Содержание к диссертации
Введение
1.1 Проблема повышения производительности защищенных автоматизированных систем обработки информации 14
1.1.1 Задача оценки производительности защищенных систем... 14
1.1.2 Индексы производительности систем 15
1.1.3 Подходы к реализации измерителей производительности... 17
1.1.4 Существующие методики оценки производительности систем 19
1.1.5 Аспекты имитационного моделирования АСОИ 26
1.2 Проблема информационной безопасности автоматизированных систем 27
1.2.1 Классификация угроз безопасности автоматизированных систем 33
1.2.2 Стандарты информационной безопасности 35
1.3 Построение защищенных автоматизированных систем обработки информации 41
1.3.1 Основные принципы построения защищенных
автоматизированных систем обработки информации 41
1.3.2 Состав и характеристики МЗ АСОИ 45
1.3.3 Механизмы защиты операционной системы Linux 51
1.3.4 Механизмы защиты операционной системы Windows 2000. 54 " 1.3.5 Типовая архитектура защищенной автоматизированной системы обработки информации 59
1.4 Постановка задачи повышения производительности защищенной автоматизированной системы обработки информации 65
Выводы по разделу 1 68
2 Методический аппарат повышения производительности защищенных автоматизированной систем обработки информации 70
2.1 Структура методического аппарата 70
2.2 Вероятностная модель оценки эффективности защиты информации автоматизированной системы обработки информации от несанкционированного доступа 73
2.3 Методика оценки эффективности защиты информации автоматизированной системы обработки информации от несанкционированного доступа 84
2.4 Модель оценки производительности защищенной автоматизированной системы обработки информации 101
2.5 Методика оценки производительности защищенной автоматизированной системы обработки информации 113
2.6 Методика повышения производительности защищенной автоматизированной системы обработки информации 116
Выводы по разделу 2 121
3 Защищенная АСОИ «Командор» 123
3.1 Назначение и область применения АСОИ 123
3.2 Состав АСОИ 124
3.3 Структура АСОИ 124
3.4 Программное обеспечение АСОИ «Командор» 129
3.5 Техническое обеспечение АСОИ «Командор» 132
3.6 Разработка концептуальных моделей АСОИ «Командор» 133
Выводы по разделу 3 147
4 Апробация методического аппарата повышения производительности на примере защищенной АСОИ «Командор» 148
4.1 Исходные данные для расчета 148
4.2 Расчет контура реализации задачи АСОИ 159
4.3 Оценка производительности АСОИ и эффективности защиты информации при помощи имитационных моделей 171
Выводы по разделу 4 181
Заключение 182
Перечень сокращений 184
Список литературы 186
- Аспекты имитационного моделирования АСОИ
- Постановка задачи повышения производительности защищенной автоматизированной системы обработки информации
- Модель оценки производительности защищенной автоматизированной системы обработки информации
- Разработка концептуальных моделей АСОИ «Командор»
Введение к работе
Производительность является одним из важнейших критериев оценки автоматизированных систем обработки информации (АСОИ). Зачастую производительность определяет возможность применения АСОИ и непосредственным образом влияет на ее эффективность. Особое значение этот вопрос приобретает для целого ряда специализированных АСОИ, построенных на основе крупных компьютерных сетей, отличающихся высокой интенсивностью информационных потоков, значительными объемами обрабатываемой и передаваемой информации, сложностью аппаратных средств, общего и специального программного обеспечения и повышенными требованиями по производительности. К таким АСОИ можно отнести системы реального времени, тренажерные системы, системы автоматизации деятельности предприятий, служб и подразделений, имитационного моделирования разного рода военных конфликтов, боевых действий, операций и т.д.
В связи с этим задача повышения производительности АСОИ является актуальной. Разработка и последующая эксплуатация АСОИ сопровождается решением проблем, тесно связанных с оценкой производительности, например, конфигурация системы, учет и оценка ее стоимости, администрирование, краткосрочное и долгосрочное планирование обслуживания, развития и модернизации. Как показывает практика, для большинства разработчиков и пользователей, занятых эксплуатацией и развитием АСОИ возникает задача совершенствования (развития, модернизации), решение которой позволило бы обеспечить максимальный рост производительности при минимальных затратах.
Другим важным критерием оценки АСОИ является информационная безопасность. Использование продуктов информационных технологий в специфических областях человеческой деятельности обусловливает особое значение этого критерия. Важность и актуальность проблемы информацион-
ной безопасности подчеркивается множеством работ по этой теме, а также тем фактом, что в основных развитых странах деятельность в этой области лицензируется, разработанные изделия подлежат сертификации, а на государственном уровне приняты документы, определяющие требования к подобным разработкам.
Аспекты имитационного моделирования АСОИ
Построение имитационной модели АСОИ и проведение эксперимента сопровождается решением следующие специфических вопросов:
- выбор детальности модели;
- определение гибкости модели;
- выбор языка имитационного моделирования;
- построение структуры модели;
- определение переменных модели;
- планирование экспериментов.
Выбор степени детальности модели является важной проблемой. Область применения модели зависит от степени ее детализации. Использование имитационных моделей в итерационных процедурах требуют определенного времени, зависящего от производительности комплекса имитационного моделирования. Таким образом, степень детальности имитационной модели должна обеспечить соответствие требований исследования затратам на имитационное моделирование. Широко распространенным индексом степени детальности имитационных моделей является отношение реального времени к времени модели.
Гибкость модели выражается способностью ее адаптации к изменениям, которых требует процесс калибровки, а также к изменениям, отражающим модификации анализируемой системы.
Выбор языка имитационного моделирования, на котором будет реализована модель, определяет затраты на ее разработку, время программирования и отладки, время выполнения, легкость интерпретации, простоту переноса на другую систему и затраты сопровождения.
Структура имитационной модели должна соответствовать концептуальной модели анализируемой системы. Непосредственная реализация модели зависит от выбранного языка имитационного моделирования. Выходные переменные модели должны соответствовать первичным и вторичным индексам производительности, выбранным для данного исследования. Входные и внутренние переменные выбираются в соответствии со степенью детальности различных частей модели, с ожидаемыми изменениями и доступными данными.
Планированию экспериментов, которые будут проведены при помощи данной модели, уделяется внимание еще при построении модели. В частности, модель должна быть позволять накапливать данные во время ее прогонов. Несмотря на то, что эксперименты требуют определенных затрат вычислительных ресурсов системы, на которой они выполняются, системы имитационного моделирования как правило позволяют устранить большинство искажений в моделируемом времени.
Сущность и основные положения автоматизации организационного управления [27], реализуемые в современных АСОИ, предполагают разработку и поддержку в составе АСОИ средств обеспечения безопасности информации. При этом под информационной безопасностью (защищенностью) АС понимается такое состояние автоматизированной системы, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз на требуемом уровновременные подходы к защите информации в АСОИ требуют обеспечения, как минимум, трех свойств информации в защищенной системе: конфиденциальности, целостности, доступности [28].
Конфиденциальность информации - характеристика информации, определяющая наличие ограничений на совокупность субъектов, имеющих доступ к данной информации и обеспечиваемая способностью системы сохра 28 нять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней.
Целостность информации - существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
Постановка задачи повышения производительности защищенной автоматизированной системы обработки информации
Рассмотрение структуры типовой защищенной АСОИ приводит к выводу о модульном построении системы. Одним из средств обеспечения информационной безопасности АСОИ является СЗИ от НСД, состоящая из ряда механизмов защиты, задачей каждого из которых является противодействие угрозам информационной безопасности соответствующего типа.
МЗ представляет собой функциональный блок (подсистему) защищенной АСОИ и обладает собственными параметрами. Учитывая высокую степень интеграции МЗ и КСА, повышение производительности системы может быть достигнуто посредством ее структурной и параметрической конфигурации, приводящей к сокращению системных ресурсов, выделяемых на функционирование МЗ. Учитывая происходящее при этом снижение эффективности защиты информации от НСД, значение которой задается техническим заданием на разработку АСОИ, возникает задача выбора рациональной структуры и параметрической настройки защищенной системы, обеспечивающей максимальную производительность при выполнении заданного требования.
Анализ существующих методик оценки производительности вычислительных систем позволяет сделать вывод о необходимости их дополнительной доработки и детализации с целью учета структурных и функциональных особенностей защищенных АСОИ. Обязательным условием оценки производительности таких систем является декомпозиция автоматизированных задач и построения контуров их реализации с учетом функционирования МЗ.
Рассмотрение классического и формального подходов к оценке эффективности средств защиты показало, что существующие методики базируются, в основном, на качественных мерах оценки защищенности и малопригодны для использования в аналитических методах. Методики количественной оценки эффективности защиты информации недостаточно проработаны и не позволяют учитывать влияние надежности аппаратных средств и специального программного обеспечения на интегральную эффективность защиты информации в системе. Проведенный анализ современных защищенных АСОИ позволил выявить общую тенденцию роста сложности аппаратного и программного обеспечения АСОИ, важное значение оценки производительности и эффективности защиты информации и, как следствие, возрастающую актуальность задачи повышения производительности защищенных АСОИ с учетом требований по эффективности защиты информации от НС Д.
Указанная задача может быть решена посредством структурной и параметрической реконфигурации (перенастройки) защищенной АСОИ. Параметрическая реконфигурация заключается в выборе параметров (настроек, режима) функционирования средств защиты. Изменение структуры защищенной АСОИ достигается посредством изменения перечня МЗ, реализующих соответствующие защитные функции. В процессе структурного изменения защищенной АСОИ могут быть задействованы дополнительные или альтернативные МЗ, присутствующие в ее составе, но до этого не функционирующие.
Таким образом, научно-методический аппарат повышения производительности защищенных АСОИ должен реализовывать следующие основные функции:
- количественную оценку производительности защищенных АСОИ;
- количественную оценку эффективности защиты информации АСОИ от НСД;
- выбор рациональной структуры и параметрической конфигурации
защищенной АСОИ.
С учетом вышеизложенного, для формализованной постановки научной задачи примем следующие исходные данные:
- F={fi, f2,..., fn} - функции защищенной АСОИ;
- S={Sj, S2,..., Sk} - возможные МЗ;
- L={lb 12,..., 1р} - способы совмещения МЗ; - P = {{Plb Pl2, Pli}, {Р2Ь P22, ... P2j}, ..-, {Pkb Pk2, Pkn}} - ВОЗМОЖ-НЬїе параметрические конфигурации (профили) МЗ;
- Z={zb z2,..., Zk} - показатели эффективности МЗ АСОИ;
- С={сь С2, ..., Ск} -показатели производительности МЗ АСОИ. Производительность защищенной АСОИ зависит от выполняемых функций, перечня функционирующих механизмов защиты, способов их совмещения и параметрической конфигурации: С = (F, S, L, Р). Тогда математическая постановка задачи повышения производительности защищенной АСОИ в общем случае может быть представлена в следующем виде: найти max F , S , L , Р ), при F eF, S GS, L GL, P ЄР, при условии Z ZR, где: ZJX - заданная эффективность защиты информации АСОИ от НСД. То есть, требуется выбрать совместимые МЗ АСОИ и выполнить их параметрическую настройку с целью обеспечения максимальной производительности защищенной АСОИ, а также выполнения требования по эффективности защиты информации. Выводы по разделу 1 По разделу 1 можно сделать следующие выводы: 1) необходимость обеспечения законного использования информационных ресурсов обусловливает применение средств защиты информации в компьютерных системах; 2) реализация функций защиты информации приводит к снижению производительности АСОИ, обусловленному выделением системных ресурсов на функционирование механизмов защиты; 3) повышение производительности защищенной АСОИ может быть достигнуто посредством перераспределения системных ресурсов, обеспечивающих функционирование механизмов защиты с учетом требований по эффективности защиты информации от несанкционированного доступа посредством структурной и параметрической конфигурации АСОИ; 4) наиболее распространенные подходы к оценке эффективности средств защиты носят, в основном, качественный характер и малопригодны для использования в аналитических методах моделирования и оптимизации. Известные подходы, позволяющие выполнять количественную оценку эффективности защиты, как правило, не учитывают влияние надежности аппаратуры и специального программного обеспечения средств защиты на интегральную эффективность защиты информации от НСД, что ограничивает их применение;
Модель оценки производительности защищенной автоматизированной системы обработки информации
Рассмотрение существующих подходов к оценке производительности компьютерных систем показало, что наибольшее распространение при оценке производительности получили модели с очередями [1]. Применительно к защищенным АСОИ, основными компонентами модели оценки производительности являются:
- механизмы защиты;
- очереди системных запросов на обработку;
- источники (генераторы) запросов.
Запросы на обработку генерируются источниками (генераторами) запросов. Запросы, поступающие в момент, когда МЗ занят, не могут быть немедленно обработаны и перенаправляются в очередь (буферизуются). Обработка запросов занимает определенное время.
Важнейшими характеристиками генератора запросов являются:
- его тип, конечный или бесконечный;
- распределение интервалов между отдельными генерациями запросов (времена между поступлениями).
МЗ характеризуется:
- емкостью очереди (буфера, списка);
- временем обработки;
- дисциплина обслуживания, которая определяет порядок выборки запросов из очереди (буфера).
Рассмотрим модель функционирования МЗ, изображенную на рис. 2.10. Когда системный запрос полностью обработан МЗ, он покидает модель. Следующий запрос поступает в МЗ и обрабатывается им. Если очередь пуста, МЗ простаивает до следующего поступления запроса. Дисциплина обслуживания в этой модели является непрерываемой. Каждый запрос обрабатывается полностью, после чего покидает модель.
Рассмотренная модель позволяет определять наиболее распространенные индексы производительности системы (время ответа, время прохождения, пропускная способность, факторы использования).
Требование аналитической разрешимости модели накладывает ряд дополнительных ограничений. Одно из них состоит во взаимной независимости времен между моментами появлений и временами обработки для всех МЗ.
Согласно [1] процесс поступления запросов на обработку достаточно близок к пуассоновскому. В пуассоновском процессе число па событий поступления в течение интервала х имеет распределение: где X - средняя интенсивность поступления. Согласно [5], пуассонов-ский процесс характеризуется экспоненциально распределенными временами между событиями поступления:
F(x) = V{tint х)=\-Гх\ (х 0) (2 53)
Показательное распределение является единственным непрерывным распределением, обладающим свойством независимости от прошлого, что значительно облегчает анализ данной модели. Если распределение времен обработки запросов является показательным, то модель значительно легче решается аналитически, чем в случае какого-либо другого распределения времени обслуживания [1].
Как правило, МЗ обрабатывают запросы в порядке их поступления (FIFO). Учитывая, что времена поступления запросов и их обработки МЗ распределены показательно, средний промежуток между поступлениями равен —, а среднее время обслуживания . Таким образом, X - средняя интенсивность поступлений, а ц. - средняя производительность обслуживания. В таком случае, согласно [5] эта модель является простейшей моделью М/М/1.
Состояние данной модели описывается числом запросов N, ожидающих в очереди, включая обрабатываемый запрос. Таким образом, модель находится в состоянии 7/V(N = 0,l...), если она содержитNзапросов.
Событиями, которые могут изменить состояние модели, являются поступление и уход запросов. Согласно [5], вероятностью того, что одновременно произойдут два таких события, можно пренебречь. Рассмотрим интервал времени (t,t + h), где h настолько мало, что вероятностью того, что в данный интервал времени произойдет более одного события, можно пренебречь. Если никакого события не произойдет, система не изменит своего состояния. Если произойдет уход, т.е. завершение обработки запроса, система перейдет в соседнее состояние. Вероятность появления запроса в (t,t + h) равна Xh и не зависит от истории процесса из-за свойства независимости от прошлого. Аналогично вероятность ухода (окончания обработки) в {t,t + h) равна///г.
Разработка концептуальных моделей АСОИ «Командор»
Сложность аппаратных и программных средств ПТФК АСОИ «Командор» обусловливает использование моделей и методов имитационного моделирования для оценки функциональных характеристик системы. Для реализации системного подхода к решению проблемы обеспечения информационной безопасности АСОИ необходимо комплексное использование методов моделирования систем и процессов защиты информации. Целями такого моделирования являются поиск оптимальных решений управления МЗ, оценки эффективности использования средств и методов защиты и т.п. Как правило, непосредственной реализации имитационных моделей (ИМ) предшествует разработка концептуальных моделей. Концептуальные модели определяют общую структуру ИМ и, в общем случае, не зависят от конкретного языка и системы имитационного моделирования.
В данном подразделе диссертации будут разработаны концептуальные модели оценки функциональных характеристик АСОИ «Командор». Реализация имитационных моделей выполнена в разделе 4.
Модель представляет логическое или математическое описание компонентов и функций, отображающих существенные свойства моделируемого объекта или процесса.
Моделирование системы заключается в построении некоторого ее образца, адекватного с точностью до целей моделирования исследуемой системы, и получения с помощью построенной модели необходимых характеристик реальной системы.
С целью реализации комплексного подхода к моделированию АСОИ рассмотрим пример построения имитационной модели защищенной системы.
Учитывая схожесть рассмотренных в разделе 2 диссертации аналитических моделей с моделями систем массового обслуживания (СМО) и тот факт, что при разработке аналитических функционалов использовались методы теории массового обслуживания [5], представляется целесообразным использовать при построении имитационной модели средства моделирования СМО. Таким образом, для моделирования защищенной системы в общем случае необходимы три имитационные модели: МЗ АСОИ, оценки производительности АСОИ и оценки эффективности защиты информации АСОИ от НСД. Разработанные имитационные модели будут использованы в следующем разделе работы для проверки разработанных методик на контрольном примере.
Для описания моделей СМО используются специальные языки и системы имитационного моделирования для ЭВМ. Существуют общецелевые языки, ориентированные на описание широкого класса СМО в различных предметных областях, и специализированные языки, предназначенные для анализа систем определенного типа. Примером общецелевых языков служит широко распространенный язык GPSS (General Purpose Simulation System). Кроме того, на сегодняшний день известно несколько систем имитационного моделирования - GPSS World, System Modeler, AnyLogic.
Как правило, имитационная модель, построенная при помощи подобных систем, состоит из сети блоков, представляющих необходимые действия или задержки транзактов, которые последовательно проходят через блоки. Например, блок GENERATE в системе GPSS World создает новые транзакты, воспроизводя рекуррентный поток заявок с требуемым распределением интервалов между ними. Системы имитационного моделирования предоставляют для разработки моделей ряд функциональных блоков, позволяющих имитировать работу обслуживающих приборов, очередей, создание и уничтожение транзактов, условные ветвления и изменения маршрутов прохождения транзактами блоков модели. Транзакты перемещаются в системных времени и пространстве, переходя от одного блока модели к другому. Транзакты возникают и уничтожаются, могут расщепляться и сливаться. Входя в блок, транзакт вызывает определяемую типом блока подпрограмму, которая обрабатывает соответствующее событие. Далее транзакт в общем случае пытается войти в следующий блок. Продвижение продолжается до тех пор, пока очередной блок не удалит транзакт из модели.