должна стремиться к нулю . Поэтому по величине функции потерь можно судить об
эффективности работы системы в условиях случайных воздействий на ее элементы .
~
Однако в стохастических системах векторы Y и Y являются случайными функциями
времени , поэтому и оценка технической эффективности системы, определяемая через функцию
потерь, приобретает случайный характер. Практическую же ценность представляет более общий
показатель качества – средний риск R вырабатываемого системой решения:
R  P( A10 )  r10  P( A01 )  r01  P(1  Pd )  r10  (1  P) Pf  r01
(3)
где P(A10) – вероятность события, когда система выдает решение “информации нет” при
наличии на ее входе достоверной информации;
P(A01)- вероятность события, когда система выдает решение “информация есть” при
отсутствии на ее входе достоверной информации;
Р – вероятность наличия достоверной информации на входе системы;
Рd – вероятность принятия системой правильного решения;
Рf – вероятность принятия системой неправильного решения , соответствующая
событиям A10 и A01;
r10, r01 – стоимость принятия системой решений ,соответствующих событиям A10 и A01.
В реальных условиях выбор величин r10 и r01 проводится с помощью метода экспертных
оценок [3], что создает на практике определенные трудности: требуется значительное число
экспертов с высоким уровнем знаний. Поэтому для качественной оценки величины R, проводимой
еще на этапе проектирования информационной системы, заранее задают значения вероятности
Pd= max Pd принятием системой правильного решения (как правило Pd>0.9) при условии
минимизации значений вероятности Pf=min Pf (Pf 0.1). Так как условие R=minR эквивалентно
условию Рf = min Pf , то в ходе проектирования информационной системы оценку величины
среднего риска для различных технических решений структурной схемы системы можно
производить путем оценки величины Pf, связанной с событиями, при которых системой могут
приниматься неправильные решения. Затем, выбрав из рассмотренных вариантов техническое
решение с Рf =min Pf, формулируются требования к проектируемой подсистеме безопасности,
позволяющей дополнительно снизить значение величины R этой системы при наименьших
финансовых затратах .
Для подтверждения вышесказанного рассмотрим несколько технических решений
выполнения структурных схем электронной информационной системы и проведем качественную
оценку среднего риска принимаемого этой системой решения. При этом предположим, что
дестабилизирующие факторы воздействуют на отдельные элементы системы независимо один от
другого, и процесс нарушения целостности информации в отдельном элементе системы не зависит
от того, нарушена ли целостность информации, поступающей на вход этого элемента, путем
воздействия дестабилизирующих факторов на предыдущий элемент. Допустим, что выбранное
решение представляет собой структурную схему с линейным расположением элементов, т.е.
операции преобразования переменных отдельными элементами системы проводятся
последовательно во времени. Работу системы
можно описать следующим операторным
уравнением:
Y=F(U,  ,X, t),
(4)
 , ,...,  L
где  =( 1 2
) – вектор возмущений (воздействий) на внутренние элементы
системы.
Надежность работы всей системы определяется работой каждого отдельного элемента: сбой
в работе хотя бы одного из элементов приводит к нарушению работы всей системы в целом.
Поэтому величина Рf для структурной схемы с линейным расположением элементов определяется
следующим образом:
L
Pf  (1   (1  Pf i ) Pi )
i 1
,
(5)
где Pi – вероятность наличия достоверной информации на входе элемента i системы;
Pf,i – вероятность неправильного решения этим элементом.
Проектируемая подсистема безопасности для такой структуры информационной системы
должна контролировать состояние каждого элемента системы в отдельности. А поскольку доверие
к информационной системе связано с принимаемыми мерами безопасности, то и перечень
контролируемых параметров отдельных элементов системы должен быть максимально полный.
Без этого невозможно обеспечить доказательность результатов и выводов, сформированных
подсистемой защиты. Поэтому для информационных систем, имеющих линейную структуру, как
правило, подсистемы защиты информации получаются достаточно громоздкими и дорогими.
Уменьшить значение величины Рf и повысить надежность системы в целом можно, если
информационная система проектируется не одноканальной, а с независимым дублированием
каналов. В этом случае достоверность результатов решения, принимаемого системой, будет
гарантироваться идентификацией или сравнением данных, полученных по двум или более
независимым каналам. Тогда величину Рf можно записать следующим образом:
N
Pf   (1 
j 1
L
 (1  P
fi , j
) Pi , j )
i 1
,
(6)
где Pi,j – вероятность наличия достоверной информации на входе i-го элемента j-го
дублирующего канала системы
Pf
1
3
2
1
1- одноканальная схема
2- двухканальная схема
3- трехканальная схема
0
L
1
N-количество дублирующих каналов.
Рис.1. Графики зависимости величины Pf от числа элементов L и числа дублирующих
каналов N
Из графиков зависимости величины Pf от числа элементов L и числа дублирующих каналов
N, представленных на рис.1, видно, что с ростом числа элементов в канале для уменьшения
вероятности принятия системой неправильного решения приходиться увеличивать число
дублирующих каналов. Тем не менее, подсистема безопасности значительно проще для данной
структурной схемы, поскольку основной контроль необходимо уделять только элементу,
отвечающему за
сравнение данных, поступающих от независимых каналов.
Другим техническим решением построения структурной схемы, обеспечивающим
соотношение Рf =min Pf без проектирования дорогостоящих подсистем безопасности, может быть
решение создания обратных связей между отдельными элементами. При этом на вход элемента с
номером i будет поступать сообщение с выхода элемента с номером (i+1) , содержащее результаты
обработки информации элементом (i+1) плюс детерминированные параметры, отражающие
признаки состояния (i+1) элемента.
В зависимости от технических решений информация может передаваться по одним и тем же
каналам связи. Тогда величина Рf определяется следующим образом:
L
Pf  1    Pi
i 1

,
(7)
В случае, когда с помощью обратной связи передается за малый интервал времени 100%
информации о состоянии элемента объекта, величина Pf, равна нулю. Малым интервалом времени
определим такой временной интервал, на котором воздействие дестабилизирующих факторов на
элемент можно считать однородным. Однако, в реальных сложных системах передача 100%
информации за малый промежуток времени с помощью обратных связей является достаточно
сложной задачей. Поэтому поступают следующим образом: понижают порядок вектора
оцениваемых параметров и передают за малый отрезок времени только часть параметров,
определяющих состояние элемента. А за счет пошаговой передачи различных параметров
добиваются снижения среднего риска принятия решения этим элементом. При этом, естественно,
увеличивается временной интервал, в течение которого системой принимается решение. В
течение этого периода времени могут изменяться условия функционирования отдельных
элементов системы. Поэтому, для сохранения условий функционирования этих элементов
необходимо:

либо активное действие подсистемы безопасности, обеспечивающей
неизменность условий функционирования;

либо добиваться того, чтобы в каждой посылке содержались параметры
элемента, изменяющиеся при любых нарушениях условий функционирования этого элемента.
Для многих электронных технологий временные потери оправдываются снижением
вероятности принятия неправильного решения. Если же временной интервал играет важную роль
в технологическом процессе обработки информации (например, в интегрированных системах
безопасности), необходимо производить оптимизацию вектора параметров элемента за счет
понижения его порядка. Это возможно путем решения двухточечной граничной задачи
оптимизации параметров на заданном интервале времени 4 или способом, приведенным в [5].
Таким образом, еще на стадии проектирования можно выбрать вариант построения
структурной схемы информационной системы с наименьшим средним риском принимаемого этой
системой решения. При этом защита каналов связи, используемых в качестве среды
информационного обмена между отдельными элементами системы, для исключения искажения
информации при ее приеме-передаче, может осуществляться (в зависимости от назначения и
технической реализации системы) различными способами: физическая защита каналов связи,
фильтрация пакетов, шифрование протоколов, защита передаваемой информации электоронноцифровой подписью и пр.
В этом случае задача формулирования требований к подсистеме безопасности значительно
упрощается, поскольку необходимо лишь определить наиболее уязвимые к случайным
воздействиям элементы системы путем оценки их информационной энтропии 4.
Однако, в случаях, когда проектируется сложная система, не всегда просто удается получить
оптимальное техническое решение в построении структурной схемы, обеспечивающей
соотношение Pf=min Pf. В таких случаях целесообразно использовать блочно-иерархический
подход, при котором процесс проектирования структурной схемы разбивается на взаимосвязанные
блочно-иерархические уровни. При этом синтезируется не вся сложная система целиком, а на
каждом уровне синтезируются определенные функциональные блоки. Поиск оптимального
решения производится для отдельных блоков с учетом информационной топологии и
управляющих взаимосвязей между блоками.
Литература
1. Альянах И.Н. Моделирование вычислительных систем. М.: Машиностроение, 1988.
2. Коршунов Ю.М. Математические основы кибернетики. М.:Энергоатомиздат, 1987.
3. Бондарев Н.Д., Пинчук Г.Н. Определение приоритетов работ по совершенствованию
систем охраны. Системы безопасности. 2000, №32, с. 48-51.
4. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: ООО «Инкомбук»,1997.
5. Вергун В.В. Оценка качества функционирования систем. Системы безопасности. 1999,
№30, с. 96-98.
Поступила 20.05.2001.