В-третьих, технические и программные средства, образующие СОБИ и посредством которых в АСУ решаются задачи защиты информации, требуют резервирования некоторой части ресурсов АСУ. Например, управление процессами защиты требует наличия специальной службы, рассылка ключевой информации – дополнительной пропускной способности каналов связи, контроль доступа к ресурсам – затрат времени и т. д. В этом случае возникает противоречие между задачами АСУ как системы, максимально улучшающей характеристики процессов управления за счет более полного использования собственных ресурсов, и задачами СОБИ, использующей ресурсы АСУ для достижения целей, не всегда совпадающих с главными целями АСУ. Это противоречие усугубляется тем, что несмотря на техническую и технологическую возможность совмещения решения некоторых задач в рамках вычислительных средств одного объекта АСУ, с точки зрения защиты информации такое совмещение просто недопустимо вследствие различного назначения и различных грифов секретности обрабатываемой информации. Следовательно, возникает задача планирования загрузки ресурсов АСУ для их оптимального использования с учетом требований безопасности информации, что возможно лишь на основе формальной модели обеспечения безопасности.
В-четвертых, достижение требуемых значений показателей безопасности информации в распределенной АСУ с динамически изменяемыми информационно-логическими связями возможно лишь в случае организации единого управления всеми ресурсами системы защиты, причем в любой момент времени должна обеспечиваться возможность:
– проведения анализа состояния средств защиты и СОБИ в целом;
– прогнозирования поведения СОБИ, определения и контроля выполнения условий перехода в новое состояние;
– планирования процессов защиты с учетом возможных попыток несанкционированного доступа к информации, в том числе и успешно реализованных;
– формирования информации для требуемых управляющих воздействий в случае необходимости корректировки процессов защиты.
Противоречие состоит в том, что подобное функционирование СОБИ невозможно без "встроенной" в систему ее собственной модели, обладающей свойством изоморфизма. Однако простого изоморфизма недостаточно. Модель системы защиты должна объединяться с моделью внешней среды, т. е. АСУ в целом, а также с моделью нарушителя. Вполне очевидно, что модели этого типа для своей реализации потребуют ресурсы, сравнимые с ресурсами, необходимыми для реализации задач АСУ. Следовательно, необходима разработка не только самих моделей формализации процессов защиты, но и методических основ оптимизации моделей и их компонентов, синтеза моделей из имеющихся составляющих.
Анализ сформулированных положений позволяет сделать вывод о том, что разработка математических моделей формализации процессов обеспечения безопасности информации в АСУ действительно является сложной научной проблемой, актуальность которой лишь повышается по мере развития и внедрения в АСУ математических методов управления и повышения степени автоматизации решения целевых задач.
Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации
Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории множеств, I теории графов, временной и математической логики, I алгебраических спецификаций. При этом применяемый для описания модели математический аппарат вносит некоторые ограничения на степень детализации процессов защиты, что обусловлено различием физической сущности описываемых с помощью используемых понятий процессов. Например, модели, основанные на теории множеств, с большей детальностью описывают процессы контроля доступа к ресурсам системы, так как имеют развитый аппарат определения взаимоотношений между множествами объектов-ресурсов и объектов-пользователей. В то же время модели, основанные на теории графов, позволяют более глубоко определить процессы защищенной передачи данных.
Основываясь на анализе принципов описания процессов защиты данных и используемого при этом математического аппарата, можно выделить следующие четыре класса формальных моделей безопасности:
– модели трансформации состояний конечного автомата;
– модели заимствования и передачи полномочий;
– семантические модели;
– модели информационных потоков.
Необходимо заметить, что в настоящее время число публикаций, в которых описываются модели безопасности, непрерывно растет. Поэтому в дальнейшем ссылки приводятся только на те работы, в которых описаны модели с явно выраженными отличительными признаками.
Модели трансформации состояния являются наиболее общими и основаны на описании системы в виде конечного автомата. Модели этого класса позволяют наиболее полно описать процессы защиты информации и их взаимосвязь с технологией обработки информации в АСУ. В качестве основы большинство моделей трансформации состояний используют модель Бэлла-Лападулы.
Модели заимствования и передачи полномочий в основном формулируются в понятиях теории множеств или теории графов. В основе всех моделей этого класса в явном или неявном виде лежит матрица контроля доступа, что является существенным ограничением при описании динамических операций присвоения или изменения классификации ресурсов системы.
Семантические модели используют понятия теории множеств и теории предикатов и определяют правила разграничения доступа к ресурсам системы в виде утверждений, которые могут изменяться в процессе выполнения операций модели с помощью специальной системы команд.
Модели информационного потока основываются на предположенной Фентоном решетке безопасности и определяют порядок взаимодействия объектов системы в терминах переноса информации. Появление моделей данного класса сопровождалось достаточно интересными и перспективными теоретическими исследованиями, однако в дальнейшем было показано, что модели информационного потока могут быть описаны в терминах трансформации состояний объектов, получающих или отдающих информацию с соответствующими фифами.
Кроме рассмотренных принципов классификации моделей, необходимо учитывать области их применимости, т. е. среду реализации описываемых механизмов защиты. Обычно рассматриваются следующие среды функционирования: отдельная ЭВМ, вычислительная система, сеть передачи данных, информационно-вычислительная сеть.
На каждую модель безопасности при ее формулировке накладывается ряд ограничений (или допущений), которые на начальном этапе носят неформальный характер, а затем формализуются. Такими допущениями могут быть наличие в системе администратора службы безопасности (АСБ), который выполняет ряд специфических операций, не свойственных другим пользователям системы, соглашения о многоуровненности ресурсов, наличие у передаваемых сообщений меток, отражающих степень конфиденциальности данных (меток чувствительности) и т. д.
Краткие результаты анализа существующих моделей обеспечения безопасности информации, отражающие основную идею, область применения, соотношения с другими моделями, математические основы, ограничения и допущения, использованные при формулировании модели, показаны в табл. 1.
Для однозначного понимания описываемых далее моделей необходимо ввести ряд определений, основанных на обобщении существующих предложений по терминологии в области защиты информации.
Таблица 1 Результаты анализа существующих моделей
Определение 1. Ресурсом системы называется любое устройство, программа, функция, база данных, файл, которые могут использоваться для выполнения какой-либо операции в АСУ.
Определение 2. Субъект доступа – активный ресурс, в качестве которого могут выступать процесс или устройство, реализующие какие-либо действия над другими ресурсами системы.
В некоторых случаях субъектом может быть оператор АСУ.
Определение 3. Объект доступа – пассивный ресурс, используемый субъектом доступа для выполнения операций в АСУ.
Определение 4. Доступ – процесс использования технических и программных средств, обеспечивающий логическую (или физическую) связь с каким-либо ресурсом АСУ для его функционального использования или получения (модификации) поддерживаемых этим ресурсом данных.
Определение 5. Класс защиты – характеристика степени защищенности объектов доступа, основанная на выделении определенной совокупности требований по защите информации в автоматизированных системах. В некоторых работах вместо данного термина используется термин «уровень безопасности».
