Грибунин В.Г. Комплексная система защиты информации на предприятии
Подождите немного. Документ загружается.
Таблица
9.2.
Предпочтения эксперта
при
попарном сравнении
ЧПК
ЧПК
с
п
3
О
с
1
0,33
1
0,125
п
0,33
1
3
0,33
3
1
0,33
1
0,143
О
8
3
7
1
Всего
Сумма
по
строке
10,33
4,66
12
0,6
27,6
Нормированная
сумма
0,374
0,169
0,435
0,022
1,00
кой. Строчные суммы также допустимы,
но, с
точки зрения
Саа-
ти, менее точны.
После определения весов
ЧПК СЗИ
осуществляется решение
задачи комбинаторного перебора вариантов возможных решений,
формируемых
по
входной матрице всех допустимых вариантов
защиты.
При
этом решается задача многокритериальной оптими-
зации. Существует множество способов
ее
решения.
9.3.
Оптимальное построение системы защиты
для
АС
Оптимальным считается решение, доставляющее экстремум
некоторому функционалу. Оптимальность решения достигается
за счет наиболее рационального распределения ресурсов, затра-
чиваемых
на
решение проблемы защиты.
Свойства параметров исследуемых объектов подразделяются
на
внутренние
и
внешние.
При
проектировании системы
ее
внешние
параметры задаются заказчиком
или
потребителем,
а
внутренние
выбираются разработчиками
в
процессе проектирования. Между
внешними
и
внутренними параметрами существует взаимосвязь.
Например,
под
внешними параметрами
для АС
выступают сто-
имость, время работы, срок сохранности конфиденциальности
информации, объем используемой памяти
и
т. п.
В
качестве внут-
ренних параметров: криптографический стандарт, длина ключа,
время жизни ключа/пароля, система распределения ключей
и др.
После того
как
каждый параметр компонентов получил коли-
чественную оценку, формулируется задача оптимального проек-
тирования. Когда
все
параметры оценены количественно,
она
превращается
в
задачу многокритериальной оптимизации, кото-
рая может быть решена математическими методами (линейное,
векторное, динамическое программирование).
Критерий оптимальности
/„
=
min
L(Y,
Y^)
формулируется
на
основе целевой функции
L(Y,
Y^),
включающей систему показа-
200
тел
ей (требований),
а
также указания
по
поиску
ее
экстремума
(min,
max,
min
max, max
min
и др.).
В настоящее время используются следующие основные виды
целевых функций: простая
L = (Y-
Y^);
модульная
L
=
\Y-
1^|;
квадратичная
L
=
[Y-
Y
w
]
2
.
Наличие множества различных
и
зачастую противоречивых
критериев оптимальности порождает проблему многокритериаль-
ной (векторной) оптимизации процесса
ее
функционирования.
Основными трудностями
на
пути
ее
разрешения являются необ-
ходимость сокращения размерности векторного критерия опти-
мальности (ВКО), нормализации
и
последующей скаляризации
(свертки)
его
компонент.
Уменьшение размерности системы показателей (критериев
оп-
тимальности) значительно упрощает решение задачи
ВКО. Од-
ним
из
наиболее распространенных методов редукции является
метод, основанный
на
оценке степени линейной независимости
отдельных компонент векторного критерия.
Вычисление
матрицы
коэффициентов корреляции
ВКО
про-
водится
на
основе следующего выражения:
Мр{р
и
„'};
м
м
Рил'
-
V(T
1 \
S S
И«' ~ ^" *п'1' ~
I"'
Рп'
A
Un^n)
_
/=1/'=1
L
JL J
а(1
п
М1
П
')
\М
_
2
М г
-
-1
'
Jl[hl-h]P
nl
Z[l
nr
-In']P„T
V/=i
/=i
(9.7)
где
K(I
n
,
1
п
)
=
М(1„,
1
п
)
—
матричная взаимная корреляционная
функция
п-то
и «'-го
критериев, диагональные члены которой
являются дисперсиями
п-х
критериев,
а
остальные члены харак-
теризуют степень линейной независимости любой пары критери-
ев;
р
п
,
п' —
номера критериев оптимальности;
/= 1,..., М
—
номе-
ра дискретных значений критериев;
7
И
-
^I
n
P
n
i
~
среднее значе-
ы
ние критерия;
Р
п1
, Р„-
г
—
вероятности принятия
п(п')-м
критери-
ем значения
/;
Р
и
—
совместная вероятность принятия
п-м
крите-
рием
/-го
значения
и п'-м
критерием
/'-го
значения.
Редукция системы критериев осуществляется путем удаления
из исходной системы
тех
критериев
/„•,
которым
в
матрице коэф-
фициентов корреляции
{р„„-}
соответствуют такие недиагональ-
ные элементы, которые превышают величину
0,95.
Следует отме-
тить,
что
критерии оптимальности
в
исходной системе должны
быть предварительно ранжированы
по
степени
их
важности
для
информационной безопасности
АС. Для
случая непрерывнознач-
ных критериев вероятности
в
выражении
(9.7)
должны быть заме-
нены
на
плотности распределения,
а
суммы
на
интегралы.
201
Процесс нормализации включает этапы перехода к единой раз-
мерности (безразмерности), сведения к одной точке отсчета и
переход к равноценным шкалам (одному масштабу). Достаточно
полно все перечисленные этапы могут быть выполнены при ис-
пользовании следующего линейного преобразования:
I^[x;k)
=
c
n
I
n
(x;k)
+
d
n
,
(9.8)
где
С.
=
-.——— ;
— — масштабный коэффициент;
(Г
п
(х;к)-Р
п
(Щ
Р(х;к)
— коэффициент сдвига, корректиру-
(Г
п
(х;к)-Р
п
(х;к))
ющий начало отсчета;
1("\Г
п
,1®
— нормированное, наибольшее
и наименьшее значения критериев соответственно.
Задача оптимизации по векторному критерию состоит в отыс-
кании решений, удовлетворяющих экстремуму одновременно всех
компонент
В
КО. Существует два основных пути решения данной
задачи: поиск компромиссных решений, оптимальных по Парето,
и поиск решений, оптимальных в смысле обобщенного скалярно-
го критерия, полученного путем свертки (скаляризации) всех ком-
понент
В
КО. Первый путь связан с трудностями использования
строгих математических методов оптимизации для широкого кру-
га задач, а также с отсутствием, как правило, единственности ис-
комого решения. В связи с этим этап поиска компромиссных ре-
шений имеет вспомогательное значение и используется лишь для
предварительного уменьшения размерности исходного множества
решений до этапа свертки ВКО.
Суть второго пути заключается в сведении векторной задачи
оптимизации к скалярной. При этом формируется обобщенный
критерий, значение которого для различных вариантов управле-
ния является проекцией всех компонент ВКО на одну числовую
ось, что значительно облегчает окончательный выбор оптималь-
ного решения, так как существует множество конструктивных
скалярных методов оптимизации. К основным методам свертки
ВКО относятся:
• методы, основанные на последовательной оптимизации по
частным критериям (метод ведущей компоненты, оптимизация
по ранжированной последовательности критериев, метод после-
довательных уступок);
• методы, основанные на получении обобщенных скалярных
критериев (метод аддитивной свертки компонент ВКО с весовы-
ми коэффициентами, метод идеальной (утопической) точки, ме-
тод вероятностной свертки).
202
Особенностями первой группы методов является последова-
тельный (по всем компонентам ВКО) характер решения задачи
оптимизации, что приводит к возможности потери компромис-
сно-оптимального решения уже на первых шагах оптимизации.
Основным недостатком метода взвешенной суммы является субъек-
тивный характер выбора весовых коэффициентов, определяющих
важность различных компонент ВКО, и, как следствие, субъек-
тивность получаемых решений.
Свободным от большинства указанных недостатков является
метод идеальной точки, в котором формирование обобщенного
критерия оптимальности осуществляется согласно выражению
п=1
(9.9)
где д
=
1, 2, ... — степень целевой функции; х — вектор оптими-
зируемых по ВКО параметров.
Следует отметить, что в качестве идеальных значений крите-
риев
7„
вд
могут выступать либо экстремальные значения п-х кри-
териев, либо требования к их значениям со стороны заказчика
АС.
После решения задач сокращения размерности векторного кри-
терия оптимальности (ВКО), нормализации и последующей ска-
ляризации (свертки) его компонент можно приступать к реше-
нию задачи многокритериальной оптимизации. Рассмотрим наи-
более распространенные подходы к ее решению.
Вначале необходимо выделить область компромиссов. Каждо-
му из вариантов проекта системы соответствует набор значений q
или точка в
т-мерном
пространстве. Все множество возможных
вариантов проектов системы Q можно разделить на два непересе-
кающихся подмножества:
Q
=
QtuQ„
(9.10)
Q
k
nQ
s
=0,
(9.11)
где
Q
k
— область компромиссов;
Q
s
— область согласия.
Область согласия — подмножество множества вариантов воз-
можных проектов системы, обладающее тем свойством, что лю-
бой вариант данного множества может быть улучшен либо одно-
временно по всем критериям, либо по одному или нескольким из
них без ухудшения по остальным критериям.
Область компромиссов — подмножество решений, каждый ва-
риант которого не может быть улучшен по одному или несколь-
ким критериям без ухудшения по одному или более из оставших-
ся критериев. Еще данную область обозначают следующие терми-
203
ны: «область
Парето»,
«переговорное множество», «область эф-
фективных планов». Оптимальный вариант проекта системы мо-
жет принадлежать только области компромиссов. Это следует из
того, что любой вариант из области согласия может быть улуч-
шен, и оба подмножества не пересекаются.
Выделение области компромиссов — важный шаг при выборе
варианта проекта системы. Область Парето инвариантна к масшта-
бу и шкале измерений локальных параметров и к их приоритету —
это характеризует корректность разработанного проекта. Область
компромиссов существенно сужает область поиска оптимального
варианта.
Часто выделение данной области недостаточно для полного
решения задачи, так как область Парето может содержать доволь-
но большое число вариантов. Практически все варианты из этой
области равнозначны (и равноправны), выбор сделать крайне слож-
но. Выделение варианта внутри области компромиссов может осу-
ществляться на основе принятой схемы компромиссов (некото-
рая аксиоматика). В ряде случаев целесообразно предоставить
выбор варианта проекта системы внутри области компромиссов
заказчику или пользователю системы, который может учесть ха-
рактеристики вариантов проекта, не нашедших свое отражение в
векторном критерии. Каждое решение будет различаться в неко-
тором или в некоторых параметрах, в этом случае заказчик может
сформулировать, какие из параметров наиболее важны для него
(произвести коррекцию критериев) и исходя из этого принимать
решение о выборе.
Приведем наиболее распространенные методы поиска реше-
ний внутри области компромиссов.
1.
Принцип равномерности. Пусть критерии нормализованы и
имеют одинаковую важность. Считается целесообразным выбор
такого варианта решения, при котором достигается некоторая
равномерность показателей по всем критериям. Выделим три прин-
ципа реализации принципа равномерности: принцип равенства,
принцип квазиравенства и принцип максимина.
Формально принцип равенства описывается следующим обра-
зом:
tfopt
=
{ft = fe = ft =
ft*}
e
Qk-
(9.12)
He
всегда существует такой вариант решения, при котором все
критерии равны (или он не принадлежит области компромиссов).
Тогда применяется метод квазиравенства.
2. Метод квазиравенства. При этом методе требуется достичь
приближенного равенства; приближенность задается диапазоном,
характеризующимся некоторым значением 8.
3. Принцип максимина. Из области Парето выбираются вари-
анты проекта с минимальными значениями локальных парамет-
204
ров и среди них ищется вариант,
имеющий
максимальное значе-
ние. В этом случае постепенно увеличивается критерий с наи-
меньшим уровнем, пока все значения не окажутся приблизитель-
но равны.
4. Принцип справедливой уступки. Проектировщик должен
проверить, не дает ли небольшое отклонение от равномерных
критериев значительное улучшение по одному или нескольким
критериям. В этом случае целесообразно применять данный прин-
цип. На рис. 9.3 приведен пример области Парето. Кружочками
изображены возможные варианты решения задачи оптимизации в
плоскости
«стоимость—уровень
защищенности». Цифрами обо-
значены варианты, принадлежащие области компромиссов. Пря-
мые линии показывают ограничения на возможность достижения
определенных значений рассматриваемых параметров многокри-
териальной задачи оптимизации.
При совместном анализе трех параметров, например время-
стоимость—защищенность,
на графике появляется дополнитель-
ная ось. В общем случае мы имеем дело с «-мерным графиком,
где п — число параметров многокритериальной задачи оптимиза-
ции.
Если небольшой проигрыш по одному из факторов ведет к зна-
чительному выигрышу другого параметра, то это и называется
точкой справедливой уступки. Приведенный рисунок демонстри-
рует, что при очень высоком диапазоне весов третья точка всегда
попадает в лучшую точку уступки. Если множество Парето не со-
держит в себе характерных точек, то найти точку справедливой
уступки крайне затруднительно.
Переход от одного варианта из области компромиссов к друго-
му из этой же области всегда сопровождается улучшением по од-
ному из критериев и ухудшением по другому (другим) критерию.
Принцип справедливой уступки основан на оценке и сопоставле-
нии прироста и убыли локальных факторов. Оценка может про-
изводиться по абсолютному значению прироста или убыли кри-
С
Рис. 9.3. Пример области Парето (пояснения см. в тексте)
205
териев,
либо по относительному (абсолютная и
относительная
уступка). /
5. Метод главной компоненты. Один из критериев объявляется
оптимизируемым и выбирается тот вариант решения, при кото-
ром значение данного критерия достигает экстремума. На осталь-
ные критерии накладываются ограничения.
Поскольку во многих практических случаях шкалы измерения
критериев различны, для поиска решения в области компромис-
сов осуществляется нормализация пространства критериев. Пос-
ле нормализации можно проводить ранжирование критериев по
их важности. Численно это формализуется приписыванием весов
каждому из рассматриваемых критериев. Далее в качестве целе-
вой функции выбирается линейная или степенная модель важно-
сти и производится поиск оптимального решения подобного вы-
бора наилучшего объекта из списка предложенных.
6. Случайное и неопределенное свертывание показателей. Це-
левой функцией системы объявляется тот или иной показатель
функционирования (внешний параметр). В общем случае част-
ные показатели могут зависеть от случайных или неопределенных
факторов. Допустимый вариант проекта системы также может за-
висеть от случайных или неопределенных факторов. Неопреде-
ленность требований к системе, некомпетентность или неуверен-
ность разработчика и заказчика приводят к тому, что выбранная
целевая функция (в частности, весовые коэффициенты) случай-
на. Приведенные методы позволяют производить свертку много-
критериальной задачи.
При составлении целевой функции используется математи-
ческая модель, где в качестве независимых переменных будут
выступать внутренние параметры системы, а значению функции
будут соответствовать внешние (искомые) параметры системы.
Решение задачи оптимального проектирования СЗЙ АС заклю-
чается в выборе такого варианта проекта, который при удовле-
творении заданных ограничений определяет экстремальное зна-
чение некоторой величины, характеризующей безопасность си-
стемы. Целевая функция безопасности зависит от каждого из
выбранных методов реализации по каждому из требований мо-
дели. Выбор оптимального варианта системы осуществляется сле-
дующим образом: экспертная комиссия обрабатывает требова-
ния заказчика и определяет возможные варианты декомпозиции
системы защиты, а также составляет технические задания на ва-
рианты реализации подсистем. Далее для каждого варианта де-
композиции отдельно решается задача оптимизации для подси-
стем.
Оценка и анализ предложенного варианта осуществляются за-
казчиком системы. Результатом работы приведенного сценария
будет оптимальный вариант системы защиты информации АС.
206
Выбор структуры СЗИ АС
На практике чаще всего системы защиты проектируются не с
нуля, а на основе уже существующих систем. Возможны два под-
хода к построению систем защиты или, иными словами, внедре-
нию в проектируемую вычислительную систему механизмов и
средств защиты, обеспечивающих заданный уровень безопасного
функционирования системы [49].
Первый из них заключается во включении в рассмотрение кри-
териев надежности, защищенности (целостности, достоверности,
конфиденциальности и доступности) информации, обрабатывае-
мой в АС, на этапе проектирования всей системы в целом. Тогда
средства обеспечения безопасности выбираются и внедряются
наравне с основными вычислительными ресурсами системы.
Если нужно спроектировать систему защиты уже существую-
щей АС, первый подход использовать невозможно. В этом случае
ставится задача оптимального проектирования системы защиты,
выступающей в качестве надстройки основной — вычислитель-
ной — сети. Тогда в качестве дополнительных критериев при ре-
шении подобной задачи могут выступать время и стоимость раз-
работки, время и стоимость внедрения системы защиты, время и
стоимость эксплуатации, уровень сочетания с существующей си-
стемой, степень влияния на протекающие в ней процессы обра-
ботки информации, степень ухудшения показателей основной
автоматизированной системы (время обработки транзакций, удоб-
ство пользователей, стоимость эксплуатации и т.п.).
У существующей системы уже зафиксированы ее основные
показатели: состав рабочих мест, требуемые вычислительные ре-
сурсы, стоимость эксплуатации и др. Внедрение системы защиты,
безусловно, скажется на этих показателях в виде изменения в сто-
рону увеличения времени обработки и стоимости.
Типовыми структурами систем являются линейная, кольцевая,
сотовая, многосвязная, звездная, иерархическая [43].
Линейная структура характеризуется тем, что каждая вершина
связана с двумя соседними. При выходе из строя хотя бы одного
элемента структура разрушается, поэтому такая структура непри-
менима для описания системы защиты информации.
Кольцевая структура отличается замкнутостью, любые два на-
правления обладают двумя направлениями связи. Это повышает
живучесть.
Сотовая структура характеризуется наличием резервных свя-
зей, что еще больше повышает живучесть, но приводит к повы-
шению ее стоимости.
Многосвязная структура имеет вид полного графа. Надежность
функционирования максимальная, эффективность функциониро-
вания высокая, стоимость максимальная.
207
Звездная структура имеет центральный узел,
остальное
эле-
менты системы подчинены ему. /
Наиболее широкое применение при синтезе систем /защиты
информации от НСД в АС получила иерархическая
структура.
В ней все элементы, кроме верхнего и нижнего
уровней^
облада-
ют как командными, так и подчиненными
функциями ^управле-
ния.
9.5.
Проектирование системы защиты
информации для существующей АС
Обозначим через Р уровень защищенности, достигаемый в си-
стеме. Тогда целевая функция может быть записана следующим
образом:
Р^тах,
Т<Т*, С< С*,
(9.13)
где Т*, С* — допустимые возможные значения затрат времени и
денег на создание системы защиты.
Пусть исходная существующая АС характеризуется показате-
лем защищенности
Р
0
,
а также множеством иных показателей,
например:
С
0
— ее стоимость;
Т
оп
— среднее время на операцию;
V
on
— средний объем оперативной памяти, требуемый для осуще-
ствления операции;
С
оп
— стоимость выполнения одной опера-
ции и
т.п.
После внедрения в исходную систему механизмов защиты при-
ращение значений показателей вычисляется по значениям пара-
метров механизмов защиты. Очевидно, что приращение защищен-
ности будет сопровождаться приращением стоимости, ухудшени-
ем других параметров системы. Существует подход, при котором
сумма затрат и необходимый уровень обеспечения безопасности
определяются точкой экономического равновесия, после которой
затраты на защиту информации превышают возможный ущерб при
нарушении ее безопасности.
Таким образом, проектировщиком системы защиты должны
быть определены предельно допустимые значения параметров АС,
и внедрение подсистемы защиты должно вестись с учетом этих
значений.
Список функций, которые должны быть удовлетворены при
реализации системы защиты, состоит из п элементов. Каждую из
функций выполняет некоторое средство безопасности, в свою
очередь выбираемое из списка подобных компонентов. Таким
образом, решением оптимального проектирования системы явля-
ется набор выбранных компонентов
М
ь
М
2
, М
3
,
...,
М„,
при кото-
ром соблюдаются все установленные ограничения. Выделяется
область компромиссов при многокритериальной оптимизации по
208
вектору параметров подсистемы. Далее решается задача однокри-
териальнрй
оптимизации внутри области компромиссов.
Иногда одно средство может обеспечить сразу две или более
функции защиты, в таком случае оно будет встречаться в несколь-
ких списках с разными показателями уровня обеспечиваемой за-
щищенности. Но дополнительно нужно учитывать, что стоимость
внедрения и эксплуатации подобного устройства (программы или
механизма) будет уменьшаться кратно числу реализуемых им функ-
ций. Поэтому при подготовке входных данных для методики сто-
имость компонента должна задаваться проектировщиком вруч-
ную уже скорректированной по числу функций, реализуемых рас-
сматриваемым объектом. Например, значения стоимости внедре-
ния и эксплуатации устройства, реализующего криптографиче-
ский алгоритм, который применяется для реализации сразу двух
функций (шифрование и электронная цифровая подпись), могут
быть сокращены вдвое. Объект присутствует во множестве средств
реализации дважды, и его полная стоимость остается прежней.
Использование методики позволяет проинтерпретировать за-
висимость достигаемого уровня защищенности относительно за-
трат на систему защиты, предоставляет возможность учесть раз-
личные ограничения, вводимые разработчиком или заказчиком
системы. Существует разновидность задачи поиска оптимального
варианта системы, основанная на поиске экстремума относитель-
ного приращения
Ар
(
/ Ас
г
или относительного приращения по дру-
гим параметрам.
К'
' '
>л " •
J
s'.'M
• ••'"'
'
-Л
V
.. •