D:\\Докторская диссертация ределенных автоматизированных информационных систем таможенных органов

Вид материалаДиссертация
Рис. 5. Модель адаптивного управления процессами обеспечения безопасности информации в РАИС
Рис. 7. Логическая структура АСВД ТО
Подобный материал:
1   2   3
Глава 4. Комплекс методов и методик верификации СОБИ распределенной АИС. При верификации СОБИ РАИС особое значение имеет исследование и анализ структурных и динамических характеристик СМС СОБИ. Обобщенная методика верификации СМС СОБИ РАИС (Рис. 4) предполагает для каждой ВАСП, входящей в СМС, решение следующих задач.

Задача 1. Задача достижимости маркировки. Достижима ли заданная маркировка ВАСП из ее начальной маркировки. Решение данной задачи заключается в построении множества достижимых маркировок.



Рис. 4. Схема обобщенной методики верификации СМС СОБИ РАИС

Задача 2. Задача определения принадлежности ограничений на мар­кировку позиций и множества маркировки дуг ВАСП к множеству кодексов.

Задача 3. Задача ограниченности позиций (сети в целом). Задача связана с проверкой выполнения ограничений на маркировку позиций и условий теоремы 1.

Задача 4. Задача устойчивости, активности и блокирования переходов.

Разработаны алгоритмы построения множеств достижимых маркировок ВАСП на основе методов исчерпывающего поиска в ширину и исчерпывающего поиска в глубину. В рамках данных алгоритмов под маркировкой ВАСП будем понимать кортеж:  = <, Q, H, M>, где  – время функционирования, Q – вектор активных переходов, H – вектор времени активизации переходов; M –маркировка позиций.

Особенность метода исчерпывающего поиска в ширину заключается в том, что достижимые маркировки просматриваются последовательно в порядке их формирования с целью определения для каждой анализируемой маркировки множества непосредственно достижимых из нее маркировок без возвращения к анализу уже просмотренных.

Через R(0,k) обозначим множество достижимых маркировок ВАСП, полученное на k-й итерации алгоритма. Пусть R1(0,k) и R2(0,k) подмножества маркировок, просмотренных и не просмотренных на предыдущих итерациях. По определению R1(0,k)R2(0,k)=R(0,k) и R1(0,k)R2(0,k)={}. Данные множества наделяются отношением порядка, которое определяется порядком формирования непосредственно достижимых маркировок. Каждая итерация алгоритма состоит в просмотре одной из еще не просмотренной маркировки a  R2(0, k) с наименьшим порядковым номером. Для маркировки a на основе условия возбуждения перехода (1) строится множество возбужденных переходов T(a):



(4)

Просмотр маркировки a на k-й итерации заключается в ее преобразовании в маркировку a (образ маркировки после завершения выполнения активизированных переходов) с учетом сформированного в соответствии с (2) вектора Uk завершения выполнения переходов:



(5)

Компоненты маркировки a вычисляются по следующим уравнениям:

a = a + 1
Qa = Qa – Uk
Ha = Ha – (aUk – D)  Uk



(6)

Для полученной маркировки a формируется на основе (4) и (1) мно­жество возбужденных переходов. Для каждого из не просмотренных пере­ходов ta  T2(a) формируется непосредственно достижимая маркировка s:



(7)

Компоненты маркировки s вычисляются по следующим уравнениям:

tj  T: Uk[tj] = 0
Uk[ta] = 1
s = a
Qs = Qa + Uk
Hs = Ha + aUk


(8)

Далее выполняется анализ полученной маркировки с целью включения ее в подмножества R2(0,k) или R1(0,k). При этом, если sR1(0,k), то просматривать ее на последующих итерациях нет необходимости. В противном случае полученная маркировка s, включается в подмножество R2(0,k) для следующей итерации: R2(0,k+1)=R2(0,k+1){s}. Итерация заканчивается после анализа последней из непосредственно достижимых маркировок для a. Алгоритм заканчивает работу, когда R2(0,q)={} для некоторой q-итерации. Алгоритм построения множества достижимых маркировок методом исчерпывающего поиска в ширину представляет собой следующую последовательность шагов.

0. Инициализация: R1(0,0)=R2(0,1)={}; R2(0,0)={0}; =k=0.

1. Для очередной по порядку маркировки aR2(0,k) сформировать управляющий вектор Uk на основе(2) и маркировку a на основе (5) и (6).

2. Для полученной маркировки a сформировать множество возбужден­ных переходов T(a) на основе (1) и (4). Положить T1(a)={}, T2(a)=T(a).

3. Если T2(a)={}, то переход на шаг 7.

4. Для очередного по порядку перехода taT2(a) сформировать непосредственно достижимую маркировку s на основе (7) и (8). Положить T1(a)=T1(a){ta} и T2(a)=T2(a) \ {ta}.

5. Если полученная маркировка sR1(0,k), то переход на шаг 3.

6. Положить R2(0,k+1) = R2(0,k+1)  {s}, причем маркировка s получает очередной по счету номер. Переход на шаг 3.

7. Положить R1(0,k) = R1(0,k)  {a} и R2(0, k) = R2(0, k) \ {a}.

8. Если R2(0, k)  {}, то переход на шаг 1.

9. Если R2(0,k+1){}, то положить R1(0,k+1)=R1(0,k) и k=k+1 и переход на шаг 1.

10. Положить R(0)=R1(0,k) и закончить выполнение алгоритма.

Идея метода исчерпывающего поиска в глубину состоит в том, что достижимые маркировки просматриваются в двух направлениях: прямом и обратном. Просмотр маркировки в прямом направлении осуществляется с целью формирования только одной непосредственно достижимой из нее маркировки, после чего осуществляется переход к просмотру этой сформированной маркировки. Просмотр маркировки в обратном направлении заключается в анализе множества непосредственно достижимых маркировок и возвращении к просмотру непосредственно предшествующей маркировки в случае просмотра в прямом направлении всех маркировок указанного множества. Алгоритм, реализующий метод, заканчивает работу, когда завершен поиск в прямом направлении всех маркировок, непосредственно достижимых из начальной маркировки.

Множества T(a), T1(a), T2(a) обозначают множества возбужденных, просмотренных и не просмотренных переходов для маркировки a. Множества упорядочены естественным отношением порядка, индуцируемым отношением порядка исходного множества переходов ВАСП и для них выполняются условия: T1(a)T2(a)=T(a) и T1(a)T2(a)={}. Здесь a – достижимая маркировка, которая подлежит просмотру в прямом направлении на текущем шаге алгоритма. Алгоритм построения множества достижимых маркировок для ВАСП методом исчерпывающего поиска в глубину представляет собой выполнение следующих шагов.

0. Инициализация алгоритма: R1(0)={}; R2(0)={0}; a=0; =k=0.

1. Для маркировки aR2(0,k) сформировать на основе (2) управляющий вектор Uk и получить маркировку a на основе (5) и (6).

2. Для полученной маркировки a сформировать множество возбужден­ных переходов T(a) на основе (1) и (4). Положить T1(a)={}, T2(a)=T(a).

3. Если T2(a)={}, то перейти на шаг 7.

4. Для очередного по порядку taT2(a) сформировать непосредственно достижимую маркировку s на основе (7) и (8). Положить T1(a)=T1(a){ta} и T2(a)=T2(a)\{ta}.

5. Если маркировка sR1(0)R2(0), то переход на шаг 3.

6. Положить R2(0)=R2(0){s}; μas; k=k+1. Запомнить предыдущие значения T1(a) и T2(a) переход на шаг 1.

7. Положить R1(0)=R1(0){a} и R2(0)=R2(0)\{s}.

8. Если k0, то положить k=k–1 и определить маркировку μδ, из которой достигается маркировка μa. Положить μaδ и перейти на шаг 3.

9. Положить R(0)=R1(0) и закончить выполнение алгоритма.

Реализация рассмотренных алгоритмов позволяет построить дерево достижимых маркировок ВАСП, которое представляется в виде диаграммы. Анализ диаграммы позволяет установить основные свойства данной сети и решить любую из задач анализа корректности или прогнозирования состояния моделируемого объекта. Если ВАСП является ограниченной, то построение такой диаграммы осуществляется за конечное время даже для сетей, имеющих высокую размерность исходных данных.

Для доказательства отсутствия преднамеренных и (или) непреднамеренных программных дефектов предложен метод верификации расчетных программ на основе ST-пары функций. В качестве расчетной программы рассматривается любая программа, решающая задачу получения значения некоторой вычислимой функции. Метод верификации расчетных программ использует идею самотестирующихся программ, не требует вычисления эталонных значений и является независимым от используемого при написании программы языка программирования, что существенно повышает оперативность исследования программы и точность оценки вероятности отсутствия в ней программных дефектов. Необходимо отметить, что предлагаемый метод можно использовать для программ, вычисляющих функции особого вида, а именно функции, обладающие свойством случайной самосводимости.

Пусть Р – программа, которая предположительно вычисляет функцию Y= f(X), I – объединение подмножеств In (n принадлежит множеству натуральных чисел N), DP={Dn | n  N} – множество распределений вероятностей Dn над In, err (P, f, Dn) – вероятность того, что Р(x)f(x), где х выбрано случайно в соответствии с распределением Dn из подмножества In,  – есть некоторый параметр безопасности. Тогда (1,2)-самотестирующейся программой для функции f в отношении DP с параметрами 0<1<2<1 называется вероятностная оракульная программа Tf, которая для параметра безопасности  и любой программы P на входе n имеет следующие свойства:
  • если err (Р, f, Dn)  е1, тогда программа выдаст на выходе ответ «норма» с вероятностью не менее 1 – ;
  • если err (P, f, Dn)  е2, тогда программа выдаст на выходе «сбой» с вероятностью не менее 1 – .

Пусть xIn и с>1 –целое число. Свойство случайной самосводимости заключается в том, что f(x) может быть выражена через легко вычислимую функцию F от х, а1,...,аc, и f(a1),...,f(аc), где а1,...,аc являются легко вычислимыми по данному x и каждое ai является случайно распределенным над In в соответствии с DP. Пусть для функции Y=f(Х) существует пара функций (gc,hc) таких, что Y=gc(f(a1),…,f(ac)) и Х=hc(a1,…,ac). Пара функций (gc,hc)Y обеспечивает выполнение для функции Y=f(Х) свойства случайной самосводимости и называется ST-парой функций для функции Y=f(Х). В этом случае, пусть длина кода программ, реализующих функции gc и hc и время их выполнения составляет константный мультипли­кативный фактор от длины кода и времени выполнения программы Р.

Метод верификации расчетной программы Р на основе ST-пары функций для некоторого входного значения вектора X* заключается в выполнении следующего алгоритма.

  1. Определить множество такое, что , где выбраны случайно из входного подмножества In.
  2. Вызвать программу Р для вычисления значения и для вычисления множества значений .
  3. Определить значения .
  4. Если то программа Р корректна на множестве значений входных параметров , в противном случае – некорректна.

Относительный выигрыш по оперативности предложенного метода верификации (по отношению к методу тестирования программ на основе ее эталонных значений) определяется следующим образом:

.

Так как, коэффициент Kgh < 1, а с  2, то получаем относительный выигрыш по оперативности испытания расчетных программ указанного типа (обладающих свойством случайной самосводимости) более чем в 1.5 раза.

В качестве примера работоспособности предложенного метода рассмотрена верификация программы вычисления функции дискретного возведения в степень y = fAM (x) = Amodulo М. Для экспериментальных исследований была выбрана программа ЕХР из библиотеки базовых криптографических функций CRYPTOOLS, за реализацию которой автором в составе группы разработчиков получено авторское свидетельство.

Глава 5. Методы верификации при управлении процессами обеспечения безопасности информации. Управление процессами обеспечения безопасности информации в РАИС представляет собой целенаправленное воздействие на элементы СОБИ с целью достижения требуемых показателей защищенности информации при наличии внешних и внутренних дестабилизирующих факторов. Рассмотрены функции (управляющая, информационная и вспомогательная) и задачи (оперативные и нормативные) управления. Анализ функций и задач управления позволил разработать соответствующую модель управления.

Модель адаптивного управления процессами обеспечения безопасности информации является основой организации процесса управления элементами СОБИ РАИС. Функционирование СОБИ РАИС происходит в среде, описываемой кортежем: Q(t)=, где Y(t) – управляемые характеристики среды (потоки данных, полномочия абонентов, параметры криптографических протоколов и т.д.); H(t) – неуправляемые характеристики среды (отказы элементов СОБИ, попытки НСД и т.д.). Состояние СОБИ X(t) в процессе функционирования зависит от состояния среды Q(t) а также от реализации управления U(t): U(t)=н(t),Uо(t)>, где Uн(t) и Uо(t)– нормативное и оперативное управление элементами СОБИ.

Декомпозиция факторов управления на оперативные и нормативные позволяет более эффективно решать задачи управления элементами СОБИ в условиях неопределенности места и времени попыток НСД, а также в РАИС с переменной структурой, для которых нормативное управление процессами обеспечения безопасности информации малоэффективно.

Пусть R=Rt{X(t)} – критерий эффективности обеспечения безопасности информации, определенный на контролируемых состояниях РАИС и ее СОБИ. Индекс t обозначает то, что в процессе функционирования возможно изменение целей управления, а, следовательно, и критерия эффективности.

Математическая формулировка цели управления в этом случае заключается в решении задачи: , где  – упреждение прогноза состояния безопасности информации; U* – стратегия управления с учетом упреждения прогноза; Rt – критерий эффективности в момент времени t с учетом упреждения прогноза; S – прогнозируемое состояние с учетом упреждения прогноза;  – ограничения на выбор стратегии управления. В качестве эталонной модели СОБИ используется СМС СОБИ.

В условиях неопределенности ряда характеристик распределенной обработки информации в модели используются элементы программного управления (планирования нормативного н и оперативного управления о).

В общем случае в n+1-й момент времени управление определяется как Un+1=W(Un,n,,n), где W – оператор рекуррентного управления, а Un, n, , n – значения соответствующих параметров в n-й момент времени. Сущность модели заключается в иерархическом представлении функций управ­ления (Рис. 5) с элементами адаптации к условиям применения: W=Wпо,Wпн,Wо,Wн>, где Wпо и Wпн – подоператоры планирования оперативного и нормативного управления элементами СОБИ: о=Wпо(X,S) и н=Wпн(X,S,Uо); Wо и Wн – подоператоры оперативного и нормативного управления СОБИ: Uо=Wо(X,S,о) и Uн=Wн(X,S,н).

Задача определения периодичности функционального контроля СОБИ РАИС решается на основе статистики и характеристик обеспечения безопасности информации, к которым относятся периодичность попыток НСД и отказов элементов, стоимость зондирования, направления и объемы потоков информации, а также характеристик надежности элементов СОБИ.

Н


Рис. 5. Модель адаптивного управления процессами обеспечения безопасности информации в РАИС
еобходимость решения данной задачи обусловлена целесообразностью организации контроля периодически через интервалы времени k с целью минимизации суммарной стоимости функционирования и управления СОБИ. Пусть Т – время функционирования РАИС, C(s) – стоимость функциональ­ного контроля, (t) – состояние в момент времени t, (s) – по­тенциальный ущерб (стоимость) пребыва­ния РАИС в конкрет­ном состоянии (для безопасных состоя­ний, примем равным 0), Тогда ожидаемая стоимость функцио­нирования СОБИ на интервале [0, T] (с учетом только ущерба из-за неоперативно­сти обнаружения на­рушения безопасно­сти и стоимости фун­кционального кон­троля):

, где и .

Заметим, что Sb подмножество состояний системы, при которых выпол­няются требования по обеспечению безопасности информации. Таким обра­зом, задача состоит в определении n, t1,…tn, при которых функция  прини­мает минимальное значение. Зависимость функций Ck-1(tk-1,tk) и rk-1(tk-1,tk) от времени предыдущего контроля означает, что, в общем случае, после очередного контроля или восстановления безопасного состояния информации, РАИС может функционировать с новыми вероятностными характеристиками. Если данные функции зависят только от временного интервала между осуществлением функционального контроля, то считается, что данные функции описывают однородную РАИС, то есть rk-1(tk-1,tk)=rk-1(∆k) и Ck-1(tk-1,tk)=Ck-1(∆k). Тогда функции потерь приобретает следующий вид:



Зафиксировав число проверок на интервале [0, T], найдем оптимальные значения интервалов между итерациями функционального контроля СОБИ из условия минимума функции потерь. Продифференцировав функции
Ck-1 (t), получим следующую систему уравнений:



Определив оптимальные значения {k} и подставив их в функцию потерь, получим функцию , зависящую только от n и Т. Оптимальные значения n определяются из условия минимума полученной функции.

Показано, что для оценки эффективности СОБИ РАИС необходимо использовать счетное множество показателей: R = {Ri|i[1,n]}. Процесс формирования дерева показателей эффективности СОБИ сводится к следующему:

  1. Анализ номенклатуры показателей эффективности обеспечения безопасности информации, разработанных критериев и методик оценки, а также методик контроля значений показателей эффективности на всех этапах жизненного цикла РАИС или ее подсистем.
  2. Выделение доминирующего фактора(ов) обеспечения безопасности информации в данных условиях функционирования в зависимости от структуры РАИС и специфики информации.
  3. Определение пяти базовых характеристик эффективности СОБИ: функциональности Rf; оперативности Ro; практичности Rp; надежности Rn; экономичности Re. Значению каждой характеристик ставится в соответствие определенный рейтинг создаваемой СОБИ. Каждому уровню рейтинга соответствует свой уровень сложности СОБИ и ее определенные функции.
  4. Определяются критерии оценки для каждой характеристики: Rf (функциональность: обеспечиваемый уровень и класс защищенности, вероятность НСД к ресурсам и т.д.); Rn (надежность: надежность работы СОБИ в течении заданного времени, вероятности компрометации и ключевых параметров и т.д.); Ro (оперативность: время установления защищенного сеанса, пропускная способность, время аутентификации пользователей и т.д.); Rp (практичность: аппаратная сложность, диагностируемость, тестируемость и т.д.); Re (экономичность: стоимость разработки и эксплуатации СОБИ, загрузка РАИС служебными сообщениями и т.д.).
  5. Н
    

    Рис. 6. Ранжирование показателей эффективности
    а этапе формирования требований к характеристикам СОБИ каждый выбранный критерий оценивается весовым коэффициентом Kij, где i и j порядковые номера показателя эффективности и метрики.
  6. Выбираются метрики для каждого критерия со своими весовыми коэффициентами Mnk,, где n и k – порядковые номера критерия и метрики.
  7. Ранжируется номенклатура показателей эффективности по рейтинговым уровням характерис­тик СОБИ на основе суммарных значений весовых коэффициентов критериев и метрик (Рис. 6).
  8. Проверка выполнения требований по выбранной номенклатуре показателей и установленному заказчиком уровню их значений.
  9. Подготовка контрольного варианта состава показателей эффективности и характеристик для конкретного компонента СОБИ.

Обобщенный алгоритм формирования состава показателей эффективности СОБИ позволяет для заданных условий функционирования РАИС определить номенклатуру показателей эффективности, а также критерии и метрики их контроля для формирования технического задания (технических условий) на разработку СОБИ.




Рис. 7. Логическая структура АСВД ТО