Оценка производительности системы защиты информации

При проектировании СЗИ и, соответственно, ЗИС достаточно важно оценить влияние СЗИ на загрузку вычислительного ресурса ИС, т. е. производительность СЗИ. Особенно эта задача актуальна при проектировании СЗИ повышенного уровня защиты, применительно к которым должна реализовываться сложная разграничительная политика доступа субъектов к объектам.

Как ранее говорили, основу ЗИ составляет реализация разграничительной политики доступа субъектов к объектам, предполагающей решение задачи нейтрализации угроз условных технологических уязвимостей при построении систем повышенного уровня защиты.

Актуальность рассматриваемой задачи моделирования обусловливается следующим. При обработке любого запроса доступа субъекта к объекту генерируется множество системных запросов, причем многие из них создаются текущим приложением от лица интерактивного пользователя.

Например, при обработке запроса доступа субъекта к файловому объекту, как показано в работе [ 18], подобные системные запросы исчисляются сотнями, если не тысячами, причем как к файловым объектам, так и к объектам реестра ОС. Такое происходит и при каждом автоматическом сохранении документа. Применительно к этим запросам также должны осуществляться контроль и разграничения прав доступа. Это значит, что один отдельно взятый запрос доступа, генерируемый субъектом к объекту, превращается в необходимость перехвата и анализа системой защиты сотен, а то и тысяч соответствующих (аналогичных по обработке СЗИ) запросов. Если же при этом еще регистрируются события безопасности в журналах аудита, то системой защиты генерируются собственные запросы, связанные с записью протоколируемых событий, которые также должны перехватываться и анализироваться.

Как следствие, учет влияния системы защиты на загрузку вычислительного ресурса ИС становится важным фактором ее проектирования, уже не в части оптимального выбора решаемых ею задач защиты и обеспечения требуемого уровня безопасности, а в части выбора решений по архитектурной организации СЗИ. Например, права доступа субъектов могут располагаться в атрибутах файлов, тогда при доступе к любому файлу их потребуется считывать, могут располагаться в отдельном файле, и тогда они единожды считываются при запуске системы защиты, но в этом случае усложняется их анализ ввиду большого количества анализируемых правил доступа при запросе доступа к каждому файлу, могут записываться непосредственно в файл при реализации контроля доступа к создаваемым файлам и т. д.

Все эти решения существенно различаются по влиянию на загрузку вычислительного ресурса. Как следствие, возникает задача оптимизации по характеристике производительности СЗИ, решение которой требует построения соответствующих математических моделей.

Отметим, что в общем случае под производительностью системы понимается мера мощности, определяющая количество работы, выполняемой системой в единицу времени [5].

Нам же требуется определить производительность СЗИ как меру влияния СЗИ на загрузку вычислительного ресурса ИС в части снижения ее исходной меры мощности.

Покажем, что при моделировании характеристики производительности СЗИ могут использоваться изложенные ранее подходы к моделированию и рассмотренные математические модели, естественно, с иной интерпретацией состояний на графе системы состояний случайного процесса и переходов между состояниями системы.

Опять же при моделировании будем строить марковские модели с дискретными состояниями и непрерывным временем. При этом будем учитывать сформулированные ранее требования к их корректности, применительно к использованию стационарного входного потока случайных событий.

Объектом моделирования в данном случае выступает вычислительный ресурс И С, каждый запрос доступа к которому системы защиты генерируется соответствующим запросом доступа субъекта к объекту. При этом вычислительный ресурс занимается СЗИ для анализа на непротиворечивость запроса доступа и заданной разграничительной политики доступа. Доступ к вычислительному ресурсу запрашивается с интенсивностью X (интенсивность запросов в ИС субъектов к объектам), с интенсивностью р запрос доступа обрабатывается СЗИ.

В качестве входного потока случайных событий, поступающих с интенсивностью X, в данном случае целесообразно принять простейший (стационарный пуассоновский) поток. Это обусловливается тем, что запросы доступа субъектов к объектам не имеют какой-либо регулярности, все зависит от конкретных действий пользователей. Также примем, что обслуживание запросов доступа СЗИ распределено по экспоненциальному закону.

Исходя из всего сказанного ранее, модель системы защиты в отношении контроля и разграничения прав доступа к одному типу объектов, например к объектам файловой системы, будет иметь вид, приведенный на рис. 10.7. Как отмечали ранее, корректная марковская модель в рассматриваемых условиях должна быть счетной (с бесконечным числом состояний).

Рис. 10.7. Модель производительности СЗИ при контроле доступа субъектов.

к объектам одного типа Рассмотрим, исходя из того, что система имеет один вычислительный ресурс, какие состояния используются в этой модели: S₀ — запросы доступа субъектов к объектам отсутствуют — вычислительный ресурс не занимается СЗИ; состояние 5, — в системе появился один запрос доступа, он обрабатывается СЗИ — вычислительный ресурс занят обработкой этого запроса, очередь заявок на обслуживание отсутствует; 5₂ — в системе два запроса доступа субъектов к объектам, один из которых обрабатывается, второй находится в очереди на обслуживание;…, S_k — в системе k запросов доступа субъектов к объектам, один из которых обрабатывается, k — 1 находятся в очереди на обслуживание.

Объединим, по аналогии с тем, как мы это делали ранее, соответствующие состояния системы (система с одним обслуживающим прибором). Получим модель, приведенную па рис. 10.8.

Рис. 10.8. Модель с объединенным состоянием.

Для этой модели легко определить искомые характеристики:

Акцентируем внимание на следующей особенности объекта моделирования и, как следствие, построенной модели. Если параметр р — это параметр СЗИ, то параметр X — это уже соответствующий параметр ИС, определяющий интенсивность запросов доступа субъектов к объектам при решении ими соответствующих задач в системе.

Практически воспользоваться подобной моделью достаточно просто. Для этого потребуется:

• 1) написать достаточно простую программу, непрерывно генерирующую анализируемые запросы доступа;
• 2) используя данную программу, оценить за достаточно продолжительный промежуток времени число обработанных системой запросов без СЗИ и с СЗИ, что позволит рассчитать для обоих случаев среднее время обработки запроса доступа. Величина, обратная разнице этих временных характеристик для рассматриваемых случаев, — это интенсивность обслуживания запроса доступа СЗИ р;
• 3) используя средства аудита событий, оценить интенсивность возникновения в системе анализируемых запросов доступа X для анализируемых режимов функционирования ИС.

Оценив значения требуемых параметров X и р и используя соответствующую модель, уже можно сделать оценку производительности СЗИ.

Видим, что построенная модель — это не что иное, как система массового обслуживания (СМО) М|М|1 (одноканальная система массового обслуживания с бесконечной очередью), которую принято представлять в виде, приведенном на рис. 4.11.

Подобная модель в теории массового обслуживания позволяет определять следующие важные для приложений данной теории характеристики: время ожидания заявок на обслуживание, время пребывания заявок в системе, длину очереди заявок, число заявок в системе (в очереди и на обслуживании), т. е. характеристики эффективности обслуживания поступающих в систему заявок.

Важнейшей характеристикой СМО, определяющей качество функционирования системы, является характеристика нагрузки (нагрузка). Нагрузка р = Ай = А/p представляет собой интегральную оценку, объединяющую два нагрузочных параметра: частоту использования некоторого ресурса (прибора СМО), задаваемую в виде интенсивности, А поступления заявок в СМО, и время использования этого ресурса, задаваемое в виде средней длительности b обслуживания заявок в СМО.

Нагрузка интерпретируется как показатель количества работы, которую необходимо выполнить в системе. Если значение нагрузки р < 1, то заданная нагрузка может быть выполнена одним обслуживающим прибором, т. е. одноканальная СМО будет работать без перегрузки.

Модель, приведенная на рис. 4.11, позволяет следующим образом определить характеристику нагрузки, с учетом того, что стационарная вероятность Р_{ = А/p. Нагрузка — это доля времени нахождения системы в состоянии присутствия в ней, по крайней мере, одной заявки на обслуживание, или, соответственно, это доля времени, в течение которого обслуживающий прибор будет занят. Понятно, что при условии Р, = 1 система никогда не выйдет из этого состояния.

Соответственно, коэффициент простоя системы, определяемый как 1 — р, может быть определен как доля времени, в течение которого обслуживающий прибор будет свободен, т. е. система будет находиться в состоянии 5₀, характеризующем отсутствие в ней заявок на обслуживание.

Соответствующим образом, с использованием той же модели, могут быть определены и иные характеристики СМО. Например, среднее число заявок в системе можно определить следующим образом. Поскольку заявки в системе присутствуют с вероятностью P_v при этом их среднее число при нахождении системы в состоянии 5, составляет р/(р — А), среднее число заявок в системе: Р, р/(р — А), что можно интерпретировать как среднее число обслуживаемых заявок за долю времени Р_{.

Среднюю же длину очереди заявок на обслуживание при нахождении системы в состоянии S_{ можно определить, как [р/(р — А)] - 1, соответственно, как А/(р — А), т. е. интерпретировать как отношение интенсивности поступления в систему заявок на обслуживание к интенсивности обслуживания заявок.

Все сказанное справедливо и для систем с потерями. Модели систем с одним обслуживающим прибором без накопителя и с накопителем, в котором может ожидать в очереди одна заявка на обслуживание, представлены на рис. 10.9. Если использовать символику Д. Кендалла, принятую в теории массового обслуживания, то данные модели соответствуют СМО М|М|1|0 и М|М|1|1 [4].

а 6

Рис. 10.9. Модели с потерями:

а — система без накопителя; б — в памяти может находиться одна заявка на обслуживание Например, стационарная вероятность Р, для модели, приведенной на рис. 10.9, а, определяется следующим образом:

Под производительностью системы в теории массового обслуживания понимается интенсивность потока обслуженных заявок. Применительно к модели, приведенной на рис. 10.9, а, под производительностью системы следует понимать поток заявок, поступающих в систему за долю времени Р₀, в течение которого в системе заявки не обслуживаются, которая определяется как (Р₀ — Р,)А,. Иод интенсивностью потока потерянных (не обслуженных) из-за отсутствия в системе накопителя заявок следует понимать поток заявок, поступающих в систему за долю времени Р, в течение которого в системе обслуживаются заявки, определяемую как Р, А,.

Важной характеристикой системы с потерями является коэффициент (мера) разрежения входного потока случайных событий интенсивности А., реализуемого для исключения из него теряемых событий, образующих поток потерь, определяемый как Р,/Р₀.

Вероятность обслуживания заявки может быть определена как доля потока обслуженных заявок к общему потоку заявок Р₀к/Х = Р₀, т. е. может интерпретироваться как вероятность нахождения системы в состоянии S₀> характеризуемом отсутствием обслуживания заявок, соответственно, вероятность потери заявки — как Р, вероятность нахождения системы в состоянии обслуживания заявки, и т. д.

Вновь обратимся к рис. 10.9. Исходя из тех соображений, что значение вероятности пребывания системы в том или ином состоянии в марковской модели для стационарного режима интерпретируется как доля времени пребывания системы в этом состоянии, может быть следующим образом определено понятие производительности СЗИ.

• Под характеристикой производительности СЗИ будем понимать долю времени пребывания ИС в состоянии занятия вычислительного ресурса СЗИ обработкой запросов доступа субъектов к объектам.

Естественно, производительность СЗИ тем выше, чем доля этого времени меньше, так как тем меньше СЗИ оказывает влияние на загрузку вычислительного ресурса ИС.

С учетом данного определения характеристика производительности СЗИ Р_сзи определяется для модели, приведенной на рис. 10.8, следующим образом: где Р₀ — это стационарная вероятность (доля времени) пребывания системы в состоянии S₀ отсутствия запросов доступа субъектов к объектам (вычислительный ресурс не занимается СЗИ).

Аналогично тому, как это было рассмотрено ранее, могут строиться математические модели СЗИ при реализации ими контроля и разграничения прав доступа к разнородным объектам доступа нескольких типов, характеризуемых различными интенсивностями поступления в систему заявок на обслуживание и их обслуживания, например это объекты файловой системы, объекты реестра ОС, принтеры, сетевые объекты и т. д. Пример подобной модели опять же с одним обслуживающим прибором, в предположении реализации контроля и разграничения нрав доступа к объектам двух типов, приведен на рис. 10.10. При построении модели исходим из того, что заявки из накопителя выбираются в соответствии с бесприоритетной дисциплиной обслуживания FIFO.

Рис. 10.10. Модель производительности СЗИ при контроле доступа субъектов

к объектам двух типов

Для модели, приведенной на рис. 10.10, состояния системы обозначены следующим образом — 5^, где i — количество в системе заявок первого типа, 7 — то же второго типа, d — тип обслуживаемой заявки (первый или второй). Состояние 5J₍₎ характеризует отсутствие запросов доступа субъектов к объектам — вычислительный ресурс не занимается СЗИ.

Как видим, при моделировании характеристики производительности СЗИ могут использоваться изложенные ранее подходы к моделированию и рассмотренные математические модели, естественно, с иной интерпретацией состояний на графе системы состояний случайного процесса и переходов между состояниями системы.

Теперь рассмотрим, какой важный вывод может быть сделан исходя из особенности объекта моделирования, заключающейся в том, что если параметр р — это параметр СЗИ, то параметр X — это соответствующий параметр И С.

Вывод. Характеристика производительности СЗИ, определяющая долю времени пребывания в стационарном режиме ИС в состоянии занятия вычислительного ресурса СЗИ обработкой запросов доступа субъектов к объектам, не может определяться абстрактно, без учета решаемых задач конкретной ИС и реализованной с учетом этого СЗИ разграничительной политики доступа. Это обусловливается тем, что именно от решаемых ИС задач зависит значение параметра X, реализованной же разграничительной политикой доступа определяется значение параметра р.

Следствие. Оценка производительности СЗИ должна осуществляться в отношении конкретных ИС (конкретных типов систем).