Моделирование угрозы. 
Защита информации: основы теории

Как видим на примерах моделей, представленных на рис. 5.10 и рис. 5.12, б, задача полного преобразования исходной счетной модели в модель с двумя состояниями может быть решена лишь для частного случая — в системе один обслуживающий прибор.

Например, в модели, приведеной на рис. 5.12, б, несколько состояний характеризуют возникновение в системе реальных угроз атак — состояние S_u

и объединенные состояния S_2V S_2V характеризующие присутствие в системе одной реальной угрозы атаки, и объединенное состояние S₂₂, характеризующее одновременное присутствие в системе по крайней мере двух реальных угроз атак.

Рассмотрим, каким образом и при каких условиях можно далее объединить состояния уже в конечной модели с несколькими обслуживающими приборами, чтобы получить в модели только одно состояние, характеризующее отсутствие или присутствие в системе отказа безопасности (по крайней мере одной реальной угрозы атаки).

Обратимся к примеру модели, представленной на рис. 5.10, б, с одним входным потоком случайных событий — один тип заявок на обслуживание, с двумя обслуживающими приборами. Здесь требуется объединить в одно два состояния — и S₂.

С этой целью воспользуемся изложенным ранее общим подходом к моделированию.

Поток, переводящий систему из состояния 5₀ в объединенное состояние (объединяем в одно два состояния — 5, и S₂), имеет интенсивность Р₀X В стационарном режиме данный поток обслуживается за долю времени Р, + Р₂, что позволяет определить интенсивность восстановлений отказов безопасности как.

В итоге получаем искомую модель с двумя состояниями — с состоянием отсутствия и присутствия отказа безопасности (рис. 5.14), для которой интенсивность р определяется рассмотренным способом.

Рис. 5.14. Модель угрозы отказов безопасности системы с одним входным потоком случайных событий возникновения уязвимостей

Сформулируем правило построения подобной модели.

Правило. Конечная (преобразованная) модель с объединенным состоянием с п обслуживающими приборами (п > 1) и одним входным потоком случайных событий преобразуется в модель, содержащую два состояния — отсутствия и наличия отказа безопасности, посредством расчета и использования в преобразованной модели интенсивности обслуживания заявок в объединенном состоянии р по следующей формуле:

где P_i>0 — стационарные вероятности соответствующих состояний в исходной конечной модели с объединенным состоянием.

Рассмотренный подход может использоваться при моделировании как восстанавливаемых, так и невосстанавливаемых систем.

Отметим, что использование данного подхода к преобразованию счетных моделей отчасти (не в полном объеме) позволяет преобразовывать в конечные и так называемые в теории массового обслуживания сетевые модели (СеМО) [4].

Особенность СеМО состоит в том, что заявка, поступающая в систему, имеет несколько фаз обслуживания, причем различные фазы обслуживания реализуются различными приборами (решающими различные задачи обслуживания), при этом обслуженная в одном приборе заявка далее поступает в другой прибор.

Проиллюстрируем сказанное примером, в том числе покажем практическую важность моделирования подобных систем. На практике ошибки программирования (в том числе и создающие уязвимости ИС), исправляются, как правило, за два этапа — сначала разработчики исправляют ошибку, затем система с внесенными изменениями тестируется уже иными сотрудниками (тестировщиками).

Это означает, что в терминах моделирования у нас есть два различных обслуживающих прибора с различными интенсивностями обслуживания заявки. При этом заявка, обслуженная одним прибором, поступает для обслуживания в другой прибор. Будем исходить из того, что все ошибки должны устраняться (заявки обслуживаться) и в системе имеется по одному обслуживающему прибору каждого типа. Счетная модель для данного примера приведена на рис. 5.15, а, преобразованная с использованием представленного выше правила модель — на рис. 5.15, б.

Рис. 5.15. Ограничения на построение корректной конечной сетевой модели.

(СеМО):

а — исходная счетная модель; б — преобразованная модель Для данной модели состояние 5_Ю характеризует наличие в системе i заявок на исправление ошибок, S_2j — наличие в системе j заявок на тестирование исправлений. Для данной исходной счетной модели характерно то, что полностью привести ее к конечной нельзя, поскольку поток интенсивности Р₁₀р, исходящий из состояния 5₁₀, одновременно является потоком, входящим в состояние S_2V Естественно, рассматриваем стационарный режим (р, < р₂).

Исходя из того, что для каждой угрозы уязвимостей может быть построена модель угрозы отказов безопасности в отношении угрозы уязвимостей, представленная на рис. 5.14 (в общем случае, вне зависимости от числа обслуживающих приборов), соответствующим образом могут быть построены и модели угрозы отказов безопасности в отношении угроз атак, которые предполагают использование в модели всех объединенных состояний, кроме исходного. Рассмотрим подобные модели. Прежде всего интерес для нас будут представлять модели, число обслуживающих приборов в которых совпадает с числом типов угроз уязвимостей. При этом каждый прибор устраняет уязвимости только одного соответствующего типа, о чем далее.

Именно такие модели могут быть отнесены к ключевым в теории защиты информации, так как именно они (что обоснуем далее) должны строиться для оценки актуальности угроз атак и угрозы безопасности ИС в целом.

Рис. 5.16. Модель угрозы отказов безопасности в отношении угроз атак с тремя входными потоками уязвимостей Эти модели имеют вполне определенный вид, например для системы с двумя входными потоками случайных событий — с входными потоками уязвимостей двух типов (угрозы уязвимостей двух типов создают угрозу атаки), модель представлена на рис. 4.3, с тремя входными потоками случайных событий — на рис. 5.16.

Замечание. Интенсивности восстановлений р, при построении моделей должны соответствующим образом пересчитываться с учетом числа обслуживающих приборов в системе.

Рассмотрим, как получены данные модели, на примере модели, приведенной на рис. 4.3. Состоянием 5₁₀ в этой модели характеризуется присутствие в системе хотя бы одной уязвимости первого типа, состоянием 5₀₁ — присутствие в системе по крайней мере одной уязвимости второго типа, состоянием 5_П — присутствие в системе по крайней мере по одной уязвимости каждого типа, соответственно, присутствие по крайней мере одной реальной угрозы атаки (для рис. 5.16 присутствие по крайней мере одной реальной угрозы атаки характеризуется состоянием 5₁₂₃) или присутствие в системе отказа безопасности.

Таким образом, требуемая задача моделирования — задача соответствующего объединения состояний в системе, решена — каждым состоянием в модели, кроме начального, характеризуется угроза соответствующего отказа безопасности, в том числе одним состоянием характеризуется и отказ безопасности в отношении угрозы атаки.

Модель, приведенная на рис. 4.3, получена из модели, представленной на рис. 5.12, б, опять же путем соответствующего объединения в ней состояний. В частности, состояние 5_И в этой модели получается объединением состояний 5_И, S_2V 5₁₂, S₂₂ в модели, представленной на рис. 5.12, 6. Несложно показать, что подобное объединение состояний не противоречит сформулированному ранее требованию.

В результате получаем корректные конечные модели, поскольку корректность вероятностного разрежения входных потоков случайных событий обеспечивается каждым соответствующим объединенным состоянием.

Важным является то, что вид подобных моделей фиксирован и определяется исключительно числом входных потоков случайных событий (тииов угроз уязвимостей в ИС), в том числе количество обслуживающих приборов здесь совпадает с числом входных потоков случайных событий, при этом каждым прибором обслуживаются заявки только одного типа.

Замечание. По своему внешнему виду эти модели полностью совпадают с моделями резервируемых восстанавливаемых систем, которые строятся в теории надежности, — при условии, что число обслуживающих приборов совпадает с числом элементов в системе, каждым прибором обслуживается свой элемент (пример такой модели мы рассмотрели ранее).

Теперь рассмотрим случай, когда число обслуживающих приборов в системе меньше числа типов заявок на обслуживание. Для такого случая не получится построить модель, в составе которой все состояния, кроме исходного, будут объединенными. Это обусловливается тем, что в системе не может быть состояния, характеризующего одновременное обслуживание по крайней мере одной заявки каждого типа. Как следствие, событие отказа безопасности не может быть охарактеризовано одним состоянием в модели. Следовательно, события обслуживания заявок различных типов в такой системе зависимы.

Для иллюстрации сказанного рассмотрим предельный случай — в системе только один обслуживающий прибор, который может обслуживать поступающие в систему заявки обоих типов. Модель такой системы представлена на рис. 5.17.

Рис. 5.17. Модель с одним обслуживающим прибором и с двумя состояниями

отказа безопасности

Через 5₁₀ обозначено объединенное состояние присутствия в системе как минимум одной уязвимости первого типа, уязвимости второго типа в системе отсутствуют, одна (один обслуживающий прибор) уязвимость первого типа устраняется. Через 5₀₁ обозначено объединенное состояние присутствия в системе, но крайней мере одной уязвимости второго типа, уязвимости первого типа в системе отсутствуют, одна уязвимость второго типа устраняется. Через S_{ обозначено первое состояние отказа безопасности — объединенное состояние присутствия в системе, но крайней мере одной уязвимости первого типа и по крайней мере одной уязвимости второго типа, уязвимости первого типа по мере их поступления в систему устраняются. Через S*j обозначено второе состояние отказа безопасности — объединенное состояние присутствия в системе, но крайней мере одной уязвимости первого типа и по крайней мере одной уязвимости второго типа, уязвимости второго типа по мере их поступления в систему устраняются. Таким образом, состояние отказа безопасности для данной модели характеризуется двумя состояниями 5/j и 5jj.