CC BY
137
УДК 004.056
И. М. Ажмухамедов
КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ УПРАВЛЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТЬЮ СИСТЕМЫ
Введение
Концептуальный анализ различных аспектов комплексной безопасности требует выявления генезиса проблемы безопасности.
В современном понятийно-категориальном аппарате под безопасностью понимается состояние и тенденции развития защищенности жизненно важных элементов системы от внешних и внутренних негативных факторов [1].
При этом необходимо учесть, что безопасность - динамичная категория, имеющая множественную предметность в зависимости от конкретной области применения.
Деятельность по обеспечению безопасности возникает в ходе разрешения противоречия между опасностью и потребностью управлять безопасностью: предвидеть, предотвращать, локализовать и устранять ущерб от воздействия опасности [2].
Оценка уровня безопасности всегда относительна. Попытки напрямую приписать этой оценке численное значение в большинстве случаев бесперспективны в плане дальнейшей интерпретации результатов.
Безопасность - понятие комплексное, вследствие чего она не может рассматриваться как простая сумма составляющих ее частей. Эти части взаимосвязаны и взаимозависимы. Кроме того, каждая часть критически значима. Следовательно, никакие методы, предусматривающие осреднение (пусть и неявное), при оценке безопасности неприемлемы.
Комплексная оценка уровня безопасности (КОУБ) не может быть больше минимальной оценки, полученной для различных аспектов системы.
Безопасность не существует сама по себе, в отрыве от человека. Она обеспечивается для человека и им же оценивается. Именно поэтому понятие безопасности имеет не только объективную, но и субъективную сторону, поскольку оценка ее уровня проводится в конечном итоге человеком.
Это весьма важный аспект, который приводит, с одной стороны, к необходимости оперирования при оценке уровня безопасности лингвистическими переменными (основными структурными единицами в языке людей) и, как следствие, к применению аппарата нечеткой логики.
С другой стороны, наличие субъективности при оценке уровня безопасности приводит к тому, что в шкале оценок может появляться диапазон условной приемлемости.
Поясним этот тезис. Допустим, что уровень комплексной безопасности оценивается от нуля до единицы. При этом нулю соответствует абсолютно неприемлемый уровень безопасности (низшая оценка), а единице - самая высокая оценка.
При оценке отдельных сторон безопасности системы существует некоторый пороговый уровень, выше которого система считается безопасной, а ниже - нет. Уровень остаточных рисков при этом лишь сдвигает пороговое значение в ту или иную сторону, не меняя качественно картину в целом.
При комплексной оценке ситуация качественно меняется. Какие-то риски неприемлемые при одних обстоятельствах, при других оцениваются как допустимые. В роли обстоятельств, влияющих на оценку безопасности, может выступать, в том числе, как это ни парадоксально, и наличие или отсутствие других рисков.
Например, угроза высокой безработицы и связанный с ней риск потерять работу и остаться без средств к существованию могут перевести оценку экологической безопасности, используемую при принятии решения о работе в том или ином регионе, из категории «неприемлемый уровень» в категорию «условно приемлемый уровень». Данная ситуация соответствует философскому определению свободы как осознанной необходимости.
Совершенно очевидно, что при изменении условий категория уровня безопасности будет пересмотрена.
Исходя из этого данный диапазон оценок безопасности, находящийся между значениями «нижний пороговый уровень» и «верхний пороговый уровень», и был назван условно приемлемым.
Любые неконтролируемые внешние или внутренние процессы потенциально могут привести к возникновению угроз. Реализация этих угроз, в свою очередь, оказывает негативное влияние на состояние безопасности системы, что вызывает различные деструктивные процессы. Нарушается нормальное функционирование системы, что находит свое отражение в значениях различных критериев и показателей, используемых для оценки безопасности [3].
Алгоритм управления уровнем комплексной безопасности
Уровень комплексной безопасности - это оценка, основанная на наборе показателей и критериев, характеризующая состояние системы в плане защищенности критичных для неё элементов. Уровень безопасности системы можно охарактеризовать следующей матрицей:
В =
Г *1 *1 VI *1 Т Л
К 2 *2 *2 Т2
*3 *3 ^3 Т3
*4 *4 ^4 Т4
1 Кп *п К Тп )
где К/ - показатель уровня безопасности по /-му критерию; Е - тенденция изменения /-го критерия (возрастает, убывает, нейтрален); V/ - скорость изменения /-го критерия (например: очень низкая, низкая, средняя, высокая, очень высокая); « - степень критичности негативных последствий при реализации рисков, характеризуемых /-м критерием; Т/ - характерное для /-го критерия время, которое, в частности, позволяет правильно интерпретировать значения параметра V.
Матрицу вида В будем называть в дальнейшем матрицей безопасности (МБ).
Критерии можно сгруппировать по соответствующим направлениям обеспечения безопасности, например: экономические, экологические, социальные, технические и т. п.
Таким образом, каждый кортеж (К/, Е/, V/, «, Т) характеризует состояние безопасности по /-му критерию.
Частичные матрицы, состоящие из строк, представляющих определенное направление обеспечения безопасности, описывают состояние в соответствующей области.
Показатели уровня безопасности К тесно связаны с последствиями от возможной реализации имеющихся в системе угроз, мерами предотвращения таких последствий и мерами, направленными на локализацию и устранение последствий, если таковые все же возникают.
Следует особо отметить, что угрозы можно разделить на первичные и вторичные. Первичные угрозы существуют вне зависимости от состояния системы и имеют априорно заданную безусловную вероятность появления. Вероятность появления вторичных угроз является условной и зависит от состояния системы и состояния внешней среды.
В частности, некоторые состояния системы могут спровоцировать возникновение угроз, появление которых в иных условиях было бы невозможным.
Введем следующие обозначения: и/ и и: (/, у = 1,2,3,...) - совокупность первичных и вторичных угроз, возникающих с вероятно-
стями Ри/ и Риу соответственно и оказывающих влияние пкт и пкт на элемент (к, т) матрицы безопасности В (к = 1, 2, 3, ...; т = 1, 2, 3, 4, 5).
Влияние каждой из первичных или вторичных угроз можно описать матрицей влияния (МВ), имеющей вид
п12 3 2Ґ 4 2Ґ п15 '
н, = п21 п22 п23 п24 п25
К пп2 3 п £ 4 п £ «О п £
Фактически МВ представляет собой матрицу весов влияния /-го негативного фактора на элементы МБ.
Необходимо отметить, что влияние пкт и Пкт на некоторые элементы матрицы безопасности В может быть как отрицательным, так и положительным.
Элементы МВ, оказывающие отрицательное воздействие, назовем негативными относительно элементов МБ; элементы, оказывающие положительное воздействие - позитивными относительно элементов МБ; элементы, не оказывающие никакого воздействия, назовем нейтральными.
Кортеж Ri ={Ni; PUi} назовем риском реализации i-й первичной угрозы.
Данный кортеж отражает появление с вероятностью PUi последствий, которые изменяют состояние системы через соответствующие матрицы влияния Ni .
Вероятности возникновения первичных угроз PUi от нас не зависят. Однако совокупность превентивных мер защиты позволяет ослабить влияние первичных угроз на степень безопасности системы.
Этот факт может быть описан с помощью матриц превентивных мер (МПМ):
ьТ 212 г13 г14 «О ьТ
2І = г21 222 г23 z24 г25
V ^п1 *п2 гп3 zn4 «О п N
где у = 1,М, М - общее количество превентивных мер.
Элементы матрицы Д назовем демпфирующими коэффициентами.
Тогда под остаточным влиянием будем подразумевать матрицу (назовем ее матрицей остаточного влияния - МОВ) вида
где символом «®» обозначена некоторым образом определенная для двух матриц операция.
В случае числовых значений элементов матриц, это операция простого поэлементного сложения или умножения. В случае лингвистических значений данная операция определяется с помощью принципа расширения обычных (четких) математических функций на нечеткие числа, предложенного Л. Заде [4].
Под остаточным риском будем понимать кортеж
Я =
Если все же, несмотря на превентивные меры защиты, реализация определенного множества первичных угроз привела к возникновению последствий, то необходимо предпринять меры для их локализации и устранения.
Прежде всего, необходимо оценить отклонение текущего состояния системы В от безопасного состояния В5.
Введем понятие разности между двумя матрицами, определив результат применения операции «#» к двум элементам матриц аналогично тому, как это было сделано для операции « ® »: в случае числовых значений элементов матриц - это операция простого поэлементного деления или вычитания, в случае лингвистических значений - операция определяется с помощью принципа расширения Л. Заде.
Тогда матрицу Q = В3 # В назовем матрицей потерь безопасности (МПБ) на данном этапе.
Элементы МПБ являются входными данными для блока ликвидации последствий (БЛП).
Реализация мероприятий этого блока может быть формализована с помощью матрицы ликвидации последствий (МЛП):
' 111 112 113 114 І15 '
ь = 121 122 123 124 125
V 1п1 1п2 1п3 1п4 1п5 ;
Результат применения БЛП может быть записан следующим образом:
§іі §12 §13 §14 §15
д <8> ь = §21 §22 §23 §24 §25
§п2 §п3 §п4 §п5 ;
Матрицу 2 назовем матрицей остаточных потерь безопасности (МОПБ).
Если 2 Ф В5 , то подобное состояние системы может инициировать появление вторичных угроз с вероятностями Ри1 .
Таким образом, кроме первичных угроз, в зависимости от текущего состояния системы и ее окружения возможно возникновение вторичных угроз, вероятность появления которых равна Ри.
Кортеж Я = {л;Ри1} назовем риском реализации i-й вторичной угрозы.
На основании вышеизложенного общую схему взаимодействия компонентов системы при моделировании задачи обеспечения безопасности можно представить в следующем виде (рис. 1).
Рис. 1. Общая схема моделирования процесса управления безопасностью системы Последовательность операций с соответствующими матрицами показана на рис. 2.
Рис. 2. Последовательность операций с матрицами, определяющими состояние безопасности системы
Заметим, что вероятности появления вторичных угроз не являются безусловными, как для первичных угроз. Они зависят от текущего состояния системы. С первичными угрозами мы начинаем бороться еще до их наступления, т. е. фактически пытаемся свести к минимуму их последствия, не имея возможности повлиять на сам факт их появления. В случае с вторичными угрозами мы должны пытаться вообще не допустить их, т. е. должны бороться с вызывающими их причинами. Это принципиальное различие в блоках мероприятий, воздействие которых формализовано множеством матриц Zj и матрицей L.
Выводы
Построенная концептуальная модель позволяет унифицировать подходы к управлению комплексной безопасностью и приступить к разработке соответствующих вычислительных процедур и модулей, которые в дальнейшем могут быть использованы при построении систем поддержки принятия решений.
СПИСОК ЛИТЕРАТУРЫ
1. Домарев В. В. Защита информации и безопасность компьютерных систем. - Киев.: Диасофт, 2006. - 480 с.
2. Экономическая безопасность России: Общий курс: учеб. / под ред. В. К. Сенчагова. - М.: Дело, 2005. - 896 с.
3. Белов П. Г. Теоретические основы системной инженерии безопасности. - Киев: КМУГА, 2006.
4. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений - М.: МИР, 1976. - 165 с.
Статья поступила в редакцию 14.12.2009
CONCEPTUAL MODEL OF CONTROL OF INTEGRATED SECURITY SYSTEMS
I. M. Azhmukhamedov
The conceptual model of integrated security control is given. The notion of conditionally acceptable level of security is introduced. The algorithm of assessment and control of the integrated security level is developed. The classification of threats on the primary and secondary ones is presented. The safety measures are divided into preventive measures and adjustment measures. The scheme of information flows in task of integrated security control is considered.
Key words: integrated security, control algorithm, risk assessment, classification of threats, the dynamics of the process.
