8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Вы находитесь в разделе Типовых решений систем безопасности

Исследование эффективности технологии контроля санкционированности событий. принципы диспетчеризации заявок на обслуживание



Ранее мы обращали внимание читателя на то, что разработчики добавочных средств защиты информации от несанкционированного доступа (СЗИ НСД), в большинстве своем, не утруждают себя проведением серьезных исследований предлагаемых и реализуемых ими технических решений (по крайней мере, нам подобных исследований в печати не встречалось). Вместе с тем, проблема обеспечения компьютерной безопасности является весьма сложной, как научно-исследовательской, так и технической задачей, причем характеризуемой тем, что реализация необоснованных решений может привести совершенно к обратному результату, в случае применения добавочной СЗИ НСД – не к повышению, а к снижению уровня компьютерной безопасности. В предыдущей части работы нами была предложена технология контроля санкционированности событий (технические решения, реализующие данную технологию, нами запатентованы) и исследованы потенциальные возможности данной технологии, в части расширения свойств защиты информации – рассмотрены ее возможности противодействия атакам, связанным с ошибками и закладками в ПО, в частности в системном ПО. Однако для оценки эффективности технологии санкционированности событий требуется доказательства того, что данная технология может быть использована не только для решения задач расширенного аудита, но и для противодействия атакам на защищаемые ресурсы. Исследованию данных вопросов, а также вопросов реализации технологии, в первую очередь, в части диспетчеризации заявок на обслуживание в реальном масштабе времени, и посвящена данная часть работы.

Прежде, чем начать наше исследование, в порядке замечания, отметим, что бытует мнение, что панацеей в случае недостаточного уровня защиты от НСД может выступить криптографическая защита, для компьютерной безопасности – это шифрование данных на лету при их сохранении на жестком диске и на внешних носителях. Мы принципиально не согласны с данной позицией, когда речь заходит о компьютерной безопасности (а, например, не о канале связи). Тому есть две причины. Во-первых, существует масса иных способов съема информации, кроме как с диска, либо с внешнего носителя – еще до стадии ее сохранения. Это, например, съем информации при вводе ее с клавиатуры (так называемые, сниферы клавиатуры), при выводе ее на монитор и т.д., отключение драйвера шифрования и т.д. Во-вторых, далеко не во всех приложениях компьютерной безопасности защиты требует именно информация, а не иные ресурсы вычислительного средства. На вопросах криптографической защиты мы остановимся в следующей части нашей работы, в которой рассмотрим ее место в обеспечении компьютерной безопасности и предлагаемые нами подходы к решению задачи. Далее же, основываясь на сказанном, приступим к нашему исследованию, понимая, что на сегодняшний день обоснованной альтернативы технологии контроля санкционированности событий в части противодействия ошибкам и закладкам в ПО, не существует (по крайней мере, нам подобные осмысленные подходы не известны).

Требования к реализации метода уровнего контроля списков санкционированных событий, выполнение которых обеспечивает противодействие аткам на защищаемые ресурсы.

Как отмечалось в предыдущей части работы, основу метода уровневого контроля составляет необходимость контролировать санкционированность событий в реальном времени, так как основу метода составляет не аудит с целью обнаружения НСД, а противодействие НСД, при этом автоматическая реакция на зафиксированное событие должна быть осуществлена до того, как злоумышленник получит несанкционированный доступ к ресурсу – т.е. система должна работать в рамках жестких временных ограничений или в реальном масштабе времени (в противном случае рассматриваемый метод противодействия атакам преобразуется в метод протоколирования событий – обычный аудит с отложенной реакцией на несанкционированное событие). Таким образом, для того, чтобы гарантировать реакцию на несанкционированные действия, механизм контроля санкционированности событий должен функционировать в реальном времени, т.е. проверки должны запускаться строго через определенный интервал времени, и их продолжительность всегда должна укладываться в заранее отведенный интервал времени (определяющийся временем нарушения соответствующего списка и продолжительностью реакции системы защиты на зафиксированное событие), что проиллюстрировано на рис.9.1.


Утверждение. Механизм уровневого контроля событий, как механизм реального масштаба времени, может быть реализован при выполнении следующего условия:Tпр+ 2Tрк+ tи < Tнсд ( ,где: Tпр – время проверки (контроля события), Tрк – время реакции системы на несанкционированное событие, tи – интервал времени до следующей проверки, Tнсд – время необходимое злоумышленнику на осуществление НСД, реализуемого по средством изменения соответствующего события. Доказывается утверждение от обратного. Если не выполняется условие ( , то в реальном времени не может быть оказано противодействие, т.е. имеем систему аудита с отложенной реакцией на несанкционированное событие (реакция будет выполнена уже после НСД).

При этом разность Tнсд – Tпр в штатном режиме функционирования (отсутствуют несанкционированные события, как следствие, СЗИ НСД не вырабатывает реакцию) должна составлять величину кванта времени Tквант, где Tквант – время, предоставляемое системой защиты прикладным задачам.

Следствия

Задачи защиты должны иметь приоритет запуска, по сравнению с прикладными задачами.

Диспетчеризация заявок на обслуживание (переключение задач) должна осуществляться механизмом защиты (блоком диспетчеризации, входящем в состав механизма защиты, см. предыдущую часть работы).

Квант времени, предоставляемый блоком диспетчеризации для решения прикладных задач, для штатного режима функционирования (не зафиксированы несанкционированные события), задается следующим образом:

Tквант < Tнсд – Tпр

Влияние системы защиты на вычислительный ресурс (естественно, что рассматриваем штатный режим функционирования – при обнаружении атаки, весь вычислительный ресурс может быть задействован с целью противодействия атаке) защищаемого компьютера определяется следующим образом:

δ = Tпр / Tнсд (

Исследование принципиальной возможности реализации механизма уровневого контроля списков санкционированных событий для противодействия атакам на защищаемые ресурсы в реальном масштабе времени.

При исследовании механизма уровневого контроля списков санкционированных событий необходимо учитывать большое количество временных параметров (каждый из контролируемых списков имеет собственное время проверки и реакции на несанкционированное событие). Однако на практике большинство контролируемых параметров системы имеют однотипные временные характеристики. Т.е. можно выделить группы событий, которые имеют схожие параметры, для которых и будем проводить исследование.

Рассмотрим, исходя из каких соображений будем относить события к той или иной группе. Возвращаясь к выражанию ( , видим, что учитываемыми временными параметрами являются: Tпр, Tрк, Tнсд. С учетом того, что собственно продолжительность проверки и реакции системы на несанкционированное события, вообще говоря, не так уж существенно различаются при контроле различных событий (это мы увидим далее), основным критерием отнесения к группе становится параметр Tнсд. Здесь можем выделить две большие группы событий, для которых атака осуществляется в автоматическом и в автоматизированном режимах (как следствие, параметр Tнсд имеет малое, либо относительно большое значение). К первой группе мы можем отнести атаки, связанные, прежде всего, с запуском злоумышленником собственного процесса, либо драйвера (атака может содержаться в самом программном средстве и злоумышленнику для осуществления атаки уже не нужно выполнять никаких дополнительных действий). Ко второй группе – все остальные атаки, предполагающие осуществление некоторых дополнительных действий пользователя, например, с клавиатуры. К таким атакам можем отнести заведение нового пользователя, изменение настроек системы (реестра ОС), несанкционированное разделение ресурса в сети и др. В этом случае после осуществления данной атаки злоумышленнику необходимо либо запустить собственную программу (но это контролируется механизмом первой группы), либо выполнить дополнительные действия, т.е. атака уже не автоматическая, как следствие, временные требования к противодействию такой атаке уже не столь жестки. Кроме того, выделим в отдельную группу прямые атаки на модификацию файловых объектов, и рассмотрим, можем ли мы противодействовать таким атакам в реальном времени.

Таким образом, будем рассматривать три группы событий (на примере отдельных механизмов контроля - данные механизмы выбраны исходя из того, что их временные параметры отражают поведение большинства остальных механизмов контроля, отнесенных к группе):
  • механизм контроля процессов (список запрещенных/разрешенных/обязательных к запуску процессов, кроме процессов, задающих как прикладные, так и системные процессы, к этой группе также можно отнести драйверы, соответственно запрещенные/разрешенные/обязательные к запуску). Это группа автоматических атак на защищаемые ресурсы;
  • механизм контроля регистрации пользователей (список разрешенных для регистрации пользователей в системе). Это группа автоматизированных атак на защищаемые ресурсы;
  • механизм контроля целостности объектов файловой системы (список параметров контролируемых файлов, например, контрольные суммы).


Рассмотрев три вышеназванных механизма, можно сделать вывод и относительно возможности применения остальных механизмов метода уровневого контроля, в силу общности их временных параметров.

Определим для выбранных нами групп механизмов контроля временные параметры и сделаем вывод о возможности применения рассматриваемого механизма (как механизма реального времени, в противном случае его применение можно рассматривать лишь как средство аудита) в современных системах в принципе. В качестве тестовой системы здесь и далее используем ОС Windows. Ниже приведены результаты измерений для вычислительной системы C333/112RAM/3GBHDD. Исследования проводились на компьютере, характеризуемом, по сегодняшним меркам, очень низкой производительностью, не случайно. Очевидно, что если для исследования механизмов контроля событий первой группы выбор производительности компьютера не принципиален, то для событий, отнесенных ко второй группе, важен (получим худшие условия для использования системы защиты).

Исследование возможности реализации в реальном времени механизмов контроля событий первой группы.

Для механизма контроля процессов рассмотрим следующие параметры:
  • Tзп – время получения управления процессом (от момента запуска процесса до того момента когда он может начать свою работу) – интервал времени, в течение которого с момента запуска процесса должно произойти его завершение – это параметр Tнсд, см. выражение ( ;
  • Tкп – время контроля списка процессов (составление текущего списка запущенных процессов);
  • Tоп – время завершения процесса (время необходимое на завершение процесса нарушающего целостность списка запрещенных/разрешенных процессов).


Для того, чтобы гарантировано защитить систему от влияния несанкционированно запущенных программ – не соответствующих списку запрещенных/разрешенных/обязательных процессов (завершить их до того как они получат управление) необходимо выполнение следующего условия, следующего из выражения ( :

Tмп = Tкп + 2Tоп < Tзп

где Tмп – максимальный интервал времени с которым должна запускаться процедура контроля списка запрещенных/разрешенных/обязательных процессов (при этом предполагается, что при запуске процесса он сразу же попадает в список текущих запущенных задач).

Параметр Tкп - время контроля списка процессов, имеет следующие измеренные значения.

Результаты измерений для 15 процессов (малая загрузка центрального процессора - ЦП) приведены в табл. 9.1., для 30 процессов (средняя загрузка ЦП) – в табл. 9.2, для 100 процессов (большая загрузка ЦП) результаты измерений приведены в табл. 9. Средняя загрузка ЦП получено на основании совокупности результатов измерений (проводилось 7 измерений параметра).



Параметр Tоп – время завершения процесса (время реакции) имеет следующие измеренные значения, см. табл. 9.



Параметр Tзп – время получения управления процессом (от момента запуска процесса до того момента когда он может начать свою работу) имеет следующие измеренные значения, см. табл. 9.5.



Как видно из вышеприведенных измерений, величина Tмп = Tкп + 2Tоп на порядок меньше величины Tзп, что позволяет сделать вывод о возможности контроля списков запущенных процессов в реальном времени.

Теперь оценим, в какой мере повлияет на загрузку вычислительного ресурса реализация в системе защиты механизма контроля списков санкционированных событий, отнесенных к первой группе. Для этого, с учетом сказанного выше, см. выражение ( , воспользуемся выражением:

δ= Tкп / Tзп

Следуя экспериментальным значениям, приведенным в табл. 9.1 – табл. 9.5 получаем, что в среднем дополнительные затраты вычислительного ресурса составят:

δ = 0,389/10,8 = 3,6% при малой загрузке ЦП,

δ = 0,491/10,8 = 4,5% при средней загрузке ЦП,

δ = 0,666/10,8 = 6,2% при большой загрузке ЦП. Выводы:
  1. Механизм контроля списков санкционированных событий, отнесенных к первой группе, характеризуемых автоматической атакой на защищаемые ресурсы, может быть использован в реальном времени с целью предотвращения атаки.
  2. Реализация механизма контроля списков санкционированных событий, отнесенных к первой группе, характеризуемых автоматической атакой на защищаемые ресурсы, оказывает влияние на вычислительный ресурс защищаемого компьютера в пределах единиц процентов.


Исследование возможности реализации в реальном времени механизмов контроля событий второй группы.

Для механизма контроля пользователей параметрами являются:
  • Tзю – время регистрации нового пользователя;
  • Tкю – время контроля списка пользователей;
  • Tою – время завершения сеанса пользователя.


Для того чтобы гарантировано защитить систему от действий незарегистрированного пользователя (неуказанного в списке запрещенных/разрешенных пользователей) необходимо выполнение следующего условия:

Tмю = Tкю + 2Tою < Tзю

где Tмю – максимальный интервал времени с которым должна запускаться процедура контроля пользователей. Определим, возможно ли выполнение такого условия в реальной системе.

Параметр Tкю – время контроля списка пользователей имеет следующие измеренные значения (количество пользователей увеличивалось за счет запуска дополнительных сервисов с правами нового пользователя) - для 5 пользователей, см. табл. 9.6, для 20 пользователей, см. табл. 9.7.



Параметр Tою – время завершения сеанса пользователя имеет следующие измеренные значения, см. табл. 9.8.



Параметр Tзю – время регистрации нового пользователя - примем минимальное время регистрации 500 ms (нажатие кнопки ОК в окне регистрации).

Как видно из вышеприведенных измерений величина Tмю = Tкю + 2Tою на порядок меньше величины Tзю, что позволяет сделать вывод о возможности контроля списков второй группы в реальном времени.

Теперь оценим, в какой мере повлияет на загрузку вычислительного ресурса реализация в системе защиты механизма контроля списков санкционированных событий, отнесенных к первой группе. Для этого, с учетом сказанного выше, см. выражение ( , воспользуемся выражением:

δ = Tкю / Tзю

Следуя экспериментальным значениям, приведенным в табл. 9.6 – табл. 9.8 получаем, что всреднем дополнительные затраты вычислительного ресурса составят:

δ = 0,023/500 = 0,005% при контроле 5 пользователей,

δ = 0,23/500 = 0,05% при контроле 20 пользователей.

Выводы:

Механизм контроля списков санкционированных событий, отнесенных ко второй группе, характеризуемых автоматизированной атакой на защищаемые ресурсы, может быть использован в реальном времени с целью предотвращения атаки.

Реализация механизма контроля списков санкционированных событий, отнесенных ко второй группе, характеризуемых автоматизированной атакой на защищаемые ресурсы, оказывает влияние на вычислительный ресурс защищаемого компьютера в пределах сотых долей процента.

Исследование возможности реализации в реальном времени механизмов контроля целостности объектов файловой системы.

Для механизма контроля целостности объектов файловой системы параметрами являются:

Tзф – время доступа к объекту файловой системы (на запись);

Tкф – время контроля целостности объектов файловой системы.

Для того чтобы гарантировано защитить систему от действий связанных с нарушением целостности объектов файловой системы должно выполняться условие:

Tмф = Tкф < Tзф

где Tмф – максимальный интервал времени с которым должна запускаться процедура контроля целостности объектов файловой системы.

Замечание. Эту группу образуют не списки прав доступа (к файловым объектам, к ключам реестра, к устройствам и т.д.), которые также могут контролироваться, образуя соответствующие списки событий, а собственно файловые объекты, т.е. для данной группы контролируется не собственно процесс доступа, а непосредственно состояние файлового объекта.

Очевидно, что данное условие практически никогда выполняться не будет (за исключением случая с искусственной задержкой доступа к файловым объектам), т.к. чтобы проконтролировать целостность файлового объекта его нужно сначала прочитать, что сопоставимо по продолжительности с записью объекта.

Таким образом, с учетом сказанного может быть сделан вывод, что для большинства параметров системы (за исключением контроля объектов файловой системы) возможно применение уровневого контроля событий в реальном масштабе времени для защиты их от НСД, при этом затраты вычислительного ресурса на реализацию системы защиты будут составлять единицы процентов.

Принципы реализации диспетчера меахнизма уровневого контроля санкционированных событий

Как отмечали выше и в предыдущей части работы, механизм уровневого контроля санкционированных событий должен иметь в своем составе диспетчер задач, распределяющий кванты времени между задачами защиты информации и прикладными задачами (распределение это осуществляется в соответствии с требованиями к решению задач защиты в реальном масштабе времени, вытекающими из анализа временных параметров, представленного выше).

Поскольку речь зашла о системах реального масштаба времени, то дисциплина обслуживания, реализующая определенные правила переключения задач, должна обеспечивать обслуживание по расписанию.

Идея рассматриваемого подхода (который может быть использован для диспетчеризации заявок системой защиты) состоит в реализации дисциплин обслуживания реального времени с передачей прав по расписанию (ДОР), за счет смены относительных приоритетов (ОП) в рамках реализуемой в системе дисциплины обслуживания с относительными приоритетами (ДООП) по расписанию при каждом занятии ресурса абонентами системы.

Утверждение. В любой момент времени ОП не должен совпасть у заявок из нескольких очередей.

Доказательство. Если данное условие не будет выполнено, то в системе неминуем конфликт при занятии ресурса, т.к. несколько абонентов одновременно получат право занять ресурс после его освобождения.

Для описания ДООП используем матрицу приоритетов (МП), представляющую собою квадратную матрицу размерности по числу M абонентов. Элемент матрицы задает ОП заявки i (здесь и далее имеется в виду очередь или, соответственно класс заявок) по отношению к j: 0 - нет приоритета, 1 - есть (например, первая строка первой таблицы 0111 означает, что первая заявка имеет более высокий приоритет, чем вторая, третья и четвертая заявки. Для описания ДОР (в общем случае ДОСП) используем граф изменения матрицы ОП в моменты времени - моменты занятия ресурса в соответствии с расписанием.



Утверждение. Для реализации приоритетной ДОР в цикле расписания по крайней мере двум классам заявок высший ОП должен присваиваться различное число раз, например (1, 2, 1, 3, 1, .

Пример графа бесприоритетной ДОР, реализуемой методом динамической смены ОП, для случая , цикл расписания которой имеет вид (1, 2, 3, , представлен на рис. 9.2 (соответственно в каждый момент времени состояние системы описывается своей МП). Бесприоритетность расписания обеспечивается тем, что каждый абонент входит в расписание равное число раз, в общем случае может быть более одного, например (1, 1, 2, 2, 3, 3, 4, .



Изменение ОП заявок по расписанию в процессе функционирования системы должно быть реализовано по следующему правилу.

В графе смены МП ДОР РМВ (в цикле расписания), по крайней мере, по одному разу должны присутствовать МП, задающие высший ОП каждого из M классов заявок.

Для ДО с динамическими ОП, изменяемыми по расписанию, функция изменения приоритета заявки m, имеет вид:

Доказательство. В противном случае получим совпадение значений , т.е. при совпадении значений параметров получаем равный приоритет заявок - совпадают .

Рассмотренный подход позволяет комбинировать в одной системе обслуживание заявок по расписаниям и с относительным приоритетом, что заложено собственно в принципах реализации обслуживания по расписанию, по средством смены относительных приоритетов. Естественно, что если какой-либо заявке относительный приоритет не изменять в процессе функционирования системы, то запросы данной заявки будут тем самым исключены из расписания. Будем обозначать дисциплину обслуживания со смешанными приоритетами (относительного и реального времени) квадратными скобками. Можно выделить два режима использования относительного приоритета, которые определяются его отношением к приоритетам реального времени:
  • Первый режим предполагает задание относительного приоритета заявки относительно заявок, обслуживаемых в реальном времени, например, . Данный режим может выделяться для внеочередного обслуживания каких-либо заявок (в нашем примере заявка 1 всегда приоритетнее, чем заявки 2,3,4, которые обслуживаются между собой по бесприоритетному расписанию). Этот режим может использоваться для задания относительного приоритета задаче, осуществляющей диспетчеризацию заявок (об этом скажем ниже);
  • Второй режим предполагает задание относительного приоритета заявок реального времени относительно остальных заявок, например, (в нашем примере заявка 4 всегда менее приоритетна, чем заявки 1,2,3, которые обслуживаются между собой по бесприоритетному расписанию). Данный режим может выделяться для фонового обслуживания каких-либо заявок (в нашем примере заявка 4 будет обслуживаться в фоновом режиме, например, в фоновом режиме могут обслуживаться заявки приложений).


Правило изменения ОП. ОП в рамках ОР однозначно задаются расписанием, где в каждый момент времени приоритет заявок соответствует порядку передачи полномочий, исключая повторные передачи прав одной очереди в цикле ОР (эта возможность реализуется изменением длины кванта времени), например для расписания (1, 2, 1, в момент - ОП , в - , в - , в - .

Рассмотрим, каким образом может быть реализован диспетчер задач в составе добавочной СЗИ НСД, реализующий рассмотренный выше подход к решению задачи обслуживания заявок в реальном масштабе времени.



Таким образом, речь идет об обслуживании заявок по дисциплине с относительными приоритетами, не позволяющей корректно реализовать расписания реального времени. Если у всех текущих задач приоритеты равны, то в общем случае ресурсы центрального процессора будут передаваться задачам в порядке их поступления в очередь (бесприоритетная дисциплина обслуживания, но опять же не реального времени).

Не будем останавливаться в данной работе на рассмотрении вопросов синтеза расписаний реального времени – это самостоятельная задача, и с предлагаемыми нами подходами к ее решению можно познакомиться в соответствующих работах авторов.

Рассмотрим подход к реализации диспетчера в составе добавочной СЗИ НСД с целью передачи управления в соответствии с приоритетным расписанием. Данный подход состоит в следующем:
  • Выделяются задачи, реализующие собственно защиту от НСД механизмом уровневневого контроля списков. Им назначается высокий приоритет;
  • Среди данных задач выделяется одна, осуществляющая диспетчеризацию заявок (передачу полномочий между заявками на занятие ресурса);
  • Выделяются прикладные задачи. Им назначается низкий приоритет.


В большинстве современных универсальных ОС алгоритм передачи управления (системных ресурсов центрального процессора) базируется на механизме назначения относительных приоритетов. Каждой программе может быть назначен свой приоритет (диапазон приоритетов в разных ОС колеблется от 6 до нескольких десятков). Диспетчер задач распределяет кванты времени между задачами в соответствии с их приоритетами. Ресурсы центрального процессора фиксированного объема, определяемого квантом процессорного времени, выделяемого задаче, будут переданы той задаче, у которой более высокий приоритет. При этом до истечения кванта, выданного ей процессорного времени, программа не может быть прервана (если только сама не отдаст управление).



Основу реализации приоритетного расписания на базе дисциплины обслуживания с относительными приоритетами составляет изменение относительных приоритетов по расписанию. Другими словами, в каждый момент времени реализуется дисциплина обслуживания с относительными приоритетами, которые изменяются в процессе функционирования системы (при каждом предоставлении ресурса задаче), в результате чего реализуется приоритетное расписание. Возникает вопрос – какое средство (задача) будет осуществлять перераспределение относительных приоритетов по расписанию?

В случае если задача принудительно отдала управление на заданное время, прибор постановки отложит размещение этой задачи в очередь. Прибор выбора задачи из очереди (B) выбирает задачи из очередей в соответствии с их приоритетами и передает их на обслуживание в центральный процессор (ЦП).

Таким образом, из очереди будет выбираться всегда задача, имеющая максимальный приоритет – задача, обеспечивающая диспетчеризацию заявок. Получив управление, задача может либо занять вычислительный ресурс, либо передать его на квант времени (ранее обозначали, как Тквант) прикладным задачам. Т.е. задача, реализующая защиту от НСД, будет распределять время между собой и прикладными задачами (реализовывать расписание). Схема такой передачи управления приведена на рис. 9.3.

Выводы:
  1. Основу подхода к приоритетному обслуживанию заявок на контроль событий в реальном времени составляет обслуживание с динамическими относительными приоритетами, изменяемыми по расписанию, при каждом занятии вычислительного ресурса.
  2. Посредством реализации рассмотренного подхода, в большинстве современных ОС можно реализовывать расписания (обслуживание в реальном времени) любого уровня сложности. При этом передачей управления занимается уже не диспетчер задач ОС (он осуществляет это на более низком уровне), а та задача (в нашем случае система, реализующая защиту от НСД, решающая задачу диспетчеризации), которая наделена такими функциями.


На схеме обозначен входной поток задач λ. Прибор постановки в очередь (А) выбирает из входного потока задачи и распределяет их по очередям в соответствии с их приоритетами.

Получим стохастическую оценку влияния механизма уровневого контроля списков санкционированных событий на загрузку вычислительного ресурса системы от вида реализуемой дисциплины обслуживания реального времени (бесприоритетная и приоритетная) при решении системой прикладных задач, требующих различных временных затрат.

На схеме задачам одного приоритета выдается одна очередь, из которой происходит выборка опять же в соответствии с расписанием.

Пусть системой защиты реализуется три типа проверок (три контролируемых списка) и пусть, соответственно параметрами, в соответствии с выражением ( – время реакции системы на санкционированное событие учитывать не будем, т.к. анализируем штатный режим функционирования системы (отсутствие обнаружения несанкционированных событий) для данных проверок будут:

Оценка влияния дисциплины обслуживания на эффективность меахнизма уровневого контроля санкционированных событий

Для оценки влияния механизма уровневого контроля списков на загрузку вычислительного ресурса системы при решении этих задач воспользуемся моделью массового обслуживания и возьмем среднее время ожидания задачи в очереди в качестве критерия при оценке.

Выделим три класса прикладных задач по продолжительности их решения системой - быстрые; средние; медленные.Пусть задачи данных классов будут иметь различную фиксированную продолжительность решения системой, соответственно обозначим (b1, b2, b3, соответствующие интенсивности обслуживания μ1, μ2, μ :



Входные параметры:



b – время обслуживания заявки в приборе (для каждого класса задач).

Модель будет состоять из одного обслуживающего прибора и очереди заявок на обслуживание.



λ - интенсивность входного потока заявок (пусть имеет Пуассоновский закон распределения - данный закон распределения выбран, т.к. он описывает наиболее случайное распределение интенсивности входного потока заявок);

Полученные зависимости для различных классов задач класса задач приведены соответственно на рис. 9.4 – рис. 9.








На основании проведенных исследований могут быть сделаны следующие выводы:
  1. Затраты вычислительного ресурса системы при использовании механизма уровневого контроля могут быть достаточно высоки, особенно при высокой загрузке системы. Это обусловливает необходимость обоснованного выбора контролируемых списков.
  2. С целью более эффективного использования механизма целесообразна реализация приоритетного обслуживания заявок на контроль списков в реальном времени. Как видим из представленных графиков, потери производительности системы в этом случае могут быть сведены к минимуму.
  3. Возможность более эффективного использования механизма также кроется в увеличении параметра Тнсд. Данная возможность состоит в том, чтобы затруднить автоматизацию несанкционированных действий пользователя, в частности, если атака будет проводиться исполнением каких-либо действий с клавиатуры (не автоматически из созданной и несанкционированно запущенной им программы), то значение данного параметра увеличится на порядки и потери производительности будут минимальными.


Средняя длительность ожидания заявки в очереди (для Пуассоновского потока) в общем случае определяется по формуле:

Выводы:
  1. При реализации механизма уровневого контроля могут быть выделены две группы событий. В первую группу включается контроль процессов, во вторую, все остальные функции контроля.
  2. Для механизма контроля процессов должен устанавливаться максимальный приоритет, т.к. данный контроль характеризуется жесткими ограничениями Тнсд . Ограничения Тнсд для остальных событий на несколько порядков больше. Таким образом, как было показано выше, в системе реализуются максимально благоприятные условия для приоритетного обслуживания (может быть достигнут максимальный результат, за счет реализации приоритетных расписаний).
  3. Как следует из рис. 9.4 – рис. 9.6, при реализации приоритетной дисциплины с выделением максимального приоритета одному механизму контроля – контролю списков запущенных процессов, потери производительности защищаемого объекта при реализации механизма уровневого контроля минимальны на всем интервале загрузки системы (в штатном режиме функционирования системы – без перегрузок, данные потери находятся в пределе единиц процентов).


Для каждого из введенных классов задач построим графики зависимости среднего времени ожидания задачи в очереди W от интенсивности входного потока задач W = f( λ ). Для оценки влияния механизма уровневого контроля списков на загрузку вычислительного ресурса системы сравним графики рассматриваемой зависимости для следующих случаев: без реализации в системе механизма контроля списков (решаются только прикладные задачи) и при реализации механизма для двух случаев – с бесприоритетным и приоритетных обслуживанием (приоритет назначим заявкам с минимальным значением параметра Тнсд).

В заключение отметим, что следующую часть нашей работы мы посвятим рассмотрению вопросов использования при решении задач обеспечения компьютерной безопасности механизмов криптографической защиты, определим их место и цели использования, а также рассмотрим предлагаемые нами подходы, реализованные в нашей разработке система защиты данных (СЗД) Панцирь для ОС Windows 2000/XP/2003.

Еще раз, в двух словах остановимся на анализе контролируемых списков санкционированных событий, с точки зрения задания ограничений Тнсд . Очевидно, что можно выделить две группы атак на защищаемый объект – автоматическая и автоматизированная. Автоматическая атака реализуется разработкой и запуском на защищаемом объекте злоумышленником деструктивной программы (процесса). Эта программа автоматически выполняет все несанкционированные действия. Очевидно, что значение ограничения Тнсд для контроля деструктивных программ (процессов) должно быть минимально. Контролю списков запущенных процессов следует назначить максимальный приоритет. Практически любая другая группа атак, например, регистрация в системе несанкционированного пользователя, изменение ключа реестра ОС, несанкционированное разделение ресурса в сети и т.д., предполагает, либо выполнение ручных действий злоумышленника после совершения несанкционированного действия, в этом случае ограничения Тнсд увеличиваются на несколько порядков, либо опять же запуск деструктивной программы, но, как отмечалось, контроль данного события должен проводиться с максимальным приоритетом.

В качестве замечания, отметим, что, во-первых, рассмотренные в этой и в других статьях авторов решения апробированы при создании семейства СЗИ НСД – КСЗИ Панцирь (для ОС семейства Windows) - разработка НПП Информационные технологии в бизнесе, при этом они либо уже запатентованы, либо находятся в стадии патентования, поэтому без нарушения авторских прав, рассмотренные в работах авторов технологии не могут быть реализованы в разработках иных производителей, во-вторых, практическое использование рассматриваемой технологии, в частности, в нашей разработке КСЗИ Панцирь для ОС Windows 2000/XP/2003, в полной мере подтвердило результаты представленных в работе исследований.




Читайте далее:
Народный нановидеосервер
Факторы успеха в сфере беспроводного видеонаблюдения
Шз–революция
В великобритании собираются использовать видеонаблюдение для выявления мусорящих курильщиков
Аналитики пытаются остановить похитителей велосипедов при помощи видеонаблюдения
Народный нановидеосервер iii
Предложения к гост р 51558-2008
Кадровая безопасность ,часть 1,
Видеосервер domination на выставке в уфе
Стандарт сжатия видеоизображения h.264. новые возможности в области охранного видеонаблюдения
Выбор оптоволоконных передатчиков видеосигнала
Ссtv-аксессуары для преобразования аналоговых сигналов в цифровые
Новые ip-камеры vn-c10u компании jvc для видеоконференций и видеонаблюдения
Чувствительность видеокамер ,минимальная освещенность,