РАЗДЕЛ 2
ФУНКЦИОНАЛЬНОЕ МОДЕЛИРОВАНИЕ СРЕДСТВ ЗАЩИТЫ СЕТЕВОГО ПЕРИМЕТРА
Формализация и декомпозиция задач защиты сетевого периметра
Современные средства ЗСП представляют собой сложные аппаратно-программные
комплексы с нетривиальной логикой функционирования. Поэтому для их исследования
рекомендуют использовать понятийный аппарат математической логики и теории
множеств [50?52].
Пусть A – конечный алфавит, A' – множество слов конечной длины в алфавите A. Из
при помощи некоторого множества правил выделено подмножество L правильных слов,
которое называется языком. При этом
и . (2.1)
Если L1 – язык описания одного информационного объекта, L2 – другого, то можно
говорить о языке L, который объединяет L1 и L2 и описывает два информационных
объекта. Тогда L1 и L2 – подъязыки L.
Будем считать, что любая информация об объекте представлена в виде слов в
некотором языке L. Кроме того, можно полагать, что любое устройство в
вычислительной системе достаточно полно описано словом в некотором языке. Тогда
можно отождествлять слова и состав устройств и механизмов вычислительной
системы или произвольной электронной системы обработки данных. Эти
предположения позволяют весь анализ вести в терминах некоторого
детерминированного языка.
Объектом O относительно языка L называется произвольное конечное подмножество
языка L из алфавита A, выведенное с помощь множества правил G, называемого
грамматикой:
. (2.2)
Субъектом S относительно языка L называется объект, производящий какие-либо
преобразования над другими объектами:
(2.3)
Согласно аксиоме, положенной в основу американского стандарта по защите
«Оранжевая книга» [53], все вопросы безопасности информации описываются
доступами субъектов к объектам.
Положим, что время t дискретно, тогда St – множество субъектов в момент времени
t, Ot – множество объектов в момент времени t. Существует множество возможных
доступов такое, что
и , ,
где – подмножество разрешённых доступов в момент времени t;
– подмножество неразрешённых доступов в момент времени t.
В таком случае вышеуказанную аксиому можно определить как граф, где
направленная дуга имеет метку или тогда, когда в момент времени t субъект S
имеет множество возможных разрешённых или неразрешённых доступов к объекту O
соответственно:
. (2.4)
Под угрозой вычислительной системе будем понимать возможность осуществления
неразрешённого доступа субъекта к объекту в момент времени t:
. (2.5)
Иными словами, угрозу вычислительной системе можно определить как упорядоченное
множество преобразований (информационных воздействий) субъекта над объектом.
При этом данные воздействия не являются разрешенными с точки зрения
корректности функционирования системы. В таком случае любая угроза формально
представляет собой некоторое конечное множество информационных воздействий.
Существуют следующие классы угроз [54]:
* угроза раскрытия;
* угроза целостности;
* угроза отказа в обслуживании.
Угроза раскрытия заключается в том, что обрабатываемая системой информация
становится известной пользователю, который не авторизован для этого. Используя
термины компьютерной безопасности, можно утверждать, что угроза раскрытия имеет
место всякий раз, когда получен несанкционированный доступ к некоторой
секретной информации, хранящейся в вычислительной системе или передаваемой от
одной системы к другой.
Угроза целостности включает в себя любое несанкционированное изменение
информации, хранящейся в вычислительной системе или передаваемой из одной
системы в другую. Целостность также будет нарушена, если к несанкционированному
изменению приводит случайная ошибка в информационной системе, обусловленная
ошибками, допущенными на этапе проектирования или во время функционирования.
Санкционированными изменениями являются те, которые сделаны определенными
лицами с обоснованной целью.
Угроза отказа в обслуживании возникает всякий раз, когда в результате
преднамеренных или непреднамеренных действий, предпринятых другим
пользователем, блокируется доступ к некоторому ресурсу вычислительной системы.
Блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не
был получен, или оно может вызвать только задержку запрашиваемого ресурса,
достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят,
что ресурс исчерпан.
В общем случае средством ЗСП следует называть любой программно-аппаратный
комплекс, предназначенный для контроля и управления доступом субъектов к
объектам [55].
Для исследования и формализации средств ЗСП предлагается использовать метод
декомпозиции задач большой размерности [56], позволяющий заменить решение одной
большой задачи решением серии меньших задач, гарантируя при этом адекватность
конечных результатов. В таком случае к общей задаче защиты сети можно применить
методы декомпозиции с целью представления системы защиты в виде нескольких
стратифицированных уровней, что обеспечит возможность, с одной стороны,
исследовать отдельные страты, а с другой – учитывать общесистемные
особенности.
Метод декомпозиции предусматривает выделение из общей функциональной структуры
относительно самостоятельных элементов, которые обладают определённым набором
уникальных свойств и реализуемых функций, а также общих системообразующих
свойств, позволяющих говорить о них как о конструктивных элементах. При
дальнейшей декомпозиции эти элементы теряют свои уникальные свойства и уже не
являются конструктивными элементами для заданного класса систем. Этот уровень
считается минимальным уровнем декомпозиции систем заданного класса. Вышестоящим
уровнем является подсистема, представ
- Киев+380960830922