2. Эмпирический подход к решению задачи формирования необходимого и достаточного набора типовых систем защиты информации.
Плотность характеризует уровень скопления (количество, близость) элементов, классифицируемых в классе, дисперсия - степень рассеивания элементов в координатном пространстве относительно центра кластера, размеры - "радиус" кластера, форма - геометрию расположения элементов в кластере, отделимость - степень перекрытия кластеров и расстояние между ними в координатном пространстве.
К настоящему времени разработано большое количество различных методов деления множества элементов на кластеры. Все эти методы могут быть разделены на следующие группы:
1) иерархические агломеративные,
2) иерархические дивизивные,
3) итеративные группировки,
4) поиска модальных значений плотности,
5) факторные,
6) сгущений,
7) основанные на теории графов.
Наибольшее распространение в практических приложениях получили иерархические агломеративные методы. Их суть в общем виде заключается в представлении классифицируемых элементов в виде древовидной структуры (дендрограммы) в зависимости от степени взаимосвязей между ними. Общий вид дендрограммы приведен на рисунке 11.4.
Рисунок 11.4 - Дендрограммы кластерного анализа по иерархическому алгомеративному методу.
Деление дендрограммы на кластеры осуществляется различными методами, причем наибольшее распространение получили следующие четыре: одиночной связи, полной связи, средней связи и так называемый метод Уорда.
По методу одиночной связи кластер образуется по правилу: элемент включается в уже сформированный кластер, если хотя бы один из элементов кластера находится на том же уровне, что и анализируемый.
Метод полной связи предполагает, что анализируемый элемент включается в существующий кластер, если его сходство с каждым элементом кластера не превосходит задаваемого порога.
Метод средней связи заключается в вычислении среднего сходства анализируемого элемента со всеми элементами в уже существующем кластере. Элемент включается в кластер, если значение среднего сходства не превосходит устанавливаемого порога.
Метод Уорда построен таким образом, чтобы оптимизировать минимальную дисперсию в пределах создаваемых кластеров. Целевая функция определяется как сумма квадратов отклонений и вычисляется по формуле:
(11.11)
где Xj - значение для j-го элемента характеристики, по которой осуществляется кластеризация. В кластеры включаются элементы, которые дают минимальное приращение СКО.
Нетрудно показать, что полученные ранее оценки факторов, влияющих на требуемый уровень защиты информации, позволяют сформировать меру близости между различными вариантами условий, удовлетворяющую рассмотренным выше требованиям. Наиболее простым выражением данной меры близости вариантов т' и т" будет:
.
(11.12)
Нетрудно построить и другие приведенные выше меры, сделать это можно самостоятельно.
Практическая реализация строго теоретического подхода к решению рассматриваемой задачи наталкивается на так называемое "проклятие размерности", заключающееся в непреодолимых вычислительных трудностях ввиду того, что множество потенциально возможных вариантов условий защиты характеризуется, как это было показано, числом астрономического порядка. Возможные пути преодоления указанных трудностей будут рассмотрены ниже при изложении сущности теоретико-эмпирического подхода.
Эмпирический подход. Сущность данного подхода, как это следует из самого его названия, заключается в решении рассматриваемой задачи на основе опыта и здравого смысла компетентных специалистов. К настоящему времени известно несколько примеров выделения типовых систем защиты информации. Так, нетрудно видеть, что рассмотренные ранее наиболее известные методы выделения типовых СЭИ основаны преимущественно на эмпирическом подходе, примем без какого-либо объективного обоснования.
Но при наличии рассмотренных ранее весов возможных вариантов защиты (притом нормированных в интервале 0-1) можно предложить более наглядный, и потому психологически более приемлемый метод, основанный на эвристическом подходе.
Смысл веса варианта заключается в том, что чем больше этот вес, тем выше требования к защите информации в соответствующих условиях. Тогда требования к защите в зависимости от весов вариантов можно представить так, как показано на рисунок 11.5 (выделенные интервалы получены методом половинного деления). Требования к защите будут определяться тем из выделенных на рисунок 11.5 интервалов, в который попадает соответствующее значениеWm. Возможные характеристики выделенных СЗИ приведены в табл. 11.3.
Рисунок 11.5 - Определение требований к защите информации методом половинного деления шкалы 0-1
Таблица 11.3. Характеристики типовых СЗИ по уровню зашиты информации
|
№ п/п |
Класс СЗИ по уровню защиты |
Ориентировочное количественное значение уровня защиты |
Общая характеристика СЗИ |
|
1 |
Слабой защиты |
|
Обеспечивается защита в пределах возможностей серийных средств обработки информации и общедоступных организационно-правовых мер |
|
2 |
Средней защиты |
0,5-0,75 |
Может быть достигнута путем пополнения серийных средств общедоступных организационных мер некоторыми средствами регулирования и разграничения доступа и поддержанием достаточно четкого уровня организации обработки информации |
|
3 |
Сильной защиты |
0,75-0,87 |
Может быть обеспечена комплексным применением широкого спектра различных средств защиты и строгой организацией процессов функционирования СОД |
|
4 |
Очень сильной защиты |
0,87 -0,93 |
Может быть обеспечена при соблюдении трех условий: 1) наличие развитой и высоко организованной СЗИ; 2) Строжайшая организация процессов жизнедеятельности СОД; 3) непрерывное управление процессами защиты |
|
5 |
Особой защиты |
>0,93 |
Дополнительно к 'предыдущему требуется: 1) создание СЗИ по индивидуальному проекту; 2) реализация мандатной системы доступа |
0,5
Ранее было введено понятие стратегии защиты как общей направленности усилий по защите информации, причем выделено три стратегии: оборонительная, наступательная и упреждающая. Естественно предположить, что каждый из выделенных выше уровней защиты может достигаться в рамках каждой из предусмотренных стратегий. Исключениями из этого правила могут быть только следующие ситуации: в рамках оборонительной стратегии вряд ли целесообразно предусматривать очередь сильную (и тем более - особую) защиту, а особая защита даже в рамках наступательной стратегии может рассматриваться скорее в виде исключения; аналогично можно предположить, что слабая защита (не предусматривающая использование дополнительных средств защиты) не может носить наступательный (а тем более - упреждающий) характер; сомнительно также, чтобы средняя защита носила упреждающий характер.
Тогда общая классификационная структура СЗИ может быть представлена так, как показано на рисунок 11.6, причем прямоугольниками обведены и обозначены цифрами без индексов основные классы систем, a об ведены пунктиром и обозначены цифрами с индексами - дополнительные.
Конкретное содержание механизмов защиты типовых СЗИ может быть определено на основе анализа характеристик факторов, влияющих на требуемый уровень защиты. Фрагменты таких характеристик в содержательном выражении приведены в таблица 11.4.
Рассмотрим еще один метод, основанный на эмпирической подходе. Вычислим значения:
, (11.13)
.
(11.14)
В целях нормализации значению Wm(i,j,k)(max) припишем вес, равный 1, a Wm(i,j,k)(min) - 0. Соответственно для варианта с Wm(max) вероятность надежной защиты должна быть близка к 1, а для варианта с Wm(min) - близка к 0. Для определения промежуточных значений выбирается функция:
(11.15)
наиболее адекватно отражающая существо процессов защиты информации вне временных системах ее обработки.
Здесь
-
требуемая вероятность надежной защиты,a
-приведенное по норме
0-1 значение Wm.
Очевидно:
|
Уровень защиты |
Стратегия защиты | |||||
|
Оборонительная |
Наступательная |
Упреждающая | ||||
|
Слабый |
|
|
| |||
|
Средний |
|
2н   |
| |||
|
Сильный |
|
|
| |||
|
Очень сильный |
|
|
| |||
|
Особый |
|
5н  |
| |||
Рисунок 11.6 - Классификационная структура типовых СЗИ
Таблица 11.4. Характеристики факторов, влияющих не требуемый уровень защиты информации
|
Наименование группы факторов |
Наименование факторов |
Значения факторов |
Условия присвоений значений факторов |
Требования к: ищите информации |
|
Обусловливаемые обрабатываемой информацией
|
Степень секретности информации
|
Очень высокая |
Нарушение защищенности информации ведет к крупномасштаб- ным невосполнимым потерям |
1 . Доступ к информации по мандатам ограничения действия 2.Исключение с вероятностью, близкой к 1, косвенной утечки информации по техническим каналам 3. То же по организационным каналам |
|
Высокая |
Нарушение защищенности ведет к достаточно крупным и трудновосполнимым потерям |
1. Высокоэффективное разграничение доступа к информации при опознавании пользователи с вероятностно, близкой к 1 2. Надежная (с вероятностью не ниже 0,93) защита от утечки информации по техническим каналам каналам 3. То же по организационным каналам | ||
|
|
|
Средняя |
Нарушение защищенности может привести к весьма ощутимым потерям, восполнение которых может потребовать значительных усилий и расходов |
1. Разграничение доступа к информации с использованием сертифицированных серийных средств 2. Предупреждение косвенной утечки информации с использованием недорогих серийных средств 3. Организация обработки информации с соблюдением общепринятых правил обработки защищаемой информации |
|
Низкая |
Нарушение защищенности не ведет к ощутимым потерям |
Дополнительные средства защиты не требуются |
В качестве функции f(
)
целесообразнее всего принять так
называемую логистическую кривую, вид
которой приведем на рис. 11.7.
0
1
Рисунок 11.7
- Вид функции
