Методы и средства защиты информации от случайных воздействий

В целях защиты АС от случайных воздействий применяются уже известные средства повышения надежности аппаратуры и программного обеспечения КСА, а для защиты информации - средства повышения ее достоверности. Для предотвращения аварийной ситуации применяются специальные меры.

Методы и средства повышения надежности вычислительных систем и достоверности информации в настоящее время достаточно хорошо разработаны. Первые методы и средства косвенным образом помогают существенно сократить влияние случайных воздействий и на информацию.

Проблема надежности АС решается тремя путями:

- повышение надежности деталей и узлов;

- построения надежных систем из менее надежных элементов за счет структурной избыточности (дублирование, утроение элементов, устройств, подсистем и т.п.)

- применение функционального контроля с диагностикой отказа, увеличивающего надежность функционирования системы за счет сокращения времени восстановления отказавшей аппаратуры.

Задачами функционального контроля (ФК) системы являются: своевременное обнаружение неисправностей и программных ошибок, исключение их влияния на дальнейший процесс обработки информации и указание места отказавшего элемента, блока программы с целью последующего быстрого восстановления системы.

Существующие методы функционального контроля вычислительных систем могут быть разделены на программный, аппаратный и комбинированный (сочетание программного с аппаратным).

Различные методы ФК учитывают следующие факторы:

- надежность обнаружения;

- возможность исправления ошибок после сбоев без вмешательства оператора;

- время, затрачиваемое на устранение случайных ошибок;

- количество дополнительного оборудования;

- способы применения: параллельно или с прерыванием обработки
информации;

- влияние контроля на быстродействие вычислительной системы или ее
производительность;

- указание места неисправности с необходимой точностью.

Программный контроль делится на программно-логический, алгорит­мический и тестовый.

Наиболее распространенная форма программно-логического контроля - это двойной счет со сравнением полученных результатов.

Программно-логический контроль позволяет надежно обнаруживать сбои, и для его проведения не требуется дополнительного оборудования. Однако при нем более чем вдвое снижается производительность ЭВМ, не обнаруживаются систематические сбои, нельзя указать место отказа и тем более сбоя, требуется дополнительная емкость памяти для программы вы­числений. Алгоритмический контроль заключается в том, что задача, решенная по какому-либо алгоритму, проверяется повторно по сокращенному алгоритму с достаточной степенью точности. При алгоритмическом контроле производительность ЭВМ выше, в остальном он обладает теми же недостат­ками и, кроме того, имеет ограниченное применение, так как не всегда удает­ся найти для основного алгоритма сокращенный.

Тестовый контроль, как правило, применяется для проверки работоспо­собности комплекса средств автоматизации с помощью испытательных программ.

Тестовый контроль в отличие от программно-логического проверяет не процесс переработки информации, а пребывание КСА или его части в работоспособном состоянии. Кроме того, тестовый контроль не всегда обнаруживает сбои и во время проверки не может решать задачи по рабочей программе.

Аппаратный контроль в отличие от программного может обеспечивать указание о наличии сбоя или неисправности непосредственно в момент его возникновения. Аппаратный контроль в КСА делится на контроль по моду­лю, контроль при дублировании оборудования и контроль при троировании оборудования с использованием мажоритарных элементов.

Контроль по модулю основывается на следующих принципах. Из теории чисел известно, что целое положительное число можно представить в виде сравнения

(считается: А сравнимо с остатком модуля М), которое устанавливает следующее соотношение между числами А, r и М:

, (1)

где А – любое целое контролируемое n-разрядное число

М – модуль или делитель

L – частное

- остаток от деления А на модуль М (контрольный код числа А).

При данном методе контроля каждому контролируемому члену придается еще m дополнительных разрядов, в которые записывается контрольный код, т.е. остаток . Если записать все числа в виде сравнения (1), то после этого их можно будет складывать, перемножать, а результаты записывать в виде подобных сравнений:

Данные выражения означают, что сумма (произведение) чисел сравнима с суммой (произведением) остатков этих чисел по модулю М.

Техническая реализация контроля по модулю заключается в разработке специальных схем, которые в технической литературе получили название «свертки». Эффективность контроля повышается с увеличением модуля. Однако с увеличением М непропорционально возрастает количество дополнительного оборудования и усложняются схемы контроля. Широкое распространение в вычислительных схемах получил контроль по модулю 2.

Дублирование оборудования позволяет путем сравнения выходных сигналов обнаружить отказ аппаратуры. Высокая эффективность такого контроля основывается на том, что вероятность одновременного отказа двух одинаковых элементов оченьмала. Недостатком этого метода является не всегда имеющаяся возможность определить, какой из каналов исправен и поэтому, чтобы процесс функционирования протекал нормально, приходится одновременно в каждом из каналов применять методы контроля, например контроль по модулю.

Троирование оборудования с элементами «голосования» позволяет наряду с увеличением вероятности безотказной работы увеличить и достоверность функционирования с помощью мажоритарных элементов. Данный метод требует увеличения объемов оборудования.

В настоящее время существуют разнообразные методы контроля, имеющие в зависимости от конкретных требований и условий различную степень применяемости. Некоторые из этих методов являются специализированными для определенных типов устройств и систем. Другие – приспособлены для проверки определенных видов операций и применяются в различных типах устройств.

Результат воздействия на информацию зависит от количества ошибок в данный момент или вероятности появления этих ошибок.

Ввод, хранение и обработка информации в КСА осуществляется с помощью кодов чисел и слов по определенному алгоритму. Появление сбоев приводит к тому, что в коде может возникнуть одиночная или групповая ошибка (двукратная, трехкратная и т.д.). Ошибка может считаться одиночной, если она возникла в одном разряде кода числа или слова.

Считая ошибки в каждом разряде кода независимыми, можно определить вероятность появления ошибки i-й кратности при известной вероятности ис­кажения одного разряда двоичного кода. В этом случае ошибки в каждом из разрядов подчиняются биноминальному распределению вероятностей. Вероятность появления однократной ошибки в n-разрядном дво­ичном коде может быть определена из выражения

где q - вероятность появления ошибки в отдельном разряде в течение одной операции.

Вероятность появления двукратной ошибки

Вероятность появления ошибок i-й кратности:

где - интенсивность отказов оборудования, участвующего в передаче и хранении каждого разряда двоичного кода

- длительность одной операции

Однако оценка значения аналитическим путем связана с трудностями, которые зависят от причин, вызывающих сбои. Получение статистического материала о сбоях каждого разряда также является сложным вопросом.

С увеличением кратности ошибки вероятность ее появления уменьшается. Вероятность появления ошибки с кратностью i=4 пренебрежимо мала. Для оценки эффективности аппаратного контроля необ­ходимо знать вероятность обнаружения (пропуска) ошибок различной кратности при выбранном методе контроля. В связи с этим общая вероятность пропуска ошибки

где - вероятность появления ошибки i-й кратности;

- вероятность пропуска ошибки i-й кратности при выбранном методе аппаратного контроля.

Вероятность обнаружения дополняет до единицы вероятность пропуска ошибок, т.е. . Например, вероятность появления двукратной ошибки можно вычислить по формуле:

Вероятность пропуска двукратной ошибки при контроле по модулю 3 вычисляется по формуле:

Способность средств ФК обеспечить своевременно (до начала последующей обработки) обнаружение и блокировку ошибок заданной кратности определяет уровень достоверности контроля обработки информации. Существенную роль для качества ФК играет плотность распределения его средств обнаружения ошибок по всей «площади» контролируемой вычислительной системы, т.е. полнота ее охвата функциональным контролем. В связи с этим при создании вычислительных систем используются следующие показатели качества ФК:

1) время обнаружения и локализации отказов аппаратуры с точностью до съемного элемента

,

где m – число экспериментов

i – номер эксперимента

- время обнаружения отказа в i-м эксперименте

2) полнота контроля функционирования вычислительной системы

где - суммарная интенсивность появления отказов составных частей, охваченных контролем

- суммарная интенсивность отказов всех составных частей вычислительной системы

3) достоверность контроля

 

где - общее число отказов, обнаруженных данной системой ФК;

- общее число отказов проведения ФК при условии появления или искусст­венного введения отказов в каждом опыте.

Одним из основных условий эффективного функционирования автомати­зированной системы является обеспечение требуемого уровня достоверности информации. Под достоверностью информации в АС понимают некоторую функцию вероятности ошибки, т.е. события, заключающегося в том, что реальная информация в системе о некотором параметре не совпадает в пределах заданной точности с истинным значением.

Необходимая достоверность достигается использованием различных ме­тодов, реализация которых требует введения в системы обработки данных информационной, временной или структурной избыточности. Достоверность при обработке данных достигается путем контроля и выявления ошибок в исходных и выводимых данных, их локализации и исправления. Условие по­вышения достоверности - снижение доли ошибок до допустимого уровня. В конкретных АС требуемая достоверность устанавливается с учетом нежела­тельных последствий, к которым может привести возникшая ошибка, и тех затрат, которые необходимы для ее предотвращения.

Методы контроля при обработке информации в АС классифицируют по различным параметрам: по количеству операций, охватываемых контролем, - единичный (одна операция), групповой (группа последовательных опе­раций), комплексный (контролируется, например, процесс сбора данных); по частоте контроля - непрерывный, циклический, периодический, разовый, выборочный, по отклонениям; по времени контроля - до выполнения основ­ных операций, одновременно с ними, в промежутках между основными операциями, после них; по виду оборудования контроля - встроенный, контроль с помощью дополнительных технических средств, безаппаратный; по уровню автоматизации - «ручной», автоматизированный, автоматичес­кий.

Различают системные, программные и аппаратные методы контроля достоверности.

Системные методы включают: оптимизацию структуры обработки; поддержание характеристик оборудования в заданных пределах; повышение культуры обработки; обучение и стимулирование обслуживающего персонала; создание оптимального числа копий и (или) предыстории программ исходных и текущих данных; определение оптимальной величины пакетов данных и скорости первичной обработки, процедур доступа к мас­сивам данных и др.

Программные методы повышения достоверности информации состоят в том, что при составлении процедур обработки данных в них предусматривают дополнительные операции, имеющие математическую или логическую связь с алгоритмом обработки данных. Сравнение результатов этих дополнительных операций с результатами обработки данных позволяет установить с определенной вероятностью наличие или отсутствие ошибок. На основании этого сравнения появляется возможность исправить обнаруженную ошибку.

Аппаратные методы контроля и обнаружения ошибок могут выполнять практически те же функции, что и программные. Аппаратными методами обнаруживают ошибки быстрее и ближе к месту их возникновения, а также ошибки, не доступные для программных методов.

Все перечисленные методы контроля обработки данных базируются на использовании определенной избыточности. При этом различают методы контроля со структурной, временной и информационной избыточностью.

Структурная избыточность требует введения в состав АС дополнительных элементов (резервирование информационных массивов и программных модулей, реализация одних и тех же функций различными программами, схемный контроль в технических средствах АС и т.д.).

Временная избыточность связана с возможностью неоднократного повторения определенного контролируемого этапа обработки данных. Обычно этап обработки повторяют неоднократно и результаты обработки сравнивают между собой. В случае обнаружения ошибки производят исправления и повторяют обработку.

Информационная избыточность может быть естественной и искусственной. Естественная информационная избыточность отражает объективно су­ществующие связи между элементами обработки, наличие которых позволяет судить о достоверности информации. Искусственная информационная избыточность характеризуется введением дополнительных информационных разрядов в цифровое представление обрабатываемых данных и дополнительных операций в процедуре их обработки, имеющих математическую или логическую связь с алгоритмом обработки данных. На основании анализа результатов дополнительных операций и процедур обработки данных, а также дополнительных информационных разрядов выявляются наличие или отсутствие ошибок определенного типа, а также возможности их исправления.

По характеру информации, особенностей алгоритмов системы, а также по задачам, стоящим перед ее адресатами, можно установить следующие зависимости содержания информации от ошибок при ее передаче:

- смысловой объем информации в сообщении уменьшается пропорционально числу искаженных разрядов в кодовой комбинации данного сообщения

- искажения одного или нескольких разрядов приводит почти к полной потере остальной части информации, содержащейся в смысловом отрезке информации в сообщении

Известно, что отказы, сбои в аппаратуре и ошибки в программном обеспе­чении могут привести к нарушению функционирования вычислительной си­стемы и изменению информации на ложную. Анализ принятого в современ­ных автоматизированных системах представления информации в цифровом виде показывает, что на один байт приходится одна буква, цифра или сим­вол. Одно слово может занимать в русском языке от 1 до 20 букв. Каждой букве, цифре и символу присвоены двоичные коды. Таблица кодов составлена так, что пропадание или появление одной единицы в разрядах приводит к изменению одной буквы (символа, цифры) на другую. В этом слу­чае имеет место однократная ошибка, которая относительно легко обнаруживается простыми средствами аппаратного контроля (например, контролем по модулю 2). В случае же появления двукратной ошибки в байте измениться могут два разряда. Контроль по модулю 2 этого не обнаруживает, что уже может привести к незаметному изменению одной буквы на другую. В русском языке существуют слова, которые меняют свой смысл на другой при замене одной буквы на другую. Это и есть модификация информации. При трехкратной ошибке вероятность этого события, естественно, увеличивается. Правда, вероятность появления трехкратной ошибки меньше по сравнению с двукратной, но это слабый аргумент, так как ее величина при большом коли­честве аппаратных средств, интенсивности и накоплении их отказов может быть весьма ощутимой на большом отрезке времени работы вычислительной системы.

Если рассматривать искажение информации (без ее модификации) как разрушение, условием его возникновения может считаться однократная ошиб­ка, несмотря на то, что пропадание одной буквы не всегда ведет к потере информации.

Для возникновения случайной утечки информации при ее обработке в вычислительной системе необходимо, чтобы в результате случайных воздей­ствий был перепутан адрес получателя или в правильный адрес была выдана другая информация, для него не предназначенная. В первом случае, например, заменилась одна из букв другой (модификация), во втором - адресация ячеек памяти ОЗУ, из которого считывалась информация до ее передачи получате­лю (тоже модификация).

Таким образом, утечка информации - это частный случай ее модификации. Следовательно, средства ФК в принципе защищают инфор­мацию от случайных разрушений, модификации и утечки. Рассматривая вероятность появления этих событий при отсутствии ФК, для разрушения информации (какой-то ее части) достаточно однократной ошиб­ки, для модификации и утечки требуются дополнительные условия. Для на­ступления события, выражающегося в случайной распечатке или отображении информации на средствах, не предназначенных для этой цели, необходимо, чтобы из потока ошибок появилась такая, при которой какая-либо команда изменилась на команду «печать» или «отображение», и по санкционированной команде информация была бы взята не по тому адресу из памяти или была направлена не на то техническое средство системы. Возможны и другие си­туации. Для наступления события, выражающегося в модификации инфор­мации, необходимо, чтобы из потока ошибок появилась такая ошибка или группа ошибок, благодаря которым действительная информация изменилась бы на ложную, была бы не обнаружена и подверглась бы дальнейшей обработке.

Вероятность указанных событий зависит от многих факторов, но анализируя относительные условия, можно дать им некоторую сравнительную оценку. Вероятность разрушения информации от случайных воздействий больше, чем ее модификации, а вероятность модификации информации больше вероятности ее утечки. Эта оценка необходима для выработки подхода к функциональному контролю с позиций защиты информации, который выражается в предъявлении к средствам ФК дополнительных требований, выполнение которых может потребовать дополнительных средств. Дополнительные требования заключаются в реализации уменьшения вероятности модификации и утечки информации существующими средствами повышения надежности и достоверности информации. Для выполнения этой задачи применяются специальные системотехнические решения:

- изоляция областей доступа к информации;

- специальная организация работы с данными, хранящимися в памяти вычислительной системы.

Изоляция областей доступа к информации вычислительной системы осуществляется в целях поддержки разграничения санкционированного доступа.

Для исключения несанкционированного обмена между пользователями рекомендуется при проектировании сводить к минимуму число общих для них параметров и характеристик механизма защиты. Несмотря на то что функции операционной системы и системы разрешения доступа перекрываются, система разрешения доступа должна конструироваться как изолированный программный модуль, т.е. защита должна быть отделена от функций управления данными. Выполнение этого принципа позволяет программировать систему разрешения доступа как автономный пакет программ с последующей независимой отладкой и проверкой. Данный пакет программ должен размещаться в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Всякая попытка проникновения со стороны, в том числе операционной системы, должна автоматически фиксироваться, документироваться и отвергаться, если вызов не предусмотрен. Реализация обособленного механизма защиты потребует увеличения объемов па программ. При этом может возникнуть дублирование управляющих и вспомогательных программ, а также необходимость в разработке самостоятельных вызываемых функций.

Информация, содержащаяся в вычислительной системе, может быть по­делена между пользователями, что требует размещения ее в непересекающихся областях, отведенных для хранения. В каждой из этих областей хранится совокупность информационных объектов, подлежащих защите в равной степени. В процессе эксплуатации системы необходимо обеспечить надежное |разграничение доступа информации. Для этой цели, помимо организации доступа с помощью системы паролей, в систему при проектировании закладываются дополнительные меры по изоляции областей доступа, нарушение которых по причине отказов и программных ошибок не приводило бы к несанкционированному доступу к информации. К таким мерам относится организация обращений процессора к памяти через регистр дескриптора, содержимое которого определяет границы доступной в данный момент об­ласти памяти путем задания адресов ее начала и конца. Таким образом, содержимое регистра является описанием (дескриптором) программы, так как она задает расположение объекта в памяти. Благодаря тому, что все обращения к памяти проходят через блок проверки дескрипторов, создается некоторый барьер.

В случае наличия в системе общего поля памяти, которое необходимо для решения поставленных задач, схемы защиты допускают обмен информацией между пользователями. Тогда применяются списковые и ман­датные схемы защиты. В списковых схемах система безопасности снабжается списком всех лиц, имеющих право доступа к информации (для получения права доступа достаточно предъявить свой идентификатор). В мандатных схемах система реализует только один вид мандата, а пользователь должен иметь набор мандатов для доступа к каждому из необходимых ему объектов.

В списковой схеме при каждом обращении просмотр списка повторяется, т.е. доступ сопряжен с процедурой ассоциативного поиска. В мандатных схе­мах пользователь сам решает, какой объект ему нужен, и выбирает необходи­мый мандат или некоторое их количество, из тех, к которым он допущен.

Раздельный подход к защите информации от преднамеренных и случай­ных НСД, предлагаемый в данной работе (концепция защиты изложена ниже), предполагает отнести многие уже известные отдельные специальные техни­ческие решения по защите к средствам защиты от случайных воздействий. К ним можно отнести специальные средства защиты операционной системы и памяти, приведенные выше.

Анализ изложенного позволяет отметить следующие особенности требо­ваний к средствам ФК и повышению достоверности с позиций защиты инфор­мации от НСД:

- определенная целенаправленность мероприятий по ФК и повышению
достоверности, выраженная в увязке технического представления информации
с ее смыслом и содержанием;

- определение зависимости безопасности информации от кратности оши­бок при ее обработке.

Наибольшую опасность представляют многократные ошибки, приводя­щие к модификации самой информации и команд, осуществляющих ее обработку. При этом уровень безопасности информации находится в прямой зависимости от количества одновременно возникающих ошибок. Способ­ность средств функционального контроля к их обнаружению и определяет уровень безопасности информации. Поскольку вероятность появления четырехкратной ошибки относительно мала, то вероятность обнаружения дву- и трехкратных ошибок и будет мерой безопасности информации от от­казов аппаратуры. Сложнее обстоит с программными ошибками, заложен­ными еще на этапе проектирования программного обеспечения.

Анализ приведенных средств ФК и повышения достоверности информа­ции, а также специальных технических решений показывает, что с увеличением количества байтов в слове вероятность его модификации от случайных воздействий уменьшается, так как увеличивается кодовое расстояние по отношению к другим словам, командам, сообщениям. В этом смысле наименее устойчивы короткие слова и особенно цифры. Приведенный метод защиты от переадресации памяти по сути одному адресу присваивает дополнительную специальную процедуру и код, что естественно уменьшает вероятность случайного формирования такой процедуры и обращений по этому адресу других процедур и команд. Поэтому в целях повышения безопасности информации, а следовательно, и надежности вычислительной системы, может быть, следует предусмотреть методы кодирования символов команд и адресов (включая адреса устройств и процессов) на предмет увеличения кодового расстояния между ними и уменьшения вероятности превращения одной команды или адреса в другие, предусмотренные в данной системе для других целей, что позволит не разрабатывать некоторые сложные специальные программы, которые не устраивают причины и условия появления случайных событий, а лишь обнаруживают их, да и то не всегда и в неподходящее время, т.е. когда событие уже произошло и основная задача по его предупреждению не выполнена.

Проблема защиты информации в АС от случайных воздействий достойна отдельных и более глубоких исследований. Пока же на уровне КСА она решается косвенным путем за счет повышения надежности работы аппаратных средств, их резервирования и применения тестирующих программ. Средствами, решающими непосредственно эту задачу, являются лишь средства повышения достоверности информации при ее передаче по каналам связи между удаленными объектами. На объектах автоматизации применяется специальное резервирование информации.