2015-04-12
469
При организации информационного взаимодействия систем возникает проблема каскадирования риска.
Суть: пусть в одной из систем (А) обрабатывается секретная и совершенно секретная информация, а в другой системе (В) несекретная и секретная. Тогда при взаимодействии А и В возможно понижение грифа секретности – это НСД - при выполнении шагов:
1) понижение грифа совершенно секретной информации путём её преобразования в секретную в системе А;
2) прямая передача информации из системы А в В, что допустимо так как А и В допускают обработку общей секретной информации;
3) понижение грифа секретной информации, путём её прямого или скрытого преобразования в несекретную информацию.
Способ понижения уровня секретности разделяемых объектов может состоять в использовании скрытых каналов при дискреционной политике безопасности (ПБ).
Рассмотрим систему из нескольких сегментов, обрабатывающую информацию различного уровня доступа.
Для такой системы условие исключения угроз каскадирования формируется так: определяется область локализации, как пара чисел R= (H, S), где H – сегмент безопасности; а S – максимальный уровень секретности для сегмента Н.
|
|
|
Определим информационный поток (однонаправленный), как упорядоченную последовательность областей локализации от R1 Rn такую, что для каждой смежной пары Ri, Ri+1 имеет место Hi=Hi+1 обработка информации в пределах сегмента или Si=Si+1 (передача информации из сегмента Hi в сегмент Hi+1).
Каскадирование риска не возникает, если для любого потока Ri, Ri+1,…Rj между каждой парой сегмента существует переход вида:
Rk, Rk+1, где(i<k<j)
Для которого Hk=Hk+1, Sk≥Sk+1, а класс защищённости сегмента Hk доминирует, как минимальный класс защищённости для сегментов, образующих данный поток. Простейшим способом борьбы угрозы с каскадированием является администрирование ограниченных информационных потоков между сегментами таким образом, чтобы решётки ценности (множество грифов категорий секретности) не пересекались друг с другом, либо решётка ценности одного сегмента являлась собственным подмножеством решётки ценности другого сегмента.
Иногда метод каскадирования решёток не может быть применен к системам с различной ПБ, для таких систем надёжная защита достигается шлюзами безопасности, которые находятся на границе сегментов и контролируемые потоки между ними. Алгоритм контроля определяется степенью надёжности IT внутри сопрягаемых объектов.
Рассмотрим вопрос оценки защищённости сегментированной системы на основе шлюза безопасности. Для этого каждый IT-компонент будем характерезировать следующими параметрами:
|
|
|
Ai – интенсивность прямого воздействия на компонент.
Pi – вероятность успешной атаки, обусловленная уровнем доверия безопасности.
Уровень защищённости компонента без учёта окружающих компонентов можно характеризовать интенсивностью локально реализованных атак:
Ii=Ai*Pi
Для оценки уровня защищённости компонента с учётом окружения используется матрица T.
Если успешная атака на Si приводит к появлению направленной атаки в соотношении Sj, то Tij=1, Tij=0.
Суммарный входной поток атак компонента Si без учёта влияния успешно выполненных атак определяющихся соотношением:
∑Ai=Ai+ 
Для упрощения анализа, который имеет количественный характер, будем полагать, что каждый компонент системы воздействует на k других компонентов и подвергается воздействию со стороны k-компонентов.
Такая структура системы характеризуется полной симметрией и отсутствием узких мест в системе защиты информации.
Все компоненты характеризуются одинаковыми значениями Pi=P0, и Ai=A0, в результате чего обеспечен баланс угроз, то есть для каждого компонента суммарный поток атак равен суммарному выходному потоку атак, воздействующих на другие компоненты.
Интенсивность потока атак с учётом влияния других компонентов, определяется как:
A=A0+PKA, где
PKA – риск каскадных атак
Критерий, согласно которому система защищена, если для всех компонентов имеет место:
Ii=(Ai*P)≤A0
При этом каждый скомпрометированный компонент не превысит среднего потока атак на другие компоненты.
Для большинства атак k=N и требования к уровню защищённости компонентов определяется общим количеством их в системе:
Оценка P для системы из двух сегментов:
, где
N1 – количество компонентов внешних сегментов.
Pшл – вероятность успешной атаки.
