CC BY
11a person in this industry. The complete transfer of business processes under the authority of AI in the pharmaceutical industry is currently impossible. References
1. Kulkov I., Berggren B., Hellström M., Wikström K. Navigating uncharted waters: Designing business models for virtual and augmented reality companies in the medical industry. // Journal of Engineering and Technology Management. - 2021. - Vol. 59, 101614. DOI: https://doi.org/ 10.1016/j.jengtecman.2021.101614
2. Kulkov I., Barner-Rasmussen W., Ivanova-Gongne M., Tsvetkova A., Hellström M., Wikström K. Innovations in veterinary markets: opinion leaders' social capital. // Journal of Business & Industrial Marketing. - 2021. - Vol. 36. No. 13. - Pp. 1-14. DOI: https://doi.org/10.1108/JBIM-02-2020-0098
3. Kulkov I., Hellström M., Wikström K. Struggling with conservatism: entrepreneurships' challenges in business model design. // International Journal of Value Chain Management. - 2021. - Vol. 12(1). - Pp. 45-61. DOI: https://doi.org/10.1504/IJVCM.2021.112844
4. Kulkov I. The role of artificial intelligence in business transformation: A case of pharmaceutical companies. // Technology in Society. - 2021. - Vol. 66, 101629. DOI: https://doi .org/10.1016/j .techsoc.2021.101629.
УДК 330+004
doi:10.18720/SPBPU/2/id21-354
Хубаев Георгий Николаевич1,
профессор кафедры Информационных систем и прикладной информатики, д-р экон. наук. профессор
КОМПЬЮТЕРНЫЕ СЕТИ: ЭКОНОМИЧЕСКИЙ АСПЕКТ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
1 Россия, Ростов-на-Дону, Ростовский государственный экономический университет (РИНХ), gkhubaev@mail.ru
Аннотация. Предложены оригинальные методы и инструментальные средства, обладающие рядом преимуществ и позволяющие: выделять ранжированные перечни основных угроз безопасности компьютерных сетей и количественно оценивать величину ущерба от взлома защиты компьютерной сети; оценивать затраты времени, трудовых и финансовых ресурсов на осуществление каждой операции процесса, нарушающего работоспособность компьютерной сети.
Ключевые слова, компьютерная сеть, оригинальный метод, инструментальные средства, угрозы безопасности, величина ущерба, затраты ресурсов.
Georgy N. Khubaev1, Professor, Department of Information systems and applied
Doctor of Economics, Professor
COMPUTER NETWORKS: THE ECONOMIC ASPECT OF SECURITY
1 Rostov State Economic University (RINH), Rostov-on-Don, Russia,
gkhubaev@mail.ru
Abstract. Original methods and tools are proposed that have a number of advantages and allow to allocate ranked lists of the main threats to the security of computer networks and quantify the amount of damage from hacking the protection of a computer network; to estimate the time, labor and financial resources spent on each operation of the process that violates the operability of a computer network.
Keywords: computer network, original method, tools, security threats, the amount of damage, costs of resources.
Введение
С развитием научно-технического прогресса возрастает и количество компьютерных сетей (КС), и сложность их структуры, и количество факторов, влияющих на безопасность функционирования КС. Одновременно растут и затраты ресурсов на обеспечение защиты КС. Как отмечено в литературе (см., например, [1]), существует практически бесконечное множество используемых в компьютерных сетях комбинаций программно-аппаратных средств и режимов их работы и столь же большое множество способов нарушения работоспособности сети. И как следствие такого многообразия угроз безопасности компьютерной сети, не существует способа обеспечить абсолютную защищенность КС. Речь может идти об обеспечении той или иной вероятности защищенности КС. Причем очевидно, что более высокая степень защищенности потребует и больших затрат ресурсов.
Но как в каждом конкретном случае оценить величину этих затрат? В научной литературе, насколько нам известно, не описаны методы оценки величины возможного ущерба от нарушения работоспособности КС, не описаны ни методы оценки затрат времени и финансовых ресурсов на вскрытие системы защиты КС, ни алгоритмы и/или инструментальные средства для экономически обоснованного выбора варианта защиты КС.
В статье, базируясь на ранее выполненных автором исследованиях, предложены оригинальные методы и инструментальные средства формирования исходной информации для *экономически обоснованного построения системы защиты КС, *выделения ранжированного перечня основных угроз безопасности КС, *корректной количественной оценки величины ущерба от реализации каждой из основных угроз, *количественной оценки состава операций процессов вскрытия защиты КС и затрат времени, трудовых и финансовых ресурсов на выполнение операций процессов, нарушающих работоспособность КС.
Формирование исходной информации для экономически обоснованного выбора варианта защиты компьютерной сети объекта — предприятия, холдинга, торговой сети, административно-территориального образования.
1) Выделение перечня основных угроз безопасности анализируемой КС. При наличии достоверных количественных сведений о величине ущерба от реализации угроз безопасности КС для экономически обоснованного выделения группы основных угроз можно использовать метод [2]. Однако, как правило, в реальной ситуации количество возможных угроз достаточно велико, а статистические данные для обоснованного формирования и выбора подмножества основных угроз обычно отсутствуют. В таких условиях представляется единственно возможным решением ориентация на метод пошагового уточнения ранжирования объектов (ПУРО), описанный в [3-6]. Метод основан на интеграции дельфийской процедуры прогнозирования будущего (разработан О. Хелмером, Н. Долки, Т.Дж. Гордоном) с предложенной Дж. Кемени
Kemeny) оценкой медианы и расстояния между упорядочениями объектов. Отличие метода заключается в том, что *дельфийская процедура используется при ранжировании экспертами характеристик-функций объектов (а не для прогнозирования будущего); *для количественного анализа степени сходимости мнений экспертов после каждого тура опросов, выявления согласованных групп экспертов и оценки целесообразности завершения экспертизы используется расстояние Кемени (мера близости на отношениях линейного порядка), а в качестве результирующего ранжирования — медиана Кемени; *для группировки участников экспертного опроса, у которых могут оказаться схожими взгляды относительно вариантов ранжирования рассматриваемых характеристик, устанавливаются пороговые значения расстояния Кемени между ответами экспертов, исходя из вероятности совпадения их мнений, например, близкой к 0.8; 0.9; 0.95; 0.99; *для поиска в каждой из образовавшихся групп экспертов согласованного с членами группы ранжирования (упорядочения) характеристик рассчитывается медиана Кемени.
Среди основных преимуществ метода выделим: *повышение точности результатов экспертизы за счет наличия обратной связи при реализации каждого последующего тура; *отсутствие ограничений на количество участников экспертного опроса, * сохранение известных преимуществ и дельфийской процедуры (анонимность и возможность ознакомления с объяснениями, представленными в защиту сильно отличающихся ответов), и алгоритма поиска согласованного упорядочения объектов -корректный расчет медианы и расстояния Кемени; *совместное использование и дельфийской процедуры, и предложенного Кемени корректного подхода к упорядочению функций позволяет: получить содержательно приемлемый количественный критерий для обоснованного завершения экспертизы — устанавливается определенная величина относительного (например, 5 %) изменения суммарного расстояния Кемени; формировать группы экспертов, ориентируясь на выбранные (в зависимо-
сти от степени согласованности мнений) пороговые значения расстояния Кемени и исследовать причины взаимосвязи оценок экспертов; находить согласованное с членами каждой группы экспертов упорядочение характеристик, рассчитав точно или приближенно медиану Кемени.
Метод программно реализован на алгоритмическом языке Python [7].
2) Количественная оценка ущерба от реализации каждой из основных угроз. Для количественной оценки ущерба от реализации угроз безопасности КС целесообразно использовать метод, ориентированный на пошаговое уточнение значений различных показателей с оценкой характеристик распределения (ПУЗ-ОХР). В составе особенностей метода [8-10] * интеграция дельфийской процедуры, обычно используемой для прогнозирования будущего, с экспертизой, направленной на получение значения искомого показателя; предоставление возможности специалистам, участвующим в экспертизе, рассматривать возражения и предложения других членов экспертной группы в атмосфере, свободной от влияния личных качеств участников, что способствует активизации интеллектуальной деятельности экспертов. *возможность количественного определения момента (номера шага) завершения экспертного опроса (по величине изменения коэффициента вариации). ^реализация обратной связи в процессе экспертизы путем информирования специалистов-экспертов о результатах предыдущего шага; ^использование программы последовательных шагов, на каждом из которых реализуется полный цикл экспертизы; ^аппроксимация оценок каждого эксперта, представленных тремя значениями искомого показателя (минимальное, максимальное и наиболее вероятное значение) треугольным распределением, а представленных двумя значениями (минимальное и максимальное) — равномерным распределением; ^использование имитационного моделирования для определения обобщенного коллективного мнения n экспертов как среднего n случайных величин, имеющих треугольное или равномерное распределения (мнений n участников экспертной группы); ^получение оценок статистических характеристик (математического ожидания, дисперсии, коэффициента вариации, медианы, эксцесса, асимметрии) и распределения значений искомого показателя (в виде таблицы и гистограммы); ^возможность определения вероятности того, что значения показателя не превысят конкретную величину или попадут в заданный диапазон значений.
Исходя из перечисленных особенностей метода естественно возникают и его преимущества: ^повышение точности результатов экспертизы за счет: наличия обратной связи при реализации каждого последующего тура; обеспечения эксперту возможности указывать три или два значения искомого показателя; определения по результатам
имитационного моделирования вероятности попадания величины показателя в заданный диапазон значений. *уменьшение психологической нагрузки на эксперта и негативного влияния на результаты экспертизы присутствия начальников и/или амбициозных личностей, поскольку сохраняется анонимность, и эксперты не общаются друг с другом и не знают, кто дал конкретное обоснование в защиту сильно отличающихся значений показателя. * представление суммарного распределения как математического ожидания суммы равномерных или треугольных распределений оценок отдельных экспертов в виде гистограмм и таблиц, статистических характеристик распределений позволяет получить результирующее распределение значений показателя даже при большой дисперсии оценок и условии, что эксперты указывают два или три значения. *расчет статистических характеристик распределений (математическое ожидание, дисперсия, коэффициент вариации, медиана, асимметрия, эксцесс) и таблиц распределений обеспечивает возможность оценки вероятности попадания значений искомого показателя в заданный диапазон. *выявление самопроизвольных группировок экспертов, оценки которых относительно искомых значений показателя близки, дает возможность исследовать причины образования таких групп. Формирование групп экспертов осуществляется, исходя из заданной пороговой величины вероятности конкретного диапазона значений прогнозируемого показателя.
Метод корректен, многократно апробирован, подтвердил свою прикладную полезность в процессе использования в различных предметных областях. С использованием метода можно оценивать величину ущерба от нарушений работоспособности КС у субъектов рынка, включая и владельцев, и пользователей КС.
3) Количественная оценка состава операций и затрат времени, трудовых и финансовых ресурсов на выполнение каждой операции процессов, нарушающих работоспособность компьютерной сети. Оценить затраты времени, трудовых и финансовых ресурсов на выполнение каждой операции процесса вскрытия защиты КС можно с использованием процессно-статистического метода учета затрат ресурсов (ПСУЗ), ориентированного на интеграцию визуальных и имитационных моделей [11-15]. Важнейшей особенностью, связанной с реализацией ПСУЗ, являются исключительно низкие затраты на разработку статистической (имитационной) модели и на получение законов распределения затрат на выполнение различных подмножеств операций и процессов в целом. Это обусловлено тем обстоятельством, что имитационная модель (компьютерная программа) практически мгновенно генерируется по построенной визуальной модели делового процесса. При этом созданный для реализации ПСУЗ программный инструментарий [16, 17] обладает минимальной совокупной стоимостью владения (ССВ-То1а1
Cost of Ownership) и минимальными затратами времени, трудовых и финансовых ресурсов на получение нужного пользователю-потребителю результата. Возможность совместного использования моделей IDEF0 и IDEF3 позволяет внести в модель дополнительную информацию о предметной области. Интеграция конвертера IDEFO-моделей в UML-диаграммы с системой автоматизированного синтеза имитационных моделей СИМ-UML [18] обеспечивает возможность автоматизированного построения с минимальными трудозатратами имитационных моделей процессов, связанных с нарушением работоспособности КС, для которых построены визуальные IDEFO-модели.
В результате применения ПСУЗ и компьютерных программ [16-18] будут получены и состав операций, и затраты времени, трудовых и финансовых ресурсов на выполнение каждой операции процессов, нарушающих работоспособность компьютерной сети.
На следующем шаге состав операций анализируемых процессов можно представить в виде таблицы 1.
Таблица 1
Состав операций процессов, нарушающих работоспособность КС
Процессы взлома защиты КС Операции п роцесса Pi
Oi O2 Oj Om
Pi 1 1 1 1
P2 0 0 0 0
Рз 1 1 1 1
. . . • • • • • • • • • • • •
Pi 0 1 0 0
. . . • • • • • • • • • • • •
Ю; • • • • • • • • • • • •
Воспользовавшись данными, представленными в таблице 1, и разработанной программой для ЭВМ [19], можно оперативно проводить сравнительный анализ практически неограниченного количества процессов вскрытия защиты КС Р{ и операций О/, корректно и с минимальными трудозатратами осуществлять *классификацию (по составу операций) процессов вскрытия защиты КС; Систематизацию сведений о составе операций процессов, нарушающих работоспособность КС в различных предметных областях; * количественную оценку информационного веса каждой операции О/.
А если в таблице 1 вместо единиц подставлять результаты оценки ресурсоемкости (например, оценки затрат времени или финансовых ресурсов) каждой операции О/ процессов вскрытия защиты КС Р, то легко обнаружить и проанализировать причины отличий в ресурсоемкости одинаковых операций процессов Р¡.
Теперь поясним, почему необходимо оценивать ресурсоемкость процессов, направленных на нарушение работоспособности КС. Во-
первых, зная затраты ресурсов на процессы взлома защиты КС Pi, величину ущерба у пользователей при отказе КС и затраты владельцев КС на её восстановление, можно экономически обоснованно и планировать объем вложений средств на защиту КС, и оценивать вероятность реального нарушения злоумышленниками работоспособности КС.
Во-вторых, увидев ничтожно малую ресурсоемкость каких-то операций по взлому защиты КС, можно более обоснованно, гораздо оперативнее и, главное, с ничтожно малой вероятностью ошибки устранять уязвимости в системе защиты КС.
Выводы
В статье впервые для обеспечения безопасности компьютерных сетей
1. Предложены оригинальные методы и инструментальные средства, обладающие рядом неоспоримых преимуществ и позволяющие *выделять ранжированные перечни основных угроз безопасности компьютерных сетей и количественно оценивать величину ущерба от взлома защиты компьютерной сети; *оценивать затраты времени, трудовых и финансовых ресурсов на осуществление каждой операции процесса, нарушающего работоспособность компьютерной сети.
2.Обеспечена возможность, используя разработанный программный инструментарий, осуществлять оценку взаимосвязи по операциям процессов вскрытия защиты КС, оперативно проводить сравнительный анализ практически неограниченного количества операций и процессов вскрытия защиты КС; *выполнять количественную оценку информационного веса каждой операции; обнаруживать наличие разной ресурсоем-кости у одинаковых операций процессов, нарушающих защищенность КС.
Список литературы
1. Хубаев Г.Н Безопасность распределенных информационных систем: обеспечение и оценка// Известия вузов. Северо-Кавказский регион. Технические науки. Спецвыпуск: Математическое моделирование и компьютерные технологии. - 2002. -С. 11-13.
2. Хубаев Г.Н. Ранжирование объектов по множеству количественных показателей: универсальный алгоритм // РИСК: Ресурсы, информация, снабжение, конкуренция. - 2018. - № 1. - с. 213-217.
3. Хубаев Г.Н. Универсальный метод оптимизации состава характеристик объектов // Бюллетень науки и практики. - 2019. - Т. 5. № 5. - С. 265-275. -DOI: http://doi.org/10.33619/2414-2948/42/35.
4. Хубаев Г.Н. Методы формирования согласованного коллективного выбора в процессе экспертизы (на примере ранжирования способов решения сложных проблем) // Бюллетень науки и практики. - 2017. - № 7 (20). - С. 59-77.
5. Khubaev G. Expert review: method of intuitively agreed choice // 5th International Conference «Economy modernization: new challenges and innovative practice» (November 12, 2017, Sheffield, UK). - Pp. 65-80.
6. Хубаев Г.Н. Метод интуитивно согласованного коллективного выбора лучшего решения // Материалы Российско-Китайского форума высоких технологий (г. Москва, 24-25 ноября 2017 г.). - М.: НИТИ МИСиС, 2017.
7. Хубаев Г.Н., Щербакова К.Н., Петренко Е.А. Метод пошагового уточнения ранжирования объектов: программная реализация, область применения // Бюллетень науки и практики. - 2021 - № 5 - С. 344-355. DOI: https://doi.org/10.33619/2414-2948/66/34.
8. Хубаев Г.Н. Имитационное моделирование для получения групповой экспертной оценки значений различных показателей. // Автоматизация и современные технологии. - 2011. - № 11. - С. 19-23.
9. Хубаев Г.Н. Оценка резервов снижения ресурсоёмкости товаров и услуг: методы и инструментальные средства. // Прикладная информатика. - 2012. - № 2 (38). -С. 84-90.
10. Хубаев Г., Родина О. Модели, методы и программный инструментарий оценки совокупной стоимости владения объектами длительного пользования (на примере программных систем): Монография. - Saarbrucken: LAP Lambert Academic Publishing, 2012. - 370 с.
11. Хубаев Г.Н. Ресурсоемкость продукции и услуг: процессно-статистический подход к оценке. // Автоматизация и современные технологии. - 2009. - № 4. - С. 22-29.
12. Хубаев Г.Н. Калькуляция себестоимости продукции и услуг: процессно-статистический учет затрат. // Управленческий учет. - 2009. - № 2. - С. 35-46.
13. Хубаев Г.Н., Широбокова С.Н. Визуальное и имитационное моделирование для экспресс-оценки ресурсоёмкости технологических и управленческих процессов // Глобальный научный потенциал. - 2014. - № 6. - С. 60-66.
14. Хубаев Г.Н., Широбокова С.Н. Инструментарий преобразования IDEF3-моделей бизнес-процессов в UML-диаграммы. // Глобальный научный потенциал. -
2015. - № 2. - С. 87-96.
15. Khubaev G.N., Scherbakov S.M., Shirobokova S.N. Conversion of IDEF3 models into UML-diagrams for the simulation in the SIM system-UML // European Science Review. - 2015. - № 12. - Pp. 20-25.
16. Система автоматизированного синтеза имитационных моделей на основе языка UML «СИМ-UML» /Авторы-правообладатели: Хубаев Г.Н., Щербаков С.М., Рванцов Ю.А. // CeBIT 2015 (Ганновер, 2015). Каталог разработок российских компаний. - Ministry of Education and Science of the Russian Federation; МСП ИТТ, 2015.
17. Хубаев Г.Н., Щербаков С.М. Система автоматизированного синтеза имитационных моделей на основе языка UML 2.0 (СИМ-UML 2.0) // Свидетельство о государственной регистрации программы для ЭВМ. № 2016661676. - М.: Роспатент,
2016.
18. Автоматизированный конвертер моделей IDEF0 в диаграммы деятельности языка UML «ToADConverter» / Авторы-правообладатели: Хубаев Г.Н., Широбокова С.Н., Ткаченко Ю.В., Титаренко Е.В. // CeBIT 2015 (Ганновер, 2015). Каталог разработок российских компаний. - Ministry of Education and Science of the Russian Federation; МСП ИТТ, 2015.
19. Хубаев Г.Н., Щербаков С.М., Аручиди Н.А., Лубянский В.К. Сравнительная оценка состава операций деловых процессов (СОСОП) // Свидетельство о государственной регистрации программы для ЭВМ. - № 2017614714. - М.: Роспатент, 2017.
