4.2. Мультипликативная парадигма защиты электронного обмена информацией

В ряде случаев в информационной безопасности смешиваются детерминированные и вероятностные контексты того или иного события, в частности понятия угрозы и атаки. В хорошей монографии [70, с. 13], в частности, обосновано говорится:

Угроза безопасности вычислительной системе (ВС) — возможное воздействие, которое прямо или косвенно может нарушить состояние защищенности информации, содержащейся и обрабатывающейся в ВС.

Атака — реализация угрозы безопасности ВС.

Тем не менее вывод, который делается в цитированных источниках, сомнителен: — «Цель защиты систем обработки информации — противодействие угрозам безопасности».

В идеале это, быть может, правильно. Но в реальности главная цель — отражение атак. Борьба с угрозами вторична, хотя и не исключается. Угроза — потенциальная, и потому постоянно существующая опасность, угрозы известны, детерминированы. Но далеко не всегда угроза реализуется в виде атаки — атака есть событие случайное. Всегда существует угроза падения на компьютер тяжелого предмета, но редко осуществляется атака — собственно падение предмета. Из наличия постоянной угрозы не следует, что корпус компьютера надо делать бронированным. Вероятностный подход к информационной безопасности выглядит достаточно перспективным.

Введем следующие определения и обозначения.

·        [tt+T) = {tk} — конечный полуинтервал дискретных моментов tk реализации заданной технологии электронного обмена информацией.

·        = {on} — конечное дискретное множество отдельных технологических операций (процессов) on информационного взаимодействия, где n номер процесса.

Определение 1. Текущая технология O(tk) в момент tk задана, если известна двоичная последовательность нулей и единиц длины N, такая, что на n-м месте стоит 1, если в этот момент операция (процесс) on активизирована (выполняется), стоит 0 — если нет.

Технология O(t,T) задана, если для всякого момента tkO(tk).

В общем случае технологию O(t,T) можно представить в виде матрицы O из нулей и единиц размером K´N, элемент okn которой: равен 1, если в момент tkon, .

·        M = {m: m = } — конечное множество возможных угроз технологии O(T), где m номер угрозы.

Каждой угрозе m ставится в соответствие неотрицательное число, не превосходящее единицы — вероятность реализации угрозы в виде атаки.

Допущение 1. Атаки am попарно независимы: реализация любой угрозы не влияет на реализацию остальных.

Строго говоря, допущение не совсем корректно. Во-первых, из попарной независимости событий иногда не вытекает их взаимная независимость. Во-вторых, если повреждающее воздействие намеренно, то обычно применяется пакет атак на ВС. Но это не столь существенно: на практике пространство попарно независимых, но взаимно зависимых в совокупности событий практически не встречается [71]; как правило, можно «укрупнить» пространство атак, рассматривая пакет атак как единую атаку.

Допущение 2. Длительность атаки существенно превосходит (машинное) время реализации технологии электронного обмена информацией.

Допущение не столь критично, как кажется на первый взгляд. Если атака злонамеренная, то допущение выполняется почти всегда: атака реализуется в «человеческом» масштабе времени, а воздействие на технологию — в «электронном». Следует различать время T активизации (реализации) технологии  и время электронного взаимодействия. Обмениваться документами можно часами, но реализация обмена для каждого отдельного документа длится миллисекунды. Если атака случайная, например, сбой в процессе, то допущение только усиливает ее воздействие.

Из допущения 2 следует, что для каждого единичного акта документооборота условия можно считать фиксированными на момент начала взаимодействия. Тем самым, пространство атак А(tk) можно считать постоянным в течение всего времени реализации технологии O(T) конкретного акта электронного взаимодействия и описать подмножеством реализованных угроз в любой момент в полуинтервале [t, t+T). В любой дискретный момент времени tk пространство атак А(tk) можно описать двоичной последовательностью нулей и единиц длины M, где на m-м месте стоит 1, если в этот момент атака am имеет место (угроза m активизирована), стоит 0 — если нет.

·        rm = 1 – sm — вероятность реализации угрозы m в виде атаки am .

Опираясь на допущение 1, на множестве угроз M строится вероятностное пространство атак А, состоящее из 2М элементов: вероятность любого подмножества атак равна произведению вероятностей реализации соответствующих угроз на вероятность нереализации остальных; вероятность r0 присутствия хотя бы одной атаки определяется как

.                                    (4.2.1)

Технология O(T), как показано выше, состоит из множества операций, поэтому прежде чем оценивать характеристики безопасности технологии, рассмотрим таковые для отдельной операции.

Уточним понятия защищенности и безопасности объекта. Хотя эти понятия и связаны друг с другом, но это далеко не одно и то же.

Защищенность есть характеристика объекта, определяющая его способность противостоять атакам.

Защищаются не от угрозы, защищаются от атаки. Понятие защищенности неизбежно связано с явной или неявной конкретизацией атаки; если атаки отсутствуют, то говорить о защищенности объекта бессмысленно. Защищенность человека со спасательным кругом выше человека без круга, если «человек за бортом» и подвергается атаке водной стихии. Но если он делает ремонт в квартире, то защищенность много ниже — он может споткнуться и упасть.

Индексом защищенности rnm операции n от атаки m называется условная вероятность (если известно, что атаки am произошла) отражения атаки am при нападении на операцию n.

·        rnm Î {0, 1} — индекс защищенности операции (процесса) n от атаки am: rnm = 1, если операция n защищена от атаки am (атака не влияет на операцию или отражается средствами защиты); rnm = 0, если операция n повреждается атакой am (атака успешна).

Безопасность есть способность объекта сохранять свои номинальные параметры в заданных условиях окружающей среды.

Определение безопасности неизбежно требует конкретизации среды  функционирования объекта. Если в среде атаки отсутствуют, то объект в безопасном состоянии, безотносительно к тому, защищенный он или нет.

Безопасностью pn операции n называется безусловная вероятность сохранения операцией номинальных параметров (штатной реализации) в окружающей среде.

Утверждение 1. Для заданного выше пространства атак А безопасность pn операции n определяется из соотношения

                           (4.2.2)

Доказательство. Если операция находится в безопасном состоянии, то для любой угрозы m имеет место: либо отсутствие реализации (атаки) — вероятность sm = 1 – rm, либо наличие реализации в виде атаки, но отражение последней — вероятность rmrnm. В силу взаимной независимости различных атак вероятность их совместного осуществления равна произведению вероятностей каждого, откуда сразу следует (4.2.2).

Следствие 1.1 Операция абсолютно безопасна, если индекс защищенности от любой из атак равен единице.

Для доказательства достаточно положить в (4.2.2) rnm = 1, тогда  pn = 1.

Предложенный подход позволяет ввести обобщенную оценку защищенности операции n при неявном задании множества атак.

Обобщенным индексом защищенности dn или, просто, защищенностью dn операции n называется условная вероятность (если известно, что атаки на операцию имеются) отражения атак при нападении на операцию.

Утверждение 2. Защищенность dn операции n определяется из соотношения

          (4.2.3)

Доказательство. Пусть dn известно. Вероятность отсутствия хоть одной какой-либо атаки на операцию n есть, учитывая взаимную независимость атак, pn операции n находится по формуле полной вероятности в виде

pn = dn (1 –                                           (4.2.4)

Приравнивая (4.2.2) и (4.2.4), сразу получим доказываемое соотношение (4.2.3).

Предлагаемый критерий dn защищенности операции n обобщает существующие подходы к оценке защищенности и удовлетворяет интуитивным представлениям о критерии защищенности. Опираясь на соотношение (4.2.4), можно установить справедливость следующих предложений.

Следствие 2.1. Если индекс защищенности rnm операции n от любой атаки am равен единице, то защищенность dn операции равна единице.

"m,  rnm = 1:                         (4.2.5)

Следствие 2.2. Если индекс защищенности rnm операции n от любой атаки am равен нулю, то и защищенность dn операции равна нулю:

" m,  rnm = 0:                                         (4.2.6)

Следствие 2.3. Если в рассматриваемом интервале времени необходимо произойдет некоторая атака (пусть am, т.е. sm = 1 – rm = 0),  от которой операция n не защищена (rnm = 0), то защищенность операции равна нулю:

am, rnM=0, sm=1 – rm=0:       (4.2.7)

Следствие 2.4. Если в рассматриваемом интервале времени необходимо реализуются все угрозы множества M (имеют место все атаки am: m = ), то защищенность dn операции n равна произведению индексов защищенности rnm от каждой из атак:

am,  sm= 1– rm = 0:                        (4.2.8)

Следствие 2.5. Если вероятность отсутствия атак на операцию n близка к нулю,  = O(0), то с погрешностью О[] безопасность pn операции n равна ее защищенности dn:

 O(0):            dn = pn + О[]  » .                (4.2.9)

Для доказательства достаточно разложить исходное соотношение (4.2.5) по степеням малости  – x)–1 = 1+x+O(x2).

Условие  характеризует окружение операции, в котором наверняка имеются атаки на операцию — агрессивное окружение. Следствие 2.5 можно переформулировать: — «В агрессивном окружении безопасность операции равна ее защищенности».

Рассмотрим теперь более общий случай — технологию O{*}: структурированную совокупность операций из подмножества {*} множества N, O{*}Π= {on}.

Поскольку некоторые операции технологии O{*} в компьютере могут выполняться одновременно, то предполагается структурированность, говорить об упорядоченности операций не совсем верно. Однако в машинах Тьюринга всегда существует эквивалентное представление любой технологии в виде строго упорядоченной последовательности отдельных операций из подмножества {*} множества N. Теоретически это означает, что технология не повреждена, если, и только если, не повреждены комплектующие ее операции. В таком случае характеристики безопасности технологии должны выражаться аналогично рассмотренным для отдельных операций.

Индексом защищенности r*m технологии O{*} от атаки am называется условная вероятность (если известно, что атака am произошла) отражения атаки am при нападении на технологию {*}.

Утверждение 3. Индекс защищенности r*m технологии O{*} от атаки am равен произведению индексов защищенности каждой из операций, формирующих технологию O{*},

r{*}m = .                                              (4.2.10)

Доказательство. Согласно допущению 2 можно пренебречь разновременностью операций технологии O{*} и считать, что атака am наблюдается в течение всего периода реализации технологии, т.е. угрожает каждой из операций, образующих технологию. Влияние атаки am на каждую из операций n определяется индексом защищенности rnm, где ÎO{*}. В силу безызбыточности технологии O{*} повреждение любой из операций подмножества {*} необходимо влечет искажение результата: в вероятностном смысле операции соединены последовательно. Заметим, что только в вероятностном смысле логическая структура технологии может быть произвольной. Для безотказности последовательной цепи событий необходима безотказность каждого из событий. Отсюда сразу следует доказываемое.

Безопасностью p{*} технологии O{*} называется безусловная вероятность номинальных параметров (штатной реализации) технологии в окружающей среде.

Рассуждая, как и в утверждении 1, получим, учитывая (4.2.10),

                     (4.2.11)

Защищенностью d{*} технологии O{*} называется условная вероятность (если известно, что атаки на технологию имеются) отражения атак при нападении на технологию. Аналогично соотношению (4.2.3), легко установить

                      (4.2.12)

Очевидно, что и следствия 2.1 – 2.5 могут быть почти дословно установлены и для случая анализа защищенности технологии O{*}. Из соображений компактности эти положения здесь не формулируются.

При анализе безопасности технологии информационного обмена выделяются две масштабные единицы времени. 

Динамический период T — интервал  [t, t+T) технологической реализации единичного акта документооборота. Для динамического периода выполняется допущение 2 — его длительность T много меньше длительности q любой из атак множества А, T << q. Отсюда сразу следует постоянство в течение динамического периода как множества угроз М , так и множества атак А: атака am входит в А с вероятностью rm и не входит с вероятностью sm = 1 – rm, где вероятности rm, sm фиксируются на начало периода rm = rm(t), sm = sm (t).

Статический период t — время t между последовательным обновлением электронной среды, восстанавливающим  исходное состояние множества N технологических операций. Почти всегда t >> q >>T, например, период t между перезагрузкой системы в начале каждой рабочей смены. Период характеризуется фиксированным составом угроз М и переменным составом множества атак А(t), 0 £ t £ t: Атака генерируется в какой-то момент статического периода, длится некоторое время q и завершается. Наблюдается случайный процесс «гибели и размножения». Отношение суммарного времени длительности атак am  к общей длине периода t равно, в первом приближении, вероятности rm атаки am в динамическом периоде.

Легко видеть, что с математической точки зрения предложенный подход справедлив и для анализа защищенности технологии взаимодействия в статическом периоде. Всегда можно в технологии O{*} динамического периода в интервале  [t, t+T) положить t = 0, = t и тогда рассуждения сводятся к предыдущему случаю. Однако исходные условия должны быть откорректированы с учетом качественного отличия промежутков времени и t.

Во-первых, технология O{*} в статическом периоде базируется на много более широком множестве операций, чем при единичном акте обмена электронной информацией.

Допущение 3. Технологическая база электронного взаимодействия безызбыточна — любая из технологических операций рано или поздно инициализируется хотя бы раз в течение периода взаимодействия t.

Допущение означает, что анализ информационной безопасности исходит из наихудшего случая востребованности всех программно-аппаратных ресурсов ВС в период взаимодействия. Современное программное обеспечение настолько сложно, что конкретизация неиспользуемых ресурсов, как правило, невозможна, если период взаимодействия достаточно длителен, например, рабочая смена. Во всяком случае, это задача не для рядового пользователя.

В течение рабочего дня используются разнообразные технологии, в общем случае применяются все операции on из располагаемого множества операций = {on}, т.е. надо говорить о технологии O{N}. Как и выше, различаются понятия защищенности и безопасности технологической базы. В соответствии с допущением 4 считается, что база формируется всем множеством = {n} технологических операций (процессов) информационного взаимодействия, где n номер процесса.

Поэтому индекс r{N }m защищенности технологии от атаки am  должен в соответствии с (4.2.10) определяться по всему множеству = {on}

r{N }m = .                                             (4.2.13)

Во-вторых, приемлемые для практических нужд критерии безопасности информационных технологий, применяемых  в течение статического периода, обычно допускают только единичные нарушения отдельных актов электронного взаимодействия. При большом количестве нарушений дискредитируется весь период t. Вероятность rm(t) = 1 – sm(t) атаки am в статическом периоде t существенно возрастает по сравнению с динамическим, что приводит при анализе статического периода к предпосылке агрессивной среды. Выполняются условия следствия 2.5, и почти всегда, особенно при повышенных требованиях к безопасности, справедливо положение: — «Безопасность p{N}(t) информационных технологий в статическом периоде взаимодействия t равна их защищенности d{N}(t) в течение периода t».

t >> T:  p{N}(t)= = d{N}(t)    (4.2.14)

Можно выделить два класса задач информационной безопасности.

1. Обеспечение защиты отдельных технологических операций (процессов) при их активизации. Так как активизация операции автоматически означает, что в это время протекает процесс преобразования собственно информации, то динамические задачи сводятся именно к защите информации. Например, защита от перехвата сигнала при обеспечении конфиденциальности информации.

2. Обеспечение защиты технологической базы в течение длительного периода функционирования ВС. В любой конкретный момент в ВС активизирована всегда очень малая, но не одна и та же, часть располагаемых операций. Решение статических задач неизбежно обусловлено наличием пассивной формы информации (хранением) в электронной среде существования, в том числе, «информации–технологии» (программных файлов). В таком случае, статические задачи заключаются в сохранении эталонного состава вычислительной среды (программных средств) и в обеспечении эталонного (санкционированного) доступа к этим средствам. Обратим внимание, что здесь не говорится о данных — любой доступ к данным (например, чтение файла) возможен только если имеется доступ к соответствующим операциям (копировать, вывести на экран, читать и др.)

Соотношения (4.2.13), (4.2.14) характеризуют мультипликативность защитных свойств вычислительной системы. В соответствии с (4.2.13) для построения гарантированно защищенной вычислительной системы достаточно обеспечить защиту всех ее элементов от каждой из возможных атак на ВС. Тогда индекс защищенности r{N}m от любой атаки am равен единице, и согласно (4.2.14) безопасность и защищенность  системы равна единице при любом распределении атак am. Свойство мультипликативности относится к наиболее общим закономерностям в среде безопасности, а именно: «степень безопасности системы определяется степенью безопасности ее самого «слабого» элемента» [72] или «итоговая прочность защищенного контура определяется его слабейшим звеном» [54].

Как показывает выражение (4.2.14), это условие достаточное, но не необходимое. Если вероятность атаки am  низка, то высокий уровень безопасности может быть достигнут и без применения специальных средств защиты, что позволяет на практике существенно удешевить защиту ВС. Например, использовать механизмы, основанные на кодах аутентификации вместо асимметричных методов криптографии. Однако, предварительный анализ пространства угроз обязателен при решении проблем обеспечения информационной безопасности технологий электронного взаимодействия.

<<Назад   Оглавление   Далее>>