Моделювання залежності конфіденційності, автентифікації і доступності у інформаційній системі критичного застосування

Abstract

Сучасні тенденції до організації процесу автентифікації у інформаційних системах критичного застосування орієнтовані перш за все на підвищення його надійності, втім, такий підхід входить у суперечність з домінуючою у сфері інформаційної безпеки тріадою CIA, зокрема, у суперечність входять, перший і третій компоненти тріади. Отже, виникає потреба у формалізації математичного апарату який би дозволив описати залежність між конфіденційністю комплексної ступінчастої процедури автентифікації та доступністю ресурсів інформаційної системи критичного застосування, що б дозволило гнучкіше налаштовувати роботу підсистеми розмежування доступу відповідно до умов експлуатації інформаційної системи. У статті вперше запропоновано модель залежності втрат конфіденційності процесу автентифікації і показника доступності інформаційної системи критичного застосування, яка на відміну від існуючих формалізує як задачу математичного програмування процес синтезу оптимальної напівмарковської стратегії управління прийняттям рішень у марковському процесі автентифікації суб’єктів, що бажають отримати доступ до ресурсів інформаційної системи критичного застосування, що дозволяє мінімізувати втрати доступності процесу автентифікації, конфіденційність якого не повинна знизитися нижче заданого адміністратором порогового значення. Сформульовано методику застосування вищеописаної моделі, вважаючи, що у системній політиці безпеки описано ситуації «критична помилка» і «підозра на помилку», які можуть ідентифікуватися підсистемою розмежування доступу під час перебігу процесу автентифікації. Згадані ситуації визначено з урахуванням того, що підсистема розмежування доступу має ступінчасту, комплексну, послідовно з’єднану блочну структуру, а кожен блок-ступінь підсистеми включає відповідні підблоки виділення інформативних ознак і класифікації, об’єднані у ансамбль. Проведені з використанням створеної моделі експерименти показали, що зі зменшенням вимог щодо строгості процесу автентифікації доступність інформаційної системи критичного застосування зростає, але після досягнення пороговим значенням втрат конфіденційності рівня a ≈ 10∙10–2 зростання доступності припиняється. Це можна пояснити остаточним завершенням процесу адаптації підсистеми розмежування доступу до індивідуальних особливостей суб’єктів, на розпізнавання яких навчали систему. Виявилося, що за малих значень α доступність інформаційної системи критичного застосування є порівняно низькою, що зумовлено реєстрацією великої кількості ситуацій «критична помилка» і «підозра на помилку», на опрацювання яких витрачається час. Підсистеми розмежування доступу, основані на найпростіших (персептронних) і найскладніших (GMM-HMM) класифікаторах, забезпечують найнижчі показники доступності за малих значень a, що зумовлено реєстрацією великої кількості ситуацій «критична помилка» у першому і великої кількості ситуацій «підозра на помилку» у другому випадках. Нарешті, найкращі показники щодо доступності за будь-яких значень a показали підсистеми розмежування доступу, основані на глибоких і глибоких згортальних нейромережах, ефективність яких у задачах біометричної ідентифікації суб’єктів за індивідуальними особливостями їх голосів виявилася найвищою.

Current trends in the organization of the authentication process in information systems for critical use are primarily aimed at improving its reliability, however, this approach contradicts the CIA triad that dominates information security, in particular, the first and third components of the triad come into conflict. Consequently, there is a need to formalize the mathematical apparatus that would allow describing the relationship between confidentiality of a complex stepwise authentication procedure and the availability of the information system’s for critical use resources, which would allow flexible adjustment of the access control subsystem in accordance with the operating conditions of the information system. The article first proposed the dependence of the loss of the confidentiality of the authentication process and the availability indicator of an information system for critical use. In this model, unlike the existing ones, the process of an optimal semi-Markov decision management strategy in a Markov authentication process of subjects wishing to gain access to the information system’s for critical use resources synthesis is formalized as a mathematical programming task, which allows minimizing the loss of availability of the authentication process, the confidentiality of which should not fall below the threshold set by the administrator. The article outlines the methodology for applying the model described above, taking into account that the “critical error” and “suspicion of error” situations are described in the system security policy, which can be identified by the access control subsystem during the authentication process. These situations are defined taking into account the fact that the access control subsystem has a stepped, complex, sequentially connected block structure, and each block-level subsystem includes the corresponding sub-blocks for the informative features selection and classifications combined into an ensemble. The experiments carried out using the created model showed that as the requirements for the authentication process are less stringent, the availability of the information system for critical use increases, but when the loss threshold reaches α ≈ 10∙10-2, the availability increase stops, which can be explained by the final completion of the subsystem adaptation delimiting access to the individual features of the subjects for which the system has been trained. It turned out that for small α values, the availability of the information system for critical use is relatively low, which is due to the registration of a large number of “critical error” and “suspicion of error” situations, which take time to process. Access restriction subsystems based on the simplest (perceptron) and complex (GMM-HMM) classifiers provide low availability indicators for small values of α, which is caused by the registration of a large number of “critical error” situations in the first and a large number of “suspicion of error” in the second situations. Finally, the best indicators of accessibility for any α values were shown by access control subsystems, based on deep and deep convolution neural networks, the effectiveness of which for the tasks of biometric identification of subjects based on the individual features of their voices was high.

Современные тенденции организации процесса аутентификации в информационных системах критического применения ориентированы прежде всего на повышение его надежности, впрочем, такой подход входит в противоречие с доминирующей в сфере информационной безопасности триадой CIA, в частности, в противоречие входят первый и третий компоненты триады. Следовательно, возникает потребность в формализации математического аппарата, который бы позволил описать зависимость между конфиденциальностью комплексной ступенчатой процедуры аутентификации и доступностью ресурсов информационной системы критического применения, что позволило бы гибко настраивать работу подсистемы разграничения доступа в соответствии с условиями эксплуатации информационной системы. В статье впервые предложена модель зависимости потерь конфиденциальности процесса аутентификации и показателя доступности информационной системы критического применения в которой, в отличие от существующих, процесс синтеза оптимальной полумарковских стратегии управления принятием решений в марковской процессе аутентификации субъектов, желающих получить доступ к ресурсам информационной системы критического применения, формализован как задача математического программирования, что позволяет минимизировать потери доступности процесса аутентификации, конфиденциальность которого не должна снизиться ниже заданного администратором порогового значения. В статье сформулирована методика применения вышеописанной модели с учетом того, что в системной политике безопасности описаны ситуации «критическая ошибка» и «подозрение на ошибку», которые могут идентифицироваться подсистемой разграничения доступа во время процесса аутентификации. Упомянутые ситуации определены с учетом того, что подсистема разграничения доступа имеет ступенчатую, комплексную, последовательно соединенную блочную структуру, а каждая блок-ступень подсистемы включает соответствующие подблоки выделения информативных признаков и классификации, объединенные в ансамбль. Проведенные с использованием созданной модели эксперименты показали, что с уменьшением требований к строгости процесса аутентификации доступность информационной системы критического применения растет, но по достижению пороговым значением потерь конфиденциальности уровня α ≈ 10∙10–2 рост доступности прекращается, что можно объяснить окончательным завершением процесса адаптации подсистемы разграничение доступа к индивидуальным особенностям субъектов, на распознавание которых была обучена система. Оказалось, что при малых значениях α доступность информационной системы критического применения является сравнительно низкой, что обусловлено регистрацией большого количества ситуаций «критическая ошибка» и «подозрение на ошибку», на обработку которых тратится время. Подсистемы разграничения доступа основанные на простейших (персептронных) и сложных (GMM-HMM) классификаторах обеспечивают низкие показатели доступности при малых значениях α, что обусловлено регистрацией большого количества ситуаций «критическая ошибка» в первом и большого количества ситуаций «подозрение на ошибку» во втором случаях. Наконец, лучшие показатели по доступности при любых значениях α показали подсистемы разграничения доступа, основанные на глубоких и глубоких сверхточных нейросетях, эффективность которых в задачах биометрической идентификации субъектов по индивидуальным особенностями их голосов оказалась высокой.