Распостраненные в нашей стране персональные компьютеры, работающие под управлением операционной системы MS-DOS, к сожалению, не отвечают требованиям, которые предъявляются к системам, в которых обрабатывается критичная информация. Решение указанной проблемы состоит в использовании подсистем безопасности, улучшающих характеристики защищенности вычислительной системы. Для оценки соотношения качества подсистемы защиты информации в настоящей статье выделены основные характеристики подсистем защиты: устойчивость подсистемы защиты информации к вскрытию, корректность реализации подсистемы защиты информации, удобство работы с подсистемой защиты информации. Эти характеристики являются интегральными. Они зависят от характеристик реализации подсистемы, которые можно выделить на основе классификации подсистем защиты информации персональных компьютеров, работающих под управлением операционной системы MS-DOS. Построение классификации систем защиты информации необходимо для оценки степени защищенности вычислительных систем. Одной из первых классификаций была американская классификация систем и подсистем защиты информации [1]. В ней рассмотрено деление систем защиты информации на четыре уровня защищенности, от А до Д.В свою очередь, уровни защищенности подразделяются на группы безопасности. По этой классификации персональные компьютеры, работающие под управлением операционной системы MS-DOS относятся к уровню D, уровню незащищенных систем. В [2] была предложена классификация устойчивости систем защиты информации к вскрытию на основе внутренних характеристик системы защиты пользователем. Но такая оценка неформальна, т.к. вероятность того, будет ли пользователь снимать защиту с системы - субъективна. Построим классификацию подсистем защиты информации по следующему принципу. Выделим основные характеристики подсистем защиты информации: функциональные возможности, используемые методы и характеристики реализации. Каждая из этих характеристик разбивается на подпункты, уточняющие данный признак, в результате чего строится иерархическое дерево, позволяющее проводить классификацию подсистем защиты информации. С использованием классификации можно составить характеристические функции зависимости интегральных характеристик системы защиты информации от соответствующих классификационных характеристик, принадлежащих иерархическому дереву. Эти функции являются аддитивномультипликативными, нормированными на отрезке [0..1] и показывают относительную характеристику подсистемы защиты информации на основе характеристик подсистемы защиты. Для определения интегральной характеристики устойчивости подсистемы защиты информации к вскрытию составляется функция, учитывающая следующие характеристики подсистемы защиты информации: сложность копирования уникальных меток, проставляемых программой, качество шифрации программы, защита от отладчика и программ-закладок: Fprot. = min(P,(Shifr*Trass)) , где Р - характеризует сложность копирования уникальных меток; Shifr - характеризует качество шифрации программы; Trass - характеризует защиту от отладчика. Рассмотрим составные части этого соотношения. Любая подсистема разграничения доступа характеризуется процессом идентификации, во время которого она устанавливает множество уникальных меток вычислительной среды. К этим меткам относятся, как метки, полученные в результате изменения параметров вычислительной среды (нестандартное форматирование винчестера и т.д.), так и метки, являющиеся внешними для вычислительной среды (пароли и т.д.). Множество параметров вычислительной среды счетно, и эти параметры могут принимать счетные значения. Таким оразом, характеристика сложности копирования уникальных меток вычисляется по формуле N P = П (p(m(i))) , i=1 где Р - вероятность того, что параметр m(i) примет значение m. Процесс аутентификации заключается в роверке уникальных параметров среды, ус- 1 иновленных во время процесса идентификаии. Соответствующие метки проверяются на основе операций равенства. В процессе этой роверки важно качество шифрации подсистемы защиты информации (Shisr) и качество защиты ее от отладчика (trass). Качество шифрации подсистемы защиты информации характеризуется следующими параметрами: затирание отработанного кода, расшифровка кода перед его исполнением, зависимость кода от наличия отладчика, временные зависимости и кода и т.д. Качество защиты от отладчика подсистемы защиты информации характеризуется следующими параметрами: самоверификация, блокировка клавиатуры, отказ от пользования прерываний, запрет записи на диск контроль прерываний отладчика, верификация вычислительной среды на наличие отладчика или логических бомб и т.д. Для определения интегральной характеристики корректности реализации подсистемы защиты информации можно составить функцию, учитывающую корректную работу подсистемы защиты информации с файловой системой, с операционной средой и использование подсистемой защиты информации характеристик вычислительной системы, изменяющихся под воздействием внешних факторов: N Fcor. = Fl*Sr*SYM(Tmi) , где (2) i=0 Fl - характеризует корректность работы с файловой системой (корректность защиты файлов различной структуры - соm, ехе, оверлейных); Sr - характеризует корректносгь рабогы с операционной средой (проблема совместимости с другими программными продуктами); Тmi - характеризует использование подсистемой защиты информации характеристик вычислительной системы, изменяющихся под воздействием внешних факторов (привязка к временным параметрам узлов ухудшает корректность подсистемы защиты информации, так как эти параметры могут меняться ). Для определения интегральной характеристики удобства работы с подсистемой защиты информации можно написать функцию, учитывающую весь сервис, который может предоставить подсистема защиты информации пользователю, в том числе удобный пользовательский интерфейс, наличие контекстной помощи и т.д.. N Fser = SYM Svi ,где (3) i=0 Svi - характеризует одно из удобств, предоставляемых подсистемой пользователю. На основании всего вышеизложенного, в Центре Защиты Информации Санкт-Петербургского Технического Университета на языке Сlipper 5.01 реализована информационно-поисковая система подсистем защиты информации, позволяющая подобрать для конечного пользователя подсистему защиты информации с нужными ему характеристиками. Литература 1. И. Моисеенков Американская классификация и принципы оценивания защищенных систем, КомпьютерПресс, номер 2-3, 1992г. 2. С.П. Расторгуев Защита информации в вычислительных системах и сетях, М., 1993г.