Вероятностные модели

Модели разграничения доступа, использующие принципы теории вероятности, исследуют вероятность преодоления системы защиты за оп­ределённое время t. К достоинствам модели данного типа можно отнести числовую оценку стойкости системы защиты. Недостатком является то, что изначально предполагается, что система может быть преодолена. Ос­новная задача для таких моделей - это минимизация вероятности преодо­ления системы защиты.

6.4.1. Игровая модель

Первая из вероятностных моделей - это игровая модель. Игровая модель системы защиты строится по следующему принципу:

Разработчик создаёт первоначальный вариант системы защиты. По­сле этого злоумышленник начинает его преодолевать. Если в момент вре­мени Т, в который злоумышленник преодолел систему защиты, и у разра­ботчика нет нового варианта системы защиты, то считается, что система защиты преодолена. Если нет, то процесс продолжается.

Считается, что данная модель описывает процесс эволюции системы защиты в течение некоторого времени.

6.4.2. Модель с полным перекрытием

Вторая модель - это модель системы безопасности с полным пере­крытием. В данном варианте модели декларируется то, что система, ис­пользующая данную модель, должна иметь, по крайней мере, одно сред­ство для обеспечения безопасности на каждом возможном пути проникно­вения в систему. В общих чертах её можно изобразить следующим обра­зом (рис. 5):

Рис.5

В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения эффек­тивности, и их вклад в обеспечение безопасности во всей вычислительной системе. Считается, что несанкционированный доступ к каждому из набо­ра защищаемых объектов О сопряжён с некоторой величиной ущерба, и этот ущерб может быть определён количественно. С каждым объектом, требующим защиты, связывается некоторое множество действий, к кото­рому может прибегнуть злоумышленник для получения несанкциониро­ванного доступа к объекту. При этом можно попытаться перечислить все потенциально злоумышленные действия и, тем самым, сформировать на­бор угроз Т, который направлен на выявление угроз безопасности. В этом случае основной характеристикой набора угроз является вероятность про­ведения каждого из злоумышленных действий. Естественно, что в жизни данные вычисления могут быть произведены с ограниченной степенью точности.

Oi

o₂

Оз 0₄

множество угроз Т множество объектов О

Рис. 6. Двудольный граф «Объект-угроза»

Одна угроза может действовать на несколько объектов. Цель защиты состоит в том, чтобы перекрыть каждое ребро графа. Получив такой граф, можно говорить о том, что существуют рёбра <Тф>. Создадим третий набор, включающий средства безопасности М. Идеальным случаем явля­ется тот, когда для каждого Мк из множества М устраняется некоторое ребро <Тф> из данного графа. Получается, что набор М средств обеспе­чения безопасности преобразует двудольный граф в трёхдольный, и тогда существуют рёбра вида <T₁Mk.><M_kO_J>. если в системе остается ребро <TiOj>, то в ней существует незащищенный объект.

Нужно помнить о том, что одно и то же средство обеспечения безо­пасности может перекрывать более одной угрозы и/или защищать более одного объекта. Более того, отсутствие ребра <Тф> не гарантирует пол­ного обеспечения безопасности.

Oi

о₂

Оз

о₄

Рис.7

По результатам рассмотрения вероятностных моделей, можно ска­зать следующее. Данные модели не специфицируют непосредственно ме­ханизмы защиты информации и могут использоваться только в сочетании с другими типами моделей системы защиты информации. Вероятностные модели позволяют численно получить оценку степени надёжности систе­мы защиты информации. Более того, они могут численно оценить вероят-

ность преодоления системы безопасности, а также оценить степень ущер­ба при преодолении системы защиты.

К достоинствам данных моделей можно отнести то, что при их ис­пользовании можно минимизировать затраты на внедрение элементов системы защиты информации за счёт того, что можно оценить вероят­ность наступления той или иной угрозы и принять решение о применении того или иного средства защиты информации.