О влиянии метода рациональной фильтрации на безопасность информационно-управляющих систем критического применения и уровень риска чрезвычайных ситуаций Текст научной статьи по специальности «Компьютерные и информационные науки»

Р.В. Кузьменко,

доктор физикоматематических наук, доцент, Воронежский институт ФСИН России

А.Н. Лукин,

доктор физикоматематических наук, профессор, Воронежский институт ФСИН России

Е.Г. Спиридонов,

доктор технических наук, доцент, Воронежский институт ФСИН России

О ВЛИЯНИИ МЕТОДА РАЦИОНАЛЬНОЙ ФИЛЬТРАЦИИ НА БЕЗОПАСНОСТЬ ИНФОРМАЦИОННО-УПРАВЛЯЮЩИХ СИСТЕМ КРИТИЧЕСКОГО ПРИМЕНЕНИЯ И УРОВЕНЬ РИСКА

ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ

EFFECT OF MANAGEMENT PRACTICES FILTER FOR SAFETY INFORMATION-CONTROL SYSTEMS CRITICAL AND LEVEL OF RISK EMERGENCIES

Дано обоснование метода повышения безопасности информационно-управ-ляющих систем критического применения на основе рациональной фильтрации разнородных признаков несанкционированных воздействий на информационно-управляющие системы критического применения.

The feasibility of the method enhance the security of management information systems of critical applications on the basis of a rational filter dissimilar signs unauthorized influences on management information systems of critical applications is given.

Современная жизнь невозможна без электронных средств информатизации общества, частью которых являются информационно-управляющие системы критического применения (ИУС КП). Они представляют собой взаимосвязанные между собой информационные и телекоммуникационные средства сбора, обработки и передачи информации, предназначенные для обеспечения определенных технологических циклов по формированию баз данных и управлению различными технологическими процессами (например, автоматизированные системы управления атомными электростанциями, вредными производствами и т.д.). При этом нарушение последовательности операций технологических циклов, выход некоторых параметров за допустимые пределы на установленном интервале времени приводит к нарушению функционирования ИУС КП, и, соответственно, нанесению им определенного ущерба, что повышает риск возникновения и развития чрезвычайных ситуаций.

Существующие меры защиты, как правило, используют большое количество средств обнаружения несанкционированных воздействий (НСВ) и реагирования на воздействия угроз. Но огромная часть информации о характеристиках воздействий и происходящих процессах зачастую дублируется или просто отсутствует, что не дает возможности определения этапа и характера воздействия и, как следствие, степени его опасности, а это, в свою очередь, приводит к неадекватному реагированию программной системы защиты информации (ПСЗИ). Кроме того, современные средства защиты, как правило, разрабатываются для сетей общего пользования и не учитывают особенностей работы ИУС КП, выполняющих определенные технологические циклы и не приемлющих в ряде случаев стандартных универсальных решений ПСЗИ.

Вышесказанное определило необходимость решения задачи рациональной фильтрации разнородных признаков НСВ в рамках оптимизации процесса выявления НСВ с учетом необходимости безусловного выполнения ИУС КП основных задач по целевому назначению. В ходе ее решения дано обоснование метода рациональноой фильтрации разнородных признаков несанкционированных воздействий на ИУС КП, отличающегося от известных введением в пространство основных признаков НСВ дополнительных значимых признаков, специфичных для определенных ИУС КП, и дополнительных математических соотношений с целью оптимизации работы системы выявления НСВ в условиях ограничения временного ресурса и достижения требуемой своевременности реагирования на воздействия.

Формирование информационного пространства признаков НСВ на ИУС КП реализуется путем покрытия информационного пространства данных основных средств регистрации признаков воздействий информационным пространством дополнительных данных. Это связано с недостатком в пространстве основных данных мониторинга некоторых элементов, специфичных для отдельных типов воздействий, отсутствие которых может привести к низкой эффективности процесса выявления (неправильному определению вида НСВ, оценке степени его опасности и т.д.). С методической точки зрения данную процедуру можно рассматривать как процедуру дополнения одного информационного пространства другим [1], что позволяет сформулировать утверждение о ее формальном представлении.

Процесс формирования информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных с точки зрения формальной логики можно рассматривать как процедуру дополнения одного множества информационных элементов другим.

Для формального представления положений утверждения введем следующие обозначения: I1 — общее информационное пространство данных признаков НСВ; I1

— информационное пространство данных основных средств регистрации признаков

НСВ; 1аи — информационное пространство дополнительных данных.

С учетом введенных обозначений формальное представление утверждения имеет следующий вид:

при I1 = I1 и 1аи справедливо I1 = 1аи .

Доказательство выглядит следующим образом. Рассмотрим детально механизм информационного покрытия. Для однозначного определения корреляции основных и дополнительных данных мониторинга информационного пространства осуществим разбиение пространств I1 и Iе111 на М и N непересекающихся подпространств

(фрагментов) соответственно. При этом в пространстве I1 формируется М фрагмен-

тов базовых информативных признаков, а в пространстве Iе11 — N фрагментов значимых информативных признаков, обеспечивающих соответствующие базовые признаки. Тогда можно записать следующее соотношение:

! = (1 , *2 , •••, *1 ), (1)

где 1гт — т -й (т = 1,2, к, М) базовый информационный признак информационного пространства данных основных средств регистрации признаков НСВ;

таи _1-аГг •ап •ап | /^\

1 = \71 , *2 , к, lN /, (2)

где 1^* — п-й (п = 1, 2, к, N) значимый информационный признак информационного пространства данных дополнительных средств регистрации признаков НСВ.

Общее информационное пространство данных признаков НСВ на ИУС КП формируется на основе информационного пространства данных основных средств регист-

рации признаков НСВ I1 и информационного пространства дополнительных данных

таи

I , то есть имеет место соотношение

I'1 =(;/ и с и ^ -и &", к, П и с и ^ -и 1Ц1 ), (3)

ту т!'1

где Кт — число значимых признаков пространства I , дополняющих отсутствующую часть смыслового содержания базового признака ггт пространства Iаu .

М

Характеристику ^Кт = N процесса покрытия одного информационного про-

т=1

странства другим будем называть степенью или глубиной покрытия. При этом выражение (3) примет вид

I' =(1 и 1/ , к, 1} и 1/ ), (4)

где V =1 и*2 -и ).

Тогда для Т011 =(/1а11 ,^ ,..., ) и 11 = (/11 ,121 ,..., 1/ ) справедливо

= ц . (5)

Утверждение доказано.

Процедура информационного покрытия при управлении процессом выявления признаков НСВ на ИУС КП позволяет рассматривать обеспечение информативных признаков информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных как процесс резервирования общего информационного пространства данных признаков воздействий. Наиболее полной характеристикой процесса покрытия информационного пространства данных основных средств регистрации признаков атак информационным пространством дополнительных данных является вероятность обеспечения дополнительным содержанием базовых информативных признаков.

Следующий момент, который необходимо рассмотреть, это зависимость времени выявления НСВ на ИУС КП от глубины покрытия. Необходимо заметить, что корреляция в данном контексте отличается от общепринятого понимания [2] и носит смысловой характер. Она заключается в определении в дополнительных данных только значимых информативных признаков, которые соответствуют базовым признакам данных основных средств регистрации признаков НСВ. Таким образом, можно оптимизировать время выявления по критерию минимальное время/необходимое качество. Для достижения этой цели сформулируем следующее утверждение.

При покрытии информационного пространства данных основных средств регистрации признаков НСВ I1 информационным пространством дополнительных данных ^ существует локальный интервал малого изменения функции времени реализации процесса выявления НСВ Т ^) от глубины покрытия N.

Введем следующие обозначения: Т1 ^) — время реализации процесса выявления НСВ как функция глубины покрытия информационного пространства данных основных средств регистрации признаков НСВ дополнительными данными; Вое — вероятность устранения информационной избыточности дополнительных данных, характеризующая степень корреляции данных мониторинга основных средств регистрации признаков НСВ и дополнительных данных за счет информационного покрытия. Формальное представление утверждения имеет вид:

при I1 = I1 и !Ш1 $ локальный интервал малого изменения Т1 ^).

Докажем это утверждение. На рис. 1 изображена формализованная схема рассматриваемого процесса.

Формирование общего информационного пространства данных признаков НСВ

(состояние ^ ) осуществляется путем дополнения пространства базовых признаков данных основных средств регистрации признаков НСВ (состояние ^ ) значимыми информационными признаками дополнительных данных (состояние 8ап ) с соответствующими вероятностными характеристиками по устранению информационной избыточности Вое и обеспечению дополнительным содержанием информационного пространства данных основных средств регистрации признаков НСВ Ва .

Рис. 1. Формализованная схема процесса выявления НСВ на ИУС КП Пусть Т — временная характеристика состояния Б1 , а Т011 — временная харак-

сідоп гл г^Їа г^оё

теристика состояния Б . Тогда, учитывая характеристики В и В , а также соотно-

~ о аїї о 1 VI

шение состоянии Б и Б , временную характеристику состояния Б , правомерно счи-

тать, что

тї =Т1 +(і - Вм • Вое }таїї . (6)

Уровень резерва общего информационного пространства данных признаков НСВ на ИС Iі запишем в виде

з аїї —аїї

Я6 = ±- = Т—. (7)

ё1 т1

Тогда выражение (6) можно представить, как

Т1 = Т .(і + (і-£>и • Вое)• Я6 ). (8)

Вероятность Вое, характеризующую степень корреляции данных основных

средств регистрации признаков НСВ и дополнительных данных за счет информационного покрытия, можно представить в виде

N , .

В0ё = 1 -ГО - РО )■ (9)

п=1

0!п .

где В'т =~Ц1—I т т I I — вероятность устранения информационной избыточности

вг + в

Кт К т

дополнительных данных одного базового информативного признака данных основных средств регистрации признаков НСВ; ЭК '9, вК1 .9 — объемы полных подпро-

странств т.ді , тк.іді , вычисляемых как [3]:

6 = 0• log2 Е, (10)

■аїї . тк

где О — количество уникальных (неповторяющихся) сигнатур подпространств іаи 'ді

•ап. 1с1 г -ап. с1 -ап. с

*тк ; ^ - общее число сигнатур подпространств 1тк , *тк .

Тогда при равномерном разбиении пространства 1аu на фрагменты имеем

вое = 1 -(1 - РОе)N. (11)

Учитывая изложенное, а также положение о поведении вероятности обеспечения дополнительным содержанием базовых информативных признаков пространства данных основных средств регистрации признаков НСВ Вш , выражение (8) можно представить в виде зависимости времени Т от глубины покрытия N :

т (N )=т (1+(1-(Ц-рта )М) • [1-(1-т Г)) • к6

Т • 1+ 1-

V

чМЛ

1-

1 —

вг... +Э

1-

1-

0аг1. д Кт

N в М в

(12)

После дифференцирования и проведения необходимых преобразований получается трансцендентное уравнение, решаемое известными численными методами [4, 5]. При этом, исходя из условий

0 < Ва < 1 и 0 < Вое < 1, (13)

корень уравнения не может быть равным нулю или отрицательным.

Из этого следует, что локальный интервал малого изменения зависимости времени реализации процесса выявления НСВ как функции глубины покрытия информационного пространства данных основных средств регистрации признаков НСВ дополнительными данными существует (рис. 2), что свидетельствует о возможности оптимизации процесса выявления за счет учета только действительно значимых дополнительных данных.

Л

50

Рис. 2. Зависимость времени реализации процесса выявления НСВ Т

от глубины покрытия N

В соответствии с принципами оптимизации управления процессом выявления НСВ на ИУС КП возникает необходимость оптимального распределения резерва дополнительных средств мониторинга информационного пространства. Целевую функцию в данной задаче определяют потребности в резервировании, а функцию ограничения — возможности по его внесению. Сформулируем и докажем соответствующее утверждение.

Необходимость использования в процессе распознавания наряду с данными основных средств регистрации признаков НСВ дополнительных данных зависит от частоты их использования.

Доказательство в этом случае следующее. Введем обозначения: Т — среднее время реализации т -го процесса выявления (т = 1,2,...,1 ); Т — время обработки дополнительных данных; ат — число реализаций т -го процесса выявления на интервале [?г-, ^ — время начала наблюдения; ^ — время окончания наблюдения.

т

т

т

т

т

Суммарное время реализации типового процесса выявления на рассматриваемом интервале [?г-, ^ ]

Тк = ХТт = ат < . (14)

]

Тогда суммарное время обработки дополнительных данных

т?1Т = Ет!11 = «т ■т£! . (15)

|Л’ , ^ё ]

При условии, что 1ё - >>тк , предположим, что случайное распределение

процессов выявления Тгт на временном интервале тк (рис. 3) удовлетворяет следующим условиям [1, 2]:

- вероятность реализации процесса выявления зависит только от длины временного интервала Т^ и не зависит от его положения на временной оси, из чего следует, что процессы выявления проводятся с одинаковой средней плотностью рк ;

- отдельные процессы выявления признаков НСВ распределяются на временной оси независимо друг от друга.

дои -=о Т>а

т1 Т ТтТт

тг тТ° Тк

1к

Рис. 3. Временные соотношения в типовом процессе выявления НСВ на ИС

Это позволяет вероятность того, что за время Тк т -й процесс выявления проявится в к временных интервалах Тк1 , считать распределенным по закону Пуассона:

- РР • Тк - р к Тк Р1 =^т • е Рк Тт , (16)

к!

а вероятность проявления хотя бы в одном Тк — по экспоненциальному закону:

Р! = 1 -е“. (17)

Тогда для любой пары значений Тк и Т^1 справедливо условие:

если Тк >Тук , то р1 > Р1 . (18)

Из этого следует, что для *-го процесса выявления должна быть вероятность Р* а обеспечения дополнительными данными соответствующего базового информативного признака пространства I1 не ниже ее уровня Р1® , необходимого для обеспечения 1 -го процесса выявления, то есть

для Р{ > Р1 необходимо РгШ > Р1а . (19)

При этом вероятность Рта обеспечения дополнительными данными базового

информативного признака пространства I1 , соответствующего т -му процессу выявления, определяется согласно выражению

в И1

&а = .Кт , (20)

т а1 I ди 1 вт + вК т

в котором в’т — объем информационного пространства базового признака ; вКи —

объем информационного пространства соответствующих значимых признаков ~1 _-ап | | •ап | | •ап

гт = *1 и г2 1-Ёт '

С учетом вышеизложенного, а также условий (18), (19) и выражения (20) справедливо соотношение: для Тк > Т^1 необходимо обеспечить К* > Ку., что и требовалось

доказать. Кроме того, увеличению значения резерва дополнительных данных любого из М базовых информационных признаков данных основных средств регистрации признаков НСВ соответствует снижение значения своевременности реагирования на воздействия, свидетельствующее об ограниченности возможностей резервирования дополнительных данных [6].

Таким образом, в работе дано обоснование метода повышения безопасности ИУС КП на основе рациональной фильтрации разнородных признаков несанкционированных воздействий. Он основан на том положении, что при покрытии информационного

пространства данных основных средств регистрации признаков НСВ информационным

пространством дополнительных данных существует локальный экстремум или интервал малого изменения функции времени реализации процесса выявления признаков НСВ от глубины покрытия. Это свидетельствует о возможности оптимизации процесса выявления за счет учета только действительно значимых дополнительных признаков НСВ. Использование данного метода позволяет оптимизировать работу системы выявления НСВ в условиях ограничения временного ресурса на решение задач защиты и дает возможность достижения требуемой своевременности реагирования на воздействия с учетом необходимости безусловного выполнения ИУС КП основных задач по целевому назначению и, соответственно, снижению риска возникновения и развития чрезвычайных ситуаций.

ЛИТЕРАТУРА

1. Заряев А.В. О возможности формального представления процедуры интегрирования разнородных информационных процессов в интересах подготовки специалистов в области информационной безопасности // Информация и безопасность. — 2002. №1. — С. 48—49.

2. Вентцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения. — М.: Наука, 1988. — 480 с.

3. Холстед М.Х. Начала науки о программах: пер. с англ. — М.: Финансы и статистика, 1981. — 128 с.

4. Гмурман В. Е. Руководство к решению задач по теории вероятностей и математической статистике: учебное пособие для студентов вузов. — М.: Высшая школа, 2003. — 405 с.

5. Бахвалов И.В., Жидков Н.П., Кобельков Г.М. Численные методы. — М.: Лаборатория базовых знаний, 2000. — 624 с.

6. Душкин А.В. О потребностях и возможностях функционального резервирования дополнительных средств мониторинга информационного пространства информационно-телекоммуникационной системы // Системы управления и информационные технологии. — 2006. — №°4.1(26). — С. 144—145.