Методология построения систем безопасности для электронных платежных систем на основе субъектно-объектной модели безопасности.

Разрабатывается методология построения систем безопасности для электронных платежных систем на основе субъектно-объектной модели безопасности.

Исходными положениями является уже существующая или еще не реализованная спроектированная электронная платежная система, известна ее архитектура и методы взаимодействия между ее компонентами. Также считается известным набор средств и механизмов обеспечения информационной безопасности.

Алгоритм построения системы защиты ЭПС заключается в следующем:

1. Неформальное описание компонент (архитектуры) системы и неформальное задание правил политики безопасности.

2. Формализация описания архитектуры исследуемой системы и выработка формальных правил разграничения доступа, реализующих заданную в п.1. политику безопасности.

3. Формальное доказательство соответствия разработанной системе задаваемой политики безопасности.

4. Интерпретация (взаимно однозначная) условий выполнения политики безопасности и распределение обязанностей выполнения этих правил между субъектами системы.

5. Выявление требований, которым должна удовлетворять система безопасности для адекватного выполнения возложенных на нее функций.

6. Составление списков существующих средств и механизмов обеспечения информационной защиты, выполняющие требующиеся функции.

7. Оптимальное проектирование: выбор компонент для реализации системы защиты.

Рис 1 Блок схема общего алгоритма построения системы защиты ЭПС.

Рассмотрим более подробно каждый из шагов алгоритма.

Осуществляется обзор, из каких компонент состоит система, как они функционируют. Каким образом осуществляется взаимодействие между компонентами системы: общедоступные или закрытые вычислительные сети, какие сетевые протоколы используются и т.п. Какие системные (в том числе операционные системы) и прикладные программы используются. Как осуществляется обработка информации (в том числе ценной), циркулирующей в системе.

Словесное описание политики безопасности заключается в задании простых правил, выполнение которых позволяет контролировать безопасность состояния платежной системы. Данные высказывания (словесные утверждения) определяют правильный режим обработки ценной информации в системе, с точки зрения ее владельца или заказчика.

Например: пользователь системы при использовании банкомата при удостоверении своих прав имеет возможность получения доступа к информации о своем счете; кассир за терминалом, установленном в магазине способен только писать некоторую информацию на определенный счет; банковский аналитик через внутренний терминал получает права только на чтение заданного списка документов и т.п.

Для данной предметной области, пользуясь составленным неформальным описанием системы и политикой управления безопасностью, производится формализация этого описания и правил ПБ в терминах формальной модели безопасности.

Выявляются объекты и субъекты системы. Объекты группируются по принадлежности к субъектам. Формальная модель позволяют обосновать практическую пригодность системы, определяя ее базовую архитектуру и используемые технологические решения при ее построении. В терминах формальной модели задаются словесные утверждения политики безопасности. Таким образом, строится полная и непротиворечивая формальная модель системы.

Выявляются достаточные и необходимые условия выполнения политики безопасности в терминах формальной модели. Выполняется формальное доказательство выполнимости утверждений модели безопасности. В результате выполнения доказательства выявляются условия обработки ценной информации, при которых требования политики безопасности оказываются выполнимыми.

Условия выполнения политики интерпретируются для реальной платежной системы и реализуются в виде использования средств и механизмов информационной безопасности и их соответствующей настройки. Для того, чтобы система реально была безопасной, необходимо выполнение двух условий:

• модель безопасности, лежащая в основе разрабатываемой системы защиты была безопасна;

• интерпретация модели безопасности производиться корректно, необходимо взаимно однозначное соответствие.

Основываясь на результатах предыдущего этапа, производится распределение функций обеспечения информационной безопасности между субъектами системы. Для каждого субъекта формализуются правила доступа к принадлежащим ему объектам, далее субъект, пользуясь данной информацией, будет осуществлять контроль выполнения правил разграничения доступа.

После этого осуществляется переход к следующему шагу алгоритма.

На основе анализа процессов взаимодействия между субъектами системы (исследование информационных потоков), выделяются требования, выполнение которых позволят субъектам системы организовать безопасное взаимодействие между собой и управление потоками, осуществляемыми в системе. Среди этих требований могут быть: авторизация и аутентификация взаимодействующих сторон, криптографическая защита передаваемых данных, использование специальных механизмов при подключении к сетям общего пользования и т.п.

Используя данные, полученные на этапе исследования процессов обработки информации в системе, формулируются необходимые требования для обеспечения безопасной обработки данных. Среди них могут быть: безопасная инициализация системы, защищенное резервирование объекта, композиция функций, выполняемых субъектом в атомарно-неделимые и т.п.

Задаются требования, выполнение которых возложено на специализированные механизмы обеспечения информационной безопасности: МЦО, МИС, ИП и т.п. Среди основных требований можно выделить: подсчет хэш-функции, невозможность изменения состояний защитных механизмов в процессе работы системы…

В результате проделанной работы составляется полный перечень требований, которым должна удовлетворять проектируемая системы защиты для адекватной реализации политики безопасности. Пусть создана идеальная системы защиты, у которой уровень соответствия задаваемой политики безопасности равен 100% (или единице) и, таким образом, уровень обеспечиваемой защищенности также равен единице.

Каждое средство реализации обладает рядом важных для нас параметров. Это, прежде всего, стоимость и уровень обеспечиваемой защищенности реализуемой технологии. Среди второстепенных критериев можно выделить стоимость эксплуатации, время, затрачиваемое на одну транзакцию, удельную стоимость осуществления одной транзакции, необходимый объем оперативной памяти…

Создаются списки доступных средств, реализующих требуемую технологию.

Как правильно сформировать систему защиты путем выбора средств из каждого списка решается на следующем шаге алгоритма.

Подробно методики оптимального проектирования рассмотрены в третьей главе. Здесь мы кратко приведем последовательность действий проектной группы и окончательную формальную формулу для решения задачи многокритериальной оптимизации.

Производится оценка и ранжирование показателей критериев по каждому объекту из списка. В случае невозможности прямого или косвенного измерения величины исследуемого параметра, применяются неформальные методы оценивания, например, методы экспертной оценки. Все объекты ранжируются в соответствии с привлекательностью наиболее важных для проектировщиков параметров.

Требования к системе защиты должны быть классифицированы в соответствии с их стратегическими значениями для всей системы. В результате классификации, требования ранжируются и получают определенные веса важности. Составляется целевая функция безопасности, учитывающая показатели по каждому требованию и все этого требования.

Далее необходимо решить задачу оптимального проектирования. Ее решение заключается в выборе такого набора средств защиты, который наиболее оптимально соответствует заданным ограничениям. Чаще всего на практике решаются два вида задач оптимального проектирования. Прямая задача: нахождение максимального достижимого уровня защищенности при заданном ресурсе стоимости и обратная задача: выбор системы с минимальной стоимостью, обеспечивающей необходимый уровень защищенности.

Прямая задача выбора варианта системы, обеспечивающая максимальный достижимый уровень защищенности:

Задача выбора системы с минимальной стоимостью при достижении уровня защищенности заданного параметра:

Решение задачи оптимального проектирования, чаще всего, представляет собой некоторое подмножество приблизительно равных по качеству вариантов, называемое областью Парето (или областью компромиссов). Для уточнения решения применяются определенные методики выбора вариантов решения внутри области компромиссов:

• принцип равномерности:

• принцип равенства;

• принцип квазиравенства;

• принцип максимина.

• принцип справедливой уступки:

• принцип абсолютной уступки;

• принцип относительной уступки;

• Принцип выделения одного оптимизируемого критерия.

Если применение численных методов невозможно, то используются неформальные методы поиска оптимальных решений.

Сведем вышесказанное о решении задачи оптимального проектирования в единую блок-схему.

Результатом работы приведенного алгоритма будет оптимальный вариант системы информационной защиты ЭПС.

Первый этап: Неформальное описание компонент системы и неформальное задание правил политики безопасности представлен в качестве абстрактного облака.

Формализация математической модели безопасности и доказательство ее соответствия заданной политики безопасности (этапы 2 и 3). Результаты этих этапов являются фундаментальными для дальнейшего построения системы, изображены заштрихованным прямоугольником.

Этапы 4,5: интерпретация и выявление, которым должна удовлетворять система безопасности для адекватного выполнения возложенных на нее функций. Технологии безопасности, которые должны использоваться в системе защиты изображены в виде вертикальных линий.

Список средств реализации технологий безопасности представлен по каждой из функций вертикальным набором горизонтальных линий. (Шестой этап: составление списков существующих средств и механизмов обеспечения информационной защиты, выполняющие требующиеся функции).

Седьмой этап (оптимальное проектирование: выбор компонент для реализации системы защиты) изображен в виде штриховой линии и овалов, означающих какие именно компоненты были выбраны для построения системы защиты.

В данной работе разработан общий алгоритм построения системы защиты ЭПС. Используются результаты, полученные в результате исследований существующих формальных моделей безопасности, предложена собственная модель, субъектно-обеъектного взаимодействия компонент распределенной вычислительной сети созданная с использованием доказательного подхода.

Выбор механизмов, которые реализуют данные функции безопасности, осуществляется с использованием методов оптимального проектирования. Подобное решение задачи позволяет экономически эффективно построить систему защиты определенного уровня, отвечающую заданным ограничениям. Постановка задачи многокритериального поиска позволяет обоснованно выбрать, т.е. отдать предпочтение какому-либо механизму по сравнению с другими, ответить на вопрос о целесообразности его использования для достижения определенного уровня защиты по некоторому показателю (или возможно использовать более дешевый вариант для достижения приемлемого уровня, или необходимо более дорогостоящее решение, так как желаемый уровень защищенности не был достигнут). Таким образом, модель позволяет проинтерпретировать зависимость достигаемого уровня защищенности относительно затрат на систему защиту, кроме этого, она предоставляет возможность учесть различные ограничения, вводимые разработчиком или заказчиком системы.

Подводя итог, необходимо отметить, что предложенная методология проектирования системы безопасности заданного уровня защищенности позволяет целиком охватить два первых этапа жизненного цикла системы: формализация требований и проектирование, а также в некоторой мере этап реализации системы.