Защита от нарушения конфиденциальности обрабатываемой информации.

Рассмотрим модель резервирования по угрозам атак при решении задачи структурного резервирования компонентов ИС с целью защиты от нарушения конфиденциальности обрабатываемой информации. Опять же для наглядности (для простоты представления) предположим, что каждый из R компонентов И С (резервируемых и резервирующих) подвержен только одной угрозе атаки.

Если угрозы атак для всех зарезервированных компонентов системы различны (независимы) и характеризуются P0vr, г = 1,..., R — вероятностью того, что ИС, содержащая в своем составе R компонентов, готова к безопасной эксплуатации в отношении потенциально возможной атаки, то для реализации успешной атаки на ИС с целью нарушения конфиденциальности обрабатываемой в ней информации потенциальному нарушителю достаточно реализации успешной атаки на любой из R компонентов ИС (реализации любой из R угроз атак), поскольку в этом случае конфиденциальность обрабатываемой информации будет утеряна.

В результате сказанного получаем орграф угроз атак (рис. 9.6, а), взвешенными вершинами которого выступают вершины угроз атак на компоненты системы, и соответствующую ему схему резервирования, но уже последовательного резервирования угроз атак (рис. 9.6, б).

а

Рис. 9.6. Модель резервирования по угрозам атак при защите от нарушения конфиденциальности информации:

а — орграф угроз атак; б — схема последовательного резервирования

Обратим внимание на принципиальное отличие угрозы отказа безопасности вычислительного кластера в части нарушения доступности и конфиденциальности обрабатываемой в нем информации, что показано на рис. 2.2 и 9.6. Для нарушения доступности обрабатываемой информации должны быть реализованы успешные атаки на все компоненты И С, для нарушения же конфиденциальности обрабатываемой информации достаточно реализации успешной атаки на любой один из компонентов ИС.

Утверждение. Защита от нарушения конфиденциальности обрабатываемой информации посредством резервирования компонентов ИС принципиально невозможна.

Доказательство. Пусть каждый из V компонентов ИС, реализованной на основе ВК (резервируемых и резервирующих компонентов), с номерами v = 1,..., V, может быть охарактеризован соответствующей вероятностью того, что ИС готова к безопасной эксплуатации в отношении соответствующих угроз атак, образующих угрозу безопасности компонента ИС P0v:)r.

Если все угрозы атак для V компонентов системы зависимы (полностью совпадают, используются идентичные технические средства для структурного резервирования компонентов), с учетом того, что для нарушения конфиденциальности обрабатываемой информации достаточно осуществить успешную атаку на любой из V компонентов системы, вероятность того, что ИС готова к безопасной эксплуатации в отношении угроз атак, направленных на нарушение конфиденциальности информации, Р0 , исходя из того, что Роуэг-1 = poy3v-2 = - = Р0Уэи-у = Р0Уэиля наглядности предполагаем, что каждый компонент системы подвержен только одной угрозе атаки), может быть определена следующим образом:

Если все угрозы атак на V компонентов системы независимы (различны), при этом для нарушения конфиденциальности информации достаточно осуществить успешную атаку на любой из V компонентов, соответствующая характеристика безопасности ИС при реализации в ней структурного резервирования P0vaV уже определяется так:

что соответствует схеме последовательного резервирования угроз атак, приведенной на рис. 9.6, б.

Утверждение. Структурное резервирование компонентов ИС, реализуемое при построении безопасной отказоустойчивой ИС, не приводит к ухудшению характеристики конфиденциальности обрабатываемой информации в том случае, когда резервируемые и резервирующие компоненты ИС идентичны — подвержены одним и тем же угрозам атак.

Доказательство. Доказательство следует из доказательства предыдущего утверждения.

Сказанное позволяет сформулировать требование к построению безопасной отказоустойчивой ИС в отношении угроз атак, направленных на нарушение конфиденциальности обрабатываемой информации.

Требование. При построении безопасной отказоустойчивой ИС в отношении угроз атак, направленных на нарушение конфиденциальности обрабатываемой информации, в качестве резервируемого и резервирующего компонентов должны использоваться идентичные технические (программно-аппаратные) средства, характеризуемые одинаковыми для них угрозами атак, что не приведет к ухудшению характеристики конфиденциальности обрабатываемой информации при повышении надежности функционирования системы.

С учетом всего сказанного можем сделать следующие выводы о возникающих противоречиях при построении отказоустойчивой безопасной ИС.

Выводы

  • 1. Использование при решении задачи структурного резервирования в ИС идентичных резервируемых и резервирующих компонентов не сказывается на характеристиках безопасности ИС — при этом может быть повышена надежность ее функционирования.
  • 2. Использование при решении задачи структурного резервирования в ИС различных резервируемых и резервирующих компонентов при повышении надежности функционирования ИС обеспечивает улучшение характеристики безопасности «доступность обрабатываемой информации», при одновременном ухудшении характеристики безопасности «конфиденциальность обрабатываемой информации».
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >