Научная статья на тему 'База знаний экспертной системы аудита информационной безопасности'

База знаний экспертной системы аудита информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
477
126
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «База знаний экспертной системы аудита информационной безопасности»

с большой размерностью исходного признакового пространства. На конкретной прикладной задаче изучены поведение и свойства вариантов алгоритмов распознавания при различных вариациях интенсивностей шумов и величин параметров оптимизации, а именно: исследованы время и эффективность распознавания при изменении интервалов дискретизации, метода системы информативных признаков (СГК), вида распределения шумов и дисперсии шумов.

Литература

1. Вагин В.Н. [и др.] Достоверный и правдоподобный вывод в интеллектуальных системах. М.: Физматлит, 2004.

2. Шоломов Л.А. Исследование одного класса динамических процедур коллективного выбора // Нелинейная динамика и управление. Вып. 5. М.: Физматлит, 2007.

3. Вирт Н. Алгоритмы и структуры данных М.: Мир, 1989. С. 360.

4. Маклин С., Нафтел Дж., Уильяме К. М15 Microsoft .NET Remoting; пер. с англ. М.: Изд.-торг. дом «Русская Редакция», 2003. 384 с.

УДК 004.056.005

БАЗА ЗНАНИЙ ЭКСПЕРТНОЙ СИСТЕМЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

О.Ю. Коробулина (Санкт-Петербургский государственный университет путей сообщения,

о1дакогоЬиИпа@дтаИ. сот)

В статье рассматриваются достоинства фреймовой модели представления знаний и способы их реализации при проектировании базы знаний экспертной системы аудита информационной безопасности. Приводятся описание созданных фреймов и схема их связи. Описываются механизм логического вывода и способ формирования объяснений принятого экспертной системой решения.

Ключевые слова: база знаний, фрейм, прямой логический вывод, объяснение принятого решения.

Анализ методов аудита информационной безопасности, проведенный авторами исследования в работе [1], показал, что наиболее перспективным является экспертный аудит.

Под экспертным аудитом понимается сравнение состояния информационной безопасности информационной системы с идеальным описанием, которое базируется на требованиях, предъявленных руководством в процессе проведения аудита, и на описании идеальной системы безопасности, основанном на аккумулированном в компании-аудиторе мировом и частном опыте [2].

Проведение экспертного аудита информационной безопасности требует хорошей подготовки экспертов, а специалистов такого уровня очень мало. Кроме того, решение задачи плохо формализуется и в большей степени строится на личном опыте и интуиции. В этой связи можно сделать вывод о том, что для решения подобных задач следует использовать экспертные системы (ЭС).

ЭС - это интеллектуальная компьютерная программа, в которой используются знания и процедуры логического вывода для решения задач, достаточно трудных для того, чтобы требовать для своего решения значительного объема экспертных знаний человека [3].

Чтобы ЭС могла получать и эффективно использовать эвристические знания, они должны быть представлены в легкодоступном формате (в виде данных, знаний и структур управления). В связи с этим в структуре ЭС выделяются три основных компонента:

1) БЗ - ядро ЭС, содержащее правила и процедуры, используемые при принятии решения;

2) рабочая память, в которой в каждый момент содержится информация, предоставленная пользователем и используемая для принятия решения по конкретной проблеме;

3) механизм принятия решения (МПР) - это общий механизм управления, который для принятия решения применяет аксиоматические знания из БЗ к данным в рабочей памяти.

БЗ создается инженерами по знаниям. Они переводят знания экспертов-людей в правила и стратегии, которые могут изменяться в зависимости от сценария рассматриваемой проблемы. БЗ предоставляет ЭС возможность давать рекомендации в ответ на вопрос пользователя и предлагать ему программу дальнейших исследований в области, важной для принятия решения, но не очевидной для пользователя.

Для представления знаний в ЭС аудита информационной безопасности автором была выбрана фреймовая модель представления знаний.

Фрейм аналогичен структуре записи на языке высокого уровня (например С++), он состоит из слотов и заполнителей слотов. Можно определить фрейм как группу слотов и их заполнителей, которые определяют объект. Причем в качестве заполнителей могут выступать одиночные значения, группы значений или процедурные вложения.

Определение фреймов может быть расширено таким образом, что оно будет охватывать и свойства объектов языков программирования высокого

уровня. Тогда любой объект может рассматриваться как фрейм, следовательно, для программирования БЗ на основе фреймов могут использоваться объектно-ориентированные языки программирования.

Представление знаний в виде фреймов позволяет упростить разработку, эксплуатацию и сопровождение БЗ. ЭС на основе фреймов являются также очень полезным средством представления причинных знаний, поскольку хранимая в них информация организована с учетом причин и следствий.

Кроме того, из сходства фреймов с объектами следуют два достоинства фреймов, использование которых помогает создавать большие БЗ.

1. Благодаря легкости реализации процедуры наследования, фреймы удобны в использовании при создании иерархических систем. Следовательно, с помощью фреймов можно создавать мощные и разветвленные БЗ.

2. Знания во фреймах могут быть заданы по умолчанию. Применяемые по умолчанию значения соответствуют ожиданиям человека в отношении некой ситуации (их множество складывается на основании опыта). После обнаружения новой ситуации осуществляется модификация наиболее подходящего фрейма (происходит изменение значения по умолчанию), что позволяет проще приспособиться к ней. То есть использование фреймов дает возможность упростить процедуру модификации БЗ, следовательно, БЗ становится более гибкой.

В разработанной БЗ ЭС аудита информационной безопасности (ЭСАИБ) представлены 5 типов фреймов. Их названия и краткое описание слотов приведены в таблице.

Типы фреймов

Название фрейма Содержание фрейма

Угроза Описание угрозы информационной безопасности

Уязвимость Описание уязвимости

Требование информационной безопасности Описание требования информационной безопасности и его вес в диапазоне [0; 1]

Рекомендация Описание рекомендации и уровень сложности ее реализации в диапазоне [0; 1]

Информационная система Описание информационной системы определенного класса и числовые значения необходимой степени защищенности для каждой угрозы для данного класса

Все фреймы связаны между собой с помощью значений определенных слотов. В качестве внешних ключей для связи фреймов выступают числовые значения - коды (угрозы, уязвимости, требования и рекомендации). Схема связи показана на рисунке.

Таким образом, можно сделать вывод, что спроектированная на основе фреймов БЗ практически аналогична реляционной БД.

В качестве механизма логического вывода был выбран прямой вывод от фактов к целям. Фактами являются сведения о требованиях информационной безопасности, реализованные в системе защиты информации, а также степень защищенности информационной системы, вычисленная на их основе. Цели - это рекомендации для повышения степени защищенности, которые формирует ЭС.

Выбор прямого логического вывода объясняется тем, что именно этот тип вывода является наиболее подходящим для решения задач планирования и текущего контроля. При проведении аудита информационной безопасности не представляется возможным без обследования системы защиты информации сформулировать гипотезу о степени защищенности информационной системы, как это было бы необходимо в случае использования обратного логического вывода.

Основное достоинство ЭС с обратным логическим выводом в том, что этот тип вывода способствует формированию объяснения принятого решения. Прямой логический вывод таким качеством не обладает. Данная проблема была решена с помощью специальных слотов во фреймах «Требование информационной безопасности» и «Рекомендация». Эти слоты содержат соответственно описание причины предъявления требования и причины выдачи рекомендации. Изначально эти слоты заполняются в соответствии с опытом человека-эксперта, но при работе системы возможна модификация значений данных слотов в соответствии с накопленным опытом. Таким образом, в предложенной системе реализована возможность использования значений по умолчанию в качестве заполнителей слотов.

При заполнении БЗ, помимо опыта экспертов, использовались требования международных и

Код угрозы

Угроза

Код уязвимости

-Код уязвимости

Код требования

Требование

н-

Код рекомендации

Уязвимость

Код требования

\-Код уязвимости

Рекомендация

Класс системы

Н—н

Информационная система

Класс системы

Схема связи фреймов БЗ

российских нормативных документов по информационной безопасности. Используемые стандарты и их классификация представлены в работе [1].

Кроме требований нормативных документов, при заполнении БЗ использовались знания экспертов информационной безопасности, представленные в виде интуитивных правил, например: «Пароль для доступа к операционной системе, состоящий из 8 символов, является самым стойким, но такой пароль сложен для запоминания пользователями. Следовательно, пользователи будут записывать пароль (например, на листе бумаги). Таким образом, использование такого пароля не повысит защищенность системы, а снизит ее. Следовательно, пароли для пользователей должны быть короче (не более 6 символов)».

Исследования, результаты которых представлены в данной статье, проводились в рамках кон-

курса грантов 2010 года для студентов и аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга, организованного Комитетом по науке и высшей школе Санкт-Петербурга. Название работы - «Разработка баз знаний экспертной системы аудита информационной безопасности», регистрационный номер 3.11/03-06/023.

Литература

1. Ivanova N., Korobulina O. Methods of analysis for the information security audit // New Trends in Information Technologies. ITHEA, Sofia, 2010. С. 152-161.

2. Просянников Р.Е. Избавиться от заблуждений. Виды аудита информационной безопасности // Connect! Мир связи, 2004. № 12. С. 148-151.

3. Джарратано Дж., Райли Г. Экспертные системы. Принципы разработки и программирование. М.: Издат. дом «Вильямс», 2007. 1152 с.

УДК 004.056.005

ЭКСПЕРТНАЯ СИСТЕМА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Н.В. Иванова, к.т.н.; О.Ю. Коробулина

(Санкт-Петербургский государственный университет путей сообщения, natali_iv@rambler. ru, olgakorobulina@gmail. com)

В статье представлено описание экспертной системы аудита информационной безопасности: структурная схема системы и алгоритм работы. Проведен сравнительный анализ существующих программ-оболочек экспертных систем, на основе полученных результатов принято решение об использовании программы-оболочки CLIPS для создания экспертной системы.

Ключевые слова: экспертная система, аудит информационной безопасности, алгоритм работы, программа-оболочка CLIPS.

При проведении аудита информационной безопасности (ИБ) информационных систем (ИС) перед аудиторами встает вопрос об оценке защищенности ИС, а также о выработке рекомендаций, выполнение которых может способствовать повышению уровня защищенности. При этом стоимость предложенных рекомендаций должна быть адекватной стоимости защищаемой информации, кроме того, рекомендации должны быть максимально эффективными.

Очевидно, что при проведении аудита ИБ необходимо учитывать опыт предыдущих аудиторских проверок. Этот опыт удобно хранить в БД и БЗ, а применять его можно с использованием технологии экспертных систем (ЭС) [1].

Разрабатываемая ЭС аудита ИБ решает следующие задачи:

- автоматизация процедуры проведения аудита;

- облегчение работы или полная замена экспертов ИБ;

- использование накопленного ранее опыта;

Эксперт ИБ

Инженер по знаниям

Пользователь

Рис. 1

i Надоели баннеры? Вы всегда можете отключить рекламу.