УДК [002:004.056.5]: [004.7:004.891]
Г. В. Бабенко, С. В. Белов
ЭКСПЕРТНЫЕ МЕТОДЫ КАК ИНСТРУМЕНТ ОПРЕДЕЛЕНИЯ ВАЖНОСТИ ПРОГРАММНО-АППАРАТНЫХ КОМПОНЕНТ СЕТЕВОЙ ИНФРАСТРУКТУРЫ ПРИ ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
При решении задач, связанных с диагностикой и защитой сетевых ресурсов, одной из основных проблем является оперативное обнаружение состояний сети, приводящих к потере ее работоспособности, или выявление некорректно функционирующих программно-аппаратных компонентов сети. Однако из-за большого количества разнообразных программных и аппаратных средств задача выбора основных из них является затруднительной.
В тех случаях, когда объективной информации оказывается недостаточно для определения численных значений требуемого критерия при принятии решения, необходимо использовать субъективные оценки, основанные на накопленном опыте, знаниях, идеях, мнениях и догадках специалистов, привлеченных к выработке субъективной оценки, т. е. необходимо проведение экспертизы.
В процессе эксплуатации сетевой инфраструктуры при реализации мер по защите информации актуальным является определение, из всего спектра компонентов программного и аппаратного окружения, тех частей, корректная работа которых наиболее важна для предотвращения потенциальных возможностей реализации угроз информационной безопасности при сетевом взаимодействии [1]. Основной задачей проведения экспертизы являлось определение важности (актуальности) компонент сетевой инфраструктуры - от типов уязвимых звеньев до информации, хранящейся в свойствах классов *^п32, для дальнейшего использования полученных оценок в процедурах контроля целостности программно-аппаратного окружения.
Формально любая экспертиза может быть разделена на три этапа: подготовка, проведение и обработка результатов. Разбив соответствующие этапы на процедуры, получим частные этапы проведения экспертизы. Для успешного решения задачи проведения экспертизы были сформулированы и определены:
— задача оценивания;
— множества допустимых оценок (МДО);
— общая схема проведения экспертизы;
— форма экспертизы;
— методы обработки экспертной информации и оценки согласованности экспертов;
— вопросы взаимодействия экспертов.
Задача оценивания
Задача оценивания состоит в сопоставлении числа или множества чисел рассматриваемой системе. Для решения задачи оценивания применим экспертные процедуры, а именно метод ранжирования, в котором эксперты располагают альтернативы в порядке предпочтения. Рассматриваемые в процессе анализа альтернативы, а именно характеристики состояния программно-аппаратной среды, могут являться элементами множества а или же точками критериального пространства Еп .
В данной работе задачу оценивания можно описать следующим образом:
— &1,^2,..., кп — критерии, учитываемые при выборе, упорядоченные по важности;
— система S = {&!,^2,..., кп}, которой сопоставляются значения /е {1, п} , где — номер к-го критерия при упорядочении по важности в порядке убывания. Таким образом, системе S сопоставляется перестановка < /1,..., гп >е Еп .
Тогда:
— Еп - это п-мерная шкала;
— оценивание - операция сопоставления вектора системе;
— задача оценивания - нахождение необходимого вектора.
При решении выбранной задачи оценивания множеством допустимых оценок будет являться множество Еп, состоящее из перестановок чисел 1, 2, ..., п, где п - количество альтерна-
тив, используемых в экспертизе. Задача ранжирования сводится к упорядочению объектов, образующих систему, по признаку «важности».
Форма опроса экспертов
При подготовке экспертизы необходимо конкретизировать выделенные параметры.
Если Еп =П = {< 1,2,..., п >, < 1,3,..., п, 2 >,..., < п, п - 1,..., 1 >} - множество, состоящее из перестановок длины п, то для формирования МДО экспертов определим множество Оэ, для конкретизации которого необходимо описать вид его представления эксперту.
Наиболее распространены следующие формы опроса экспертов:
— опрос типа интервью - предполагает беседу исследователя с экспертом, в ходе которой исследователь ставит вопросы, определяющие ОЭ;
— анкета - набор вопросов, не допускающих неоднозначного толкования и предполагающих качественный ответ эксперта;
— аналитический опрос - предполагает длительную аналитическую самостоятельную работу эксперта.
Для определения важности информации в классах '^п32 нами использовалась экспертная анкета. При проведении первого этапа экспертизы эксперты изолированы друг от друга и высказывают свое мнение независимо от других. Соответственно, обратная связь между экспертами отсутствует. При выборе экспертов для заполнения анкеты необходимыми были следующие требования:
— компетентность в сфере информационных технологий;
— опыт принятия решений;
— незаинтересованность экспертов в результатах экспертизы;
— всесторонность экспертов в сферах информационной безопасности, администрирования, программирования, телекоммуникаций, сетевых технологий, программно-аппаратных вычислительных комплексов.
Достоинство ранжирования как метода экспертного измерения - простота осуществления процедур, не требующая трудоемкого обучения экспертов. Недостатком ранжирования является практическая невозможность упорядочения большого числа объектов. Как показывает опыт, при числе объектов большем 10-15, эксперты затрудняются в построении ранжировки. Это объясняется тем, что в процессе ранжирования эксперт должен установить взаимосвязь между всеми объектами, рассматривая их как единую совокупность. При увеличении числа объектов количество связей между ними растет пропорционально квадрату числа объектов. Сохранение в памяти и анализ большой совокупности взаимосвязей между объектами ограничиваются психологическими возможностями человека. Оперативная память человека позволяет оперировать в среднем не более чем 7 ± 2 объектами одновременно [2], поэтому при ранжировании большого числа объектов эксперты могут допускать существенные ошибки [3]. С учетом вышеперечисленных факторов анкета приобрела соответствующий вид. В данной работе приведена неполная версия анкеты из-за ее обширности.
Общая анкета была разбита на три основных уровня и соответствующие подуровни. На первом уровне оцениваются уязвимые звенья сетевой структуры (табл. 1).
Таблица 1
Пример экспертной анкеты первого уровня
Уровень Н аименование О Н аименование О Наименование О Наименование О
Уровень п = 1 (классы уязвимых звеньев сети) Серверные платформы 1 Сетевое коммутационное оборудование 3 Автоматизир о в анная система 2 Иное сетевое оборудование 4
Уровень п = 1.1 (типы уязвимых звеньев сети) Прокси-сервер (брандмауэр) 1 Повторитель 3 Рабочая станция 1 Сетевой принтер 1
Почтовый сервер 3 Концентратор 4 Тонкий клиент 2
БТР-сервер 2 Мост 2
Сервер-шлюз 4 М аршрутизатор 1
Сервер приложений 5 Конвертор 5
(Добавить элемент, если не учтено)
На втором уровне оцениваются такие факторы, как вид обеспечения, участвующего в функционировании сети (табл. 2)
Таблица 2
Пример экспертной анкеты второго уровня
Уровень Н аименование О Н аименование О Н аименование О Наименование О
Уровень п = 2 (класс обеспечения) Программное 1.5 Программное 1 Программное 1.5 Программное 1
Аппаратное 1.5 Аппаратное 1.5
Уровень п = 2.1 (вид обеспечения) Драйверы аппаратных компонент 1 Настройки прошивки или ОС 1 Драйверы аппаратных компонент 1 Настройки прошивки 1
Параметры ОС, обновлений и надстроек 2 Параметры ОС, обновлений и надстроек 2
(Добавить элемент, если не учтено)
Уровень п = 2.2 (вид обеспечения) Сетевой адаптер 1 Сетевой адаптер 1
Оперативная память 2.5 Оперативная память 2.5
Центральный процессор 2.5 Центральный процессор 2.5
(Добавить элемент, если не учтено)
На третьем уровне оцениваются непосредственно классы '^п32, описывающие классы уязвимых звеньев и обеспечения, а также их свойства (табл. 3).
Таблица 3
Пример экспертной анкеты третьего уровня
Уровень Наименование | О | Уровень | Наименование О
Уровень п = 3 (тип характеристик) Совокупность программно-аппаратного обеспечения (не требует оценивания) -
Уровень п = 3.1 (классы Win32, характеризующие сетевой адаптеру Win32 NetworkAdapter 5 Уровень п - 3.2 (классы Win32 характеризующие центральный процессор) Win32 Processor 5
Win32 NetworkAdapterConfiguration 2 Win32 PerfFormattedData PerfOS Processor 3
Win32 NetworkProtocol 1 Win32 PerfFormattedData PerfProc JobObject 1
Win32 ActiveRoute. 4 Win32 PerfFormattedData PerfOS System 4
Win32 PerfFormattedData Tcpip IP 6 Win32 AssociatedProcessorMemory 2
Win32_PerfFormattedData_Tcpip_NBTConne ction 9 Win32_ComputerSystemProcessor 6
Win32_PerfFormattedData_Tcpip_NetworkInt erface 7
Win32 PerfFormattedData Tcpip TCP 10
Win32 PerfFormattedData Tcpip UDP 8
Win32 POTSModem. 11
Win32 SystemNetworkConnections 3
Уровень п - 3.3 (классы Win32, характеризующие оперативную память) Win32 MemoryArray 5 Уровень п - 3.4 (классы Win32 характеризующие общее состояние аппаратного обеспечения и ВЮ8) Win32 PNPAllocatedResource 1
Win32 MemoryArrayLocation 2 Win32 PNPDevice 4
Win32 MemoryDevice 1 Win32 PNPEntity 6
Win32 MemoryDeviceArray 4 Win32 PerfFormattedData PerfOS Objects 8
Win32 MemoryDeviceLocation. 6 Win32 PerfFormattedData PerfProc Process 7
Win32 PhysicalMemory 9 Win32_PerfFormattedData_PerfProc_ProcessA ddressSpace Costly 2
Win32 PhysicalMemoryArray 7 Win32 PerfFormattedData PSched PSchedFlow 5
Win32 PhysicalMemoryLocation. 3 Win32 PerfFormattedData PSched PSchedPipe 3
Win32 PerfFormattedData PerfOS Cache 8
Уровень п - 3.5 (классы Win32 характеризующие общее состояние программного обеспечения) Win32 Patch 4 Уровень п = 3.6 (классы Win32 характеризующие ПЗУ) Win32 DiskDrive 4
Win32_RegistryAction 6 Win32 PerfFormattedData PerfDisk LogicalDi sk 2
Win32_SoftwareF eature, Win32 SoftwareElement 1 Win32_PerfFormattedData_PerfDisk_PhysicalD isk 5
Win32 ProglDSpecification 7 Win32 SystemPartitions 3
Win32 Product 2 Win32 PerfFormattedData PerfOS PagingFile 1
Win32 ProductSoftwareFeatures 5
Win32_SystemDevices 3
Продолжение табл. 3
Уровень Н аименование О Уровень Наименование О
Уровень п = 3 (тип характеристик) Совокупность программно-аппаратного обеспечения (не требует оценивания) -
Win32 IniFileSpecification 4 Уровень n - 3.8 (классы Win32 Win32 SystemBIOS 1
Уровень Win32 Service 6 Win32 SystemDriverPNPEntity 2
п = 3.7 Win32 Proxy 8 Win32 BIOS 4
(классы Win32 ComputerSystem 7 Win32 SystemSystemDriver 3
Win32 Win32 BootConfiguration 2
характе- Win32 OperatingSystem 5 ризую- щие драйверы)
ризую- Win32 OSRecoveryConfiguration 3
щие ОС) Win32 SystemProcesses 9
Win32 SystemOperatingSystem 1
Подробное описание классов Win32 и их свойств, используемых при проведении экспертизы, возможно изучить с использованием ресурсов MSDN Library, а именно по адресу http://msdn.microsoft.com/en-us/library/aa394084(VS.85).aspx [4]. Существует также возможность подробно ознакомиться с представленными классами при помощи специального прикладного программного обеспечения WMI Code Creator (рис. 1) [5].
Рис. 1. Программа WMI
Каждый класс Win32_* имеет свойства, в которых хранятся сведения, описывающие состояние программно-аппаратной среды [6]. Изменение данной информации может свидетельствовать о потенциальных нарушениях в инфраструктуре сети. Важность определяется путем ранжировки классов.
Схема проведения экспертизы приведена на рис. 2. В ней эксперты проводят экспертизу удаленно, что в процессе определения субъективной оценки исключает деформирование оценок за счет влияния авторитетных мнений и появления ошибок, если авторитет руководствуется предвзятым мнением.
Построение МДО - Оэ
И
Эксперт 1
Эксперт N
* Эксперт 2
Построение экспертного МДО - Оэ
!"_!) Эксперт ...
Эксперт N - 1
Систематизация
и анализ
экспертных оценок
Результат
Рис. 2. Схема проведения экспертизы
В данной экспертизе, как описано выше, обратная связь и взаимодействие экспертов отсутствуют.
Методы обработки экспертной информации и оценки согласованности экспертов
Обработка оценок экспертов состоит в применении к ним заданного отображения
ф:(Оэ^ .
Обработка заключается в нахождении результирующей оценки системы по оценкам, даваемым экспертами. При обработке оценок можно выделить следующие методы:
— статистические - основаны на предположении, что отклонение оценок экспертов от истинных происходит в силу случайных причин;
— алгебраические - заключаются в определении минимальных расстояний между результирующей и экспертными оценками;
— методы шкалирования - при определении минимального набора критериев устанавливаются указанные экспертами различия.
Рассмотрим более подробно статистические методы обработки экспертной информации, т. к. метод ранжирования и, соответственно, задача ранжирования являются частным случаем статистических методов. При статистической обработке результаты оценок каждого из экспертов можно рассматривать как реализацию некоторой случайной величины, принимающей значения из Оэ . Данные методы позволяют определить согласованность мнений экспертов, значимость полученных оценок и т. п.
При проведении экспертизы применим метод нестрогого ранжирования. Задача нестрогого ранжирования состоит в сопоставлении системе ранжировки, в которой некоторые объекты могут быть равноценными, что также увеличит значимость проводимой экспертизы. При этом равноценные элементы получают ранг, вычисляемый как среднее арифметическое ограничивающих значений: при равноценности объекта 1 и объекта 2 ранг R1 — R2 — + Rl2)/2.
При проведении анализа данных, полученных методом ранжирования, применяют среднее арифметическое. Однако такой способ недостаточно корректен, поскольку оценки обычно измерены в порядковой шкале. Обоснованным является использование медиан в качестве средних баллов. Однако полностью игнорировать средние арифметические нецелесообразно из-за их прозрачности и распространенности. Поэтому представляется рациональным использовать одновременно оба метода - и метод средних арифметических рангов (баллов), и метод медианных рангов. Такая рекомендация находится в согласии с общенаучной концепцией устойчивости, рекомендующей применять различные методы для обработки одних и тех же данных с целью выделить выводы, получаемые одновременно при всех методах. Такие выводы, видимо, соответствуют реальной действительности, в то время как заключения, меняющиеся от метода к методу, зависят от субъективизма исследователя, выбирающего метод обработки исходных экспертных оценок [2].
При использовании метода средних арифметических необходимо определить сумму рангов, средний ранг, а также результирующий средний ранг. Результирующее значение V определяется как сумма рангов, при этом важность пропорциональна меньшим значениям сумм рангов (функция 1).
N
V = min ^ r . (1)
i=1
При нахождении медиан рангов необходимо использовать ответы экспертов, соответствующие объекту, и расположить их в порядке возрастания. Получив последовательность рангов, необходимо выбрать те значения ri, которые соответствуют i = (n /2) ± 1. При получении равноценных элементов во множествах медиан и средних рангов этим элементам присваивается ранг, вычисляемый как среднее арифметическое (табл. 4).
Таблица 4
Структура применения методики анализа
Эксперты Объекты
1 2 n
1 R11 R12 R1n
2 R21 R22 R2n
N RN1 RNn
Сумма рангов Ri R2 Rn
Средний ранг R1cp R2cp Rncp
Итоговый ранг по среднему арифметическому IRi IR2 IRn
Медианы рангов C1 C2 Cn
Итоговый ранг по медианам IC1 IC2 ICn
Степень согласованности экспертов определяется с использованием коэффициента конкордации (функция 2):
п 1
12^ [г — 2 N(п +1)]2
W =---------¡=--------------------------------------------------------;-, (2)
N k¡ у ’
N 2(п3 — п) — N (¿| — ^)
i=1 ]=1
где п - число объектов анализа; N - число экспертов; ki - число групп равных рангов, введенных ¡-м экспертом; - количество дробных рангов в]-й группе, введенных ¡-м экспертом.
Для определения статистической значимости проведенной ранжировки воспользуемся %2-распределением с (п - 1) степенями свободы. Определив коэффициент конкордации W, предположим, что вероятность ошибки или вероятность случайности полученных оценок Р. Тогда, сравнив с табличным значением величину N(п — 1^ , сделаем вывод о том, что проведенный экспертный анализ статистически значим, т. к. W> Wa (табл. 5).
Таблица 5
Результаты статистической значимости экспертизы
Значение уровня W W a P W W a P W W a P W W a P
n = 1 0,943 0,499915 0,943 0,836957 0,943 0,614087 0,943 0,074205
n = 1.1 0,8563 0,791168 0,8563 0,982531 0,8563 0,377029 0,8563 0,754211
n = 2 0,978 0,959842 0,978 0,69139 0,978 0,808055 0,978 0,096437
n = 2.1 0,8801 0,852305 0,8801 0,865671 0,8801 0,132175 0,8801 0,539035
n = 2.2 0,8302 0,188449 0,8302 0,601071 0,8302 0,023283 0,8302 0,432317
n = 3.1 0,7932 0,782568 0,7932 0,572959 0,7932 0,91698 0,7932 0,55934
n = 3.2 0,8256 0,365914 0,01 0,8256 0,152078 0,05 0,8256 0,566171 0,1 0,8256 0,222514 0,2
n = 3.3 0,7571 0,696632 0,7571 0,527097 0,7571 0,54783 0,7571 0,25381
n = 3.4 0,8561 0,622668 0,8561 0,366071 0,8561 0,668099 0,8561 0,995822
n = 3.5 0,8674 0,569061 0,8674 0,730121 0,8674 0,220182 0,8674 0,9761
n = 3.6 0,7753 0,71587 0,7753 0,078048 0,7753 0,848254 0,7753 0,646658
n = 3.7 0,7223 0,026237 0,7223 0,911899 0,7223 0,603192 0,7223 0,729056
n = 3.8 0,7392 0,957835 0,7392 0,907045 0,7392 0,16899 0,7392 0,496978
Проведение дополнительной экспертизы
Из-за сложности структуры анкеты для получения более точных результатов была проведена дополнительная экспертиза. При проведении дополнительной экспертизы обмен информацией между экспертами был регламентирован, что позволило избежать проблем формирования мнения экспертом. Взаимодействие экспертов осуществлялось с использованием метода мозгового штурма с применением обратной связи в экспертизе по методу Дельфи, за основу была взята аксиома несмещенности, согласно которой мнение большинства компетентно [7] (рис. 3).
Рис. 3. Групповая оценка
Так как принятие решений не является каким-то обособленным, единовременным актом, а процессам, протекающим во времени и состоящим из нескольких этапов, то в течение определенного промежутка времени аргументированные оценки экспертов не оцениваются. После чего следующий эксперт на основе полученной информации проводит собственную экспертизу [8]. Таким образом, количество этапов экспертизы равно количеству экспертов в группе (рис. 4).
Рис. 4. Схема проведения дополнительной экспертизы
В результате было получено два множества экспертных оценок: 1) по результатам обработки экспертных анкет, с определением статистической значимости и согласованности экспертов; 2) по результатам дополнительной экспертизы, подкрепленное актом о проведении экспертизы. Анализ множеств не выявил существенных разногласий в оценках важности, что позволяет применять оба варианта результатов экспертного анализа.
Заключение
Основной задачей проведения экспертизы являлось определение важности (актуальности) компонент сетевой инфраструктуры - от типов уязвимых звеньев до информации, хранящейся в свойствах классов '^п32, для обеспечения целостности программно-аппаратного окружения.
Из всего спектра компонент программного и аппаратного окружения были выделены те части, корректная работа которых наиболее важна для предотвращения потенциальных возможностей реализации угроз информационной безопасности, затем было определено множество альтернатив и соответствующее ему множество допустимых оценок.
Разбив соответствующие этапы проведения экспертизы на процедуры, мы получили частные этапы проведения экспертизы. Была сформулирована задача оценивания альтернатив. Была разработана также общая и дополнительная схема проведения экспертизы. Была представлена форма экспертизы - экспертная анкета. При анализе экспертных оценок были использованы также методы обработки экспертной информации и оценки согласованности экспертов.
СПИСОК ЛИТЕРАТУРЫ
1. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. - М.: Изд. дом «Вильямс», 2003. - 448 с.
2. Громов Ю. Ю., Земской Н. А., Лагутин А. В. Системный анализ в информационных технологиях: учеб. пособие. - Тамбов: Изд-во ТГТУ, 2007. - 176 с.
3. Джарратано Дж., Райли Г. Экспертные системы. Принципы разработки и программирование. -М.: ООО ИД «Вильямс», 2007. - 1152 с.
4. Станек У. Р. Командная строка Microsoft Windows. Справочник администратора. - М.: Изд.-торг. дом «Русская редакция», 2004. - 480 с.
5. Олифер В. Г., Олифер Н. А. Сетевые операционные системы. - СПб.: Питер, 2002. - 544 с.
6. Уилсон Э. Мониторинг и анализ сетей. Методы выявления неисправностей. - М.: Лори, 2002. - 364 с.
7. Статические и динамические экспертные системы: учеб. пособие / Э. В. Попов, И. Б. Фоминых, Е. Б. Кисель, М. Д. Шапот. - М.: Финансы и статистика, 1996. - 320 с.
8. Антонов В. В. Системный анализ. - М.: Высш. шк., 2004. - 454 с.
Статья поступила в редакцию 9.12.2010
EXPERT METHODS AS A TOOL FOR DETERMINING THE IMPORTANCE OF SOFTWARE-HARDWARE COMPONENTS OF NETWORK INFRASTRUCTURE IN THE PROVISION OF INFORMATION SECURITY
G. V. Babenko, S. V. Belov
The main problem solved in this study was to determine the relevance of the components of network infrastructure to monitor the integrity of the hardware software environment, while ensuring information security. From the entire spectrum of components of software and hardware environment there were singled out those parts, performance of which is most important to prevent the potential for implementation of information security threats. It helped to identify a set of alternatives and the corresponding set of admissible estimates. The relevant phases of the examination were divided into the procedures, it gave the opportunity to get partial phases of the examination. The problem of estimating the alternatives was formulated. The general and additional schemes of the examination have been developed. The special form of the questionnaire has been developed and used. In the analysis of expert assessments the techniques of expert information processing and assessment of the consistency of experts were used.
Key words: network infrastructure, ranking, expert interviews, the consistency of assessments, a set of alternatives.