Главная

Популярная публикация

Научная публикация

Случайная публикация

Обратная связь

ТОР 5 статей:

Методические подходы к анализу финансового состояния предприятия

Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века

Ценовые и неценовые факторы

Характеристика шлифовальных кругов и ее маркировка

Служебные части речи. Предлог. Союз. Частицы

КАТЕГОРИИ:






Метод оценки уязвимости информации Хоффмана.




В работе Хоффмана система обеспечения без­опасности рассматривается как набор средств, состоящей из п характеристик (табл. 1). В идеальном случае эти характеристики следовало бы рассматривать как набор независимых друг от друга элементов, каждый из которых является необходимым для обеспечения безопасности. На практи­ке набор характеристик представляет собой пересекаю­щийся набор средств, которые в случае совместного использования увеличивают степень обеспечения без­опасности данной вычислительной системы.

Пусть G i — некоторая «хорошая мера» характеристи­ки Fi (например, доверительный уровень или мера трудоемкости, характеризующей объем рабо­ты по преодолению барьера защиты и т. д.). Если характеристика Fi отсутствует в данной системе, то Gi=0.

Пусть Wi — субъективный весовой коэффициент важ­ности, присвоенный характеристике Fi некоторым лицом или организацией. Заметим, что O<=Gi<=l и Wi>0 для 1<=i<=n.

Линейный метод «взвешивания и подсчета» можно использовать для вычисления степени обеспечения без­опасности SR системы S, оцениваемой экспертом r.

Степень обеспечения безопасности вычисляется по урав­нению

 

(1)

Отметим, что уравнение (1) противоречит до некото­рой степени теории о том, что «крепость цепи определя­ется крепостью ее слабейшего звена».
Таблица 1 - Средства, реализующие систему обеспечения безопасности

 

Основанные на возмож­ностях вычислительной техники F1 —преобразования секретной ин­формации F2 — средства управления доступом (включают идентификацию, уста­новление подлинности, провер­ку полномочий) F3 — возможность регистрировать и реагировать на угрозы F4 — защищенное от постороннего вмешательства программное обеспечение F5 — защищенные от постороннего вмешательства аппаратные средства ... Fm
Не основанные на воз­можностях вычисли­тельной техники Fm + 1 —непривлекательность для потен­циальных злоумышленников F m + 2 —административные мероприятия по обеспечению безопасности F m + 3 — вспомогательные технические средства по обеспечению без­опасности F m + 4 —правовые запреты, увеличивающие степень безопасности Fn

 

Обозначим частичную оценку степени обеспечения безопасности (где не все F i известны или рассматрива­ются) через SRp(s, r). Заметим, что идеально безопас­ная система будет иметь оценку, равную 1, а совершен­но незащищенная система имеет оценку, равную 0. Для обеспечения математической строгости модели потребуем, чтобы

Хотя веса задаются отдельными экспертами или организациями, можно было бы стандартизовать веса или диапазоны весов и узаконить их представителями промышленности или правительством, так же как стан­дарт на сам список F средств обеспечения безопасности. При этом важным средствам защиты следовало бы иметь веса больше 1, а средствам, вносящим относи­тельно небольшой вклад в обеспечение безопасности — меньше 1. Выбор оценок важности и качества характе­ристик, видимо, всегда останется субъективным.

Оценки степени безопасности следовало бы рассма­тривать независимо от значений, приписываемых любым отдельно взятым экспертом. В самом деле, одним из па­раметров оценки безопасности, который мы опишем ни­же, будет сам эксперт (или организация), производящий оценку. Хотя полученные результаты могут оказаться математически не совсем точными, они содержат не больше подводных камней, чем те, которые получаются при использовании любых других методов. Слепое ис­пользование этих или других оценок может привести к большим ошибкам. Тем не менее в некоторых случаях они могут быть весьма полезны.

 






Не нашли, что искали? Воспользуйтесь поиском:

vikidalka.ru - 2015-2024 год. Все права принадлежат их авторам! Нарушение авторских прав | Нарушение персональных данных