CC BY
45
УДК 681.32
ПРИМЕНЕНИЕ МЕТОДА РАЦИОНАЛЬНОГО КОМПЛЕКСИРОВАНИЯ В ИНФОРМАЦИОННО-УПРАВЛЯЮЩЕЙ СИСТЕМЕ КРИТИЧЕСКОГО ПРИМЕНЕНИЯ ДЛЯ СНИЖЕНИЯ РИСКА ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ
В работе дано обоснование метода повышения безопасности информационно-управляющих систем критического применения на основе рационального комплексирования разнородных признаков несанкционированных воздействий. Его применение позволяет оптимизировать работу системы выявления несанкционированных воздействий в условиях ограничения временного ресурса на решение задач защиты и достигнуть требуемой своевременности реагирования на воздействия с учетом необходимости безусловного выполнения информационно-управляющей системой основных задач по целевому назначению и, соответственно, снижению риска возникновения и развития чрезвычайных ситуаций.
Ключевые слова: безопасность, информационно-управляющая система, информационное пространство, несанкционированное воздействие, признак.
Современная жизнь невозможна без электронных средств информатизации общества, частью которых являются информационно-управляющие системы критического применения (ИУС КП). Они представляют собой взаимосвязанные между собой информационные и телекоммуникационные средства сбора, обработки и передачи информации, предназначенные для обеспечения определенных технологических циклов по формированию баз данных и управлению различными технологическими процессами (например, автоматизированные системы управления атомными электростанциями, вредными производствами и т.д.). При этом нарушение последовательности операций технологических циклов, выход некоторых параметров за допустимые пределы на установленном интервале времени приводит к нарушению функционирования ИУС КП, и, соответственно, нанесению им определенного ущерба, что повышает риск возникновения и развития чрезвычайных ситуаций.
Существующие меры защиты, как правило, используют большое количество средств обнаружения несанкционированных воздействий (НСВ) и реагирования на воздействия угроз. Но огромная часть информации о характеристиках воздействий и происходящих процессах зачастую дублируется или просто отсутствует, что не дает возможности определения этапа и характера воздействия и, как следствие, степени его опасности, а это, в свою очередь, приводит к неадекватному реагированию системы защиты информации (ПСЗИ). Кроме того, современные средства защиты, как правило, разрабатываются для сетей общего пользования и не учитывают особенностей работы ИУС КП, выполняющих определенные технологические циклы и не приемлющих в ряде случаев стандартных универсальных решений ПСЗИ.
Вышесказанное определило необходимость решения задачи рациональной фильтрации разнородных признаков НСВ в рамках оптимизации процесса выявления НСВ с учетом необходимости безусловного выполнения ИУС КП основных задач по целевому назначению. В ходе ее решения дано обоснование метода рационального комплексирования разнородных признаков несанкционированных воздействий на ИУС КП, отличающегося от известных введением в пространство основных признаков НСВ дополнительных значимых признаков, специфичных для определенных ИУС КП, и дополнительных математических соотношений с целью оптимизации работы системы выявления НСВ в условиях ограничения временного ресурса и достижения требуемой своевременности реагирования на воздействия.
Формирование информационного пространства признаков НСВ на ИУСКП реализуется путем покрытия информационного пространства данных основных средств регистрации признаков воздействий информационным пространством дополнительных дан-
В.С. ЗАРУБИН Р.В. КУЗЬМЕНКО О.Е. РДБОТКИНД
B.С. СТАРОДУБЦЕВ
C.Н. ТРОСТЯНСКИЙ В.И. ФЕДЯНИН
Voronezh Institute of the Russian Federal Penitentiary
e-mail:
a_dushldn@mail.ru
[ЩИ
ных. Это связано с недостатком в пространстве основных данных мониторинга некоторых элементов, специфичных для отдельных типов воздействий, отсутствие которых может привести к низкой эффективности процесса выявления (неправильному определению вида НСВ, оценке степени его опасности и т.д.). С методической точки зрения данную процедуру можно рассматривать как процедуру дополнения одного информационного пространства другим [l], что позволяет сформулировать утверждение о ее формальном представлении.
Утверждение 1. Процесс формирования информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных с точки зрения формальной логики можно рассматривать как процедуру дополнения одного множества информационных элементов другим.
Для формального представления положений утверждения введем следующие обозначения: 1° — общее информационное пространство данных признаков НСВ; Iм — информационное пространство данных основных средств регистрации признаков НСВ; 1°°" - информационное пространство дополнительных данных.
С учетом введенных обозначений формальное представление утверждения имеет следующий вид:
при Г = Г игп справедливо Г =
Доказательство. Рассмотрим детально механизм информационного покрытия. Для однозначного определения корреляции основных и дополнительных данных мониторинга информационного пространства осуществим разбиение пространств Iм и 1°°" на М и N непересекающихся подпространств (фрагментов) соответственно. При этом в
пространстве Iм формируется М фрагментов базовых информативных признаков, а в пространстве 1°°" - N фрагментов значимых информативных признаков, обеспечивающих соответствующие базовые признаки. Тогда можно записать следующее соотношение:
где г™ - т -й (т = 1, 2, ...,М) базовый информационный признак информационного пространства данных основных средств регистрации признаков НСВ;
тдоп _/ • доп -доп ■доп \ г >
1 —\1 ’ 2 ’•••■>'N /’ ' '
где i°°n - п-й (п = 1, 2,..., N) значимый информационный признак информационного
пространства данных дополнительных средств регистрации признаков НСВ.
Общее информационное пространство данных признаков НСВ на ИУС КП формируется на основе информационного пространства данных основных средств регистрации
признаков НСВ Iм и информационного пространства дополнительных данных 1доп, то есть имеет место соотношение
г = (г" ! !ioon ! j fon ...! ! fon JM : I ioon I I fon ...! :,oon ) Го)
1 VI U 11 12 u 'liv'j ’ • • •’ 'М u'll u'l2
где Km - число значимых признаков пространства 1доп, дополняющих отсутствующую часть смыслового содержания базового признака пространства 1доп.
м
Характеристику ^Кт=Ы процесса покрытия одного информационного про-
т=\
странства другим будем называть степенью или глубиной покрытия. При этом, (з) примет вид
/Мт‘. и?;), (4)
^ • М 1-М I \ 4 М II 'М 1
где і — ^ и и ''' и ]кы) •
грі „ тдоп ('доп •доп •доп \ Тм І~м ^м Тм \ „ „„ „ „
Тогда для 1 =\і1 , и ,..., 1Ы ) и 1 = ^ , і2 ,..., ім) справедливо
Утверждение доказано.
Процедура информационного покрытия при управлении процессом выявления признаков НСВ на ИУСКП позволяет рассматривать обеспечение информативных признаков информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных как процесс резервирования общего информационного пространства данных признаков воздействий. Наиболее полной характеристикой процесса покрытия информационного пространства данных основных средств регистрации признаков атак информационным пространством дополнительных данных является вероятность обеспечения дополнительным содержанием базовых информативных признаков.
Следующий момент, который необходимо рассмотреть, это зависимость времени выявления НСВ на ИУСКП от глубины покрытия. Необходимо заметить, что корреляция в данном контексте отличается от общепринятого понимания [2] и носит смысловой характер. Она заключается в определении в дополнительных данных только значимых информативных признаков, которые соответствуют базовым признакам данных основных средств регистрации признаков НСВ. Таким образом, можно оптимизировать время выявления по критерию минимальное время/необходимое качество. Для достижения этой цели сформулируем следующее утверждение.
Утверждение 2. При покрытии информационного пространства данных основных средств регистрации признаков НСВ Iм информационным пространством дополнительных данных 1доп существует локальный интервал малого изменения функции времени реализации процесса выявления НСВ т°{ы) от глубины покрытия N.
Введем следующие обозначения: г°(Д) - время реализации процесса выявления
НСВ как функция глубины покрытия информационного пространства данных основных
средств регистрации признаков НСВ дополнительными данными; Руи — вероятность устранения информационной избыточности дополнительных данных, характеризующая степень корреляции данных мониторинга основных средств регистрации признаков НСВ и дополнительных данных за счет информационного покрытия.
Формальное представление утверждения имеет вид:
при 1° =1М и 1доп 3 локальный интервал малого изменения г°(Д).
Доказательство. На рис. 1 изображена формализованная схема рассматриваемого процесса.
Формирование общего информационного пространства данных признаков НСВ (состояние 8°) осуществляется путем дополнения пространства базовых признаков данных основных средств регистрации признаков НСВ (состояние 8м) значимыми информационными признаками дополнительных данных (состояние 8доп) с соответствующими
вероятностными характеристиками по устранению информационной избыточности Руи и обеспечению дополнительным содержанием информационного пространства данных
основных средств регистрации признаков НСВ Р°б.
Рис. 1. Формализованная схема процесса выявления НСВ на ИУС КП
Пусть тм — временная характеристика состояния 8м, а тдоп - временная характеристика состояния 8доп . Тогда, учитывая характеристики Р°б и Руи, а также соотношение состояний 8доп и 8м , временную характеристику состояния 8°, правомерно
т°=тм + (\-р°б .РУи).Тд°п' (б)
Уровень резерва общего информационного пространства данных признаков НСВ на ИС V запишем в виде
(Л
доп
т
.доп
(7)
(8)
сГ тм
Тогда выражение (6) можно представить как
т° =тм ■ {[ + {[-Р°6 -Руи\Я*).
Вероятность Руи, характеризующую степень корреляции данных основных средств регистрации признаков НСВ и дополнительных данных за счет информационного покрытия, можно представить в виде
N
(9)
где РГ =■
в\
і доп. зн
•доп. зн • доп. нзн тк 9 тк
р | П" г '
п=1
- вероятность устранения информационной избыточности до-
шого признака данных основных - объемы полных подпространств
(10)
0доп. зн _|_ 0доп. нзн
Кт Кт
полнительных данных одного базового информативного признака данных основных
эдоп. зн /лдоп. нзн
средств регистрации признаков НСВ; вк , вычисляемых как [3]:
0 = (Т^2и,
где <7 - количество уникальных (неповторяющихся) сигнатур подпространств /’
тк
•доп. нзн тк
; и — общее число сигнатур подпространств /
доп. зн -доп. нзн тк 5 тк ' доп
Тогда при равномерном разбиении пространства / на фрагменты имеем
руи = \-{\-р::У . (и)
Учитывая изложенное, а также положение о поведении вероятности обеспечения дополнительным содержанием базовых информативных признаков пространства данных основных средств регистрации признаков НСВ Р°°, выражение (8) можно представить в виде зависимости времени т1 от глубины покрытия N :
Ґ(м)=г” ■ (і+(і-(і-(і-І* Г)-(і--(і--р:‘У)\Кф)=
( ( (
г" 1+ 1- 1-
і—
ґідоп \
о,
м\
в: +в°;
і-
і—
/Іфопзн
ін . гідо)і кін
+ 0Г
Ы- вм
м ■ вм
(12)
т
50
40
30
20
10
1
/ 1 1 1
1 1 1
10
15 N
Рис. 2. Зависимость времени реализации процесса выявления НСВ Т1 от глубины покрытия N
После дифференцирования и проведения необходимых преобразований получается трансцендентное уравнение, решаемое известными численными методами [4, 5]. При этом, исходя из условий
0<Роб<1 и 0<Р-™<1, (13)
корень уравнения не может быть равным нулю или отрицательным.
Из этого следует, что локальный интервал малого изменения зависимости времени реализации процесса выявления НСВ как функции глубины покрытия информационного пространства данных основных средств регистрации признаков НСВ дополнительными данными существует (рис. 2), что свидетельствует о возможности оптимизации процесса выявления за счет учета только действительно значимых дополнительных данных.
В соответствии с принципами оптимизации управления процессом выявления НСВ на ИУС КП возникает необходимость оптимального распределения резерва дополнительных средств мониторинга информационного пространства. Целевую функцию в данной задаче определяют потребности в резервировании, а функцию ограничения - возможности по его внесению. Сформулируем и докажем соответствующее утверждение.
Утверждение з. Необходимость использования в процессе распознавания наряду с данными основных средств регистрации признаков НСВ дополнительных данных зависит от частоты их использования.
Доказательство. Введем следующие обозначения: т°т - среднее время реализации т -го процесса выявления (да = 1, 2, ...,М); тд™ - время обработки дополнительных данных; ат - число реализаций т-го процесса выявления на интервале [^м, tк\,, - вре-
мя начала наблюдения; tк - время окончания наблюдения.
Суммарное время реализации типового процесса выявления на рассматриваемом интервале [/,,, tк]
т? = У т° = а ■ т°. (14)
к пг т т к
Ь,л]
Тогда суммарное время обработки дополнительных данных
Ейоп = уТдоп= _Тдоп ( )
к т т т ^
При условии, что tK —1Н »Т%° предположим, что случайное распределение процессов выявления Т° на временном интервале т%° (рис. 3) удовлетворяет следующим условиям [1, 2]:
- вероятность реализации процесса выявления зависит только от длины временного интервала т%° и не зависит от его положения на временной оси, из чего следует, что
о о — Ъо
процессы выявления проводятся с одинаковой средней плотностью рк ;
- отдельные процессы выявления признаков НСВ распределяются на временной оси независимо друг от друга.
7=0 ¥доп ¥ОТт£>ОГ
...—н4 н-------------1- ...-і----------ь- ...ч-
Ло
Т1 ^2°
Ін Ік
Рис. 3. Временные соотношения в типовом процессе выявления НСВ на ИС
Это позволяет вероятность того, что за время т%° т -й процесс выявления проявится в к временных интервалах т\° считать распределенным по закону Пуассона:
—1,0 _ £о ^ у а
Рк°=—------*—еРк'^, (16)
к\
а вероятность проявления хотя бы в одном т%° - по экспоненциальному закону:
-Ъо „Ъо
Р°п = \-е~Рк'Тт. (17)
Тогда для любой пары значений тгЕо и т^° справедливо условие:
з
если т?° > ту, то Р° > Р°. (18)
цшы
Из этого следует, что для /' -го процесса выявления должна быть обеспечена вероятность Р°° обеспечения дополнительными данными соответствующего базового информативного признака пространства Iм не ниже ее уровня Р°°, необходимого для обеспечения / -го процесса выявления, то есть
для Р° > Р° необходимо Р°° > Р°° . (19)
При этом вероятность Р°° обеспечения дополнительными данными базового информативного признака пространства Iм , соответствующего т -му процессу выявления определяется согласно выражению
0доп
роб _ ----К=-- (20)
т LJM I LJ доп
в котором в* - объем информационного пространства базового признака /"; в',""1 - объем информационного пространства соответствующих значимых признаков
J м _ •доп I I •доп I I •доп
т ~ 1 U '2 " ' U 1Кт *
Учитывая вышеизложенное, а также условия (18), (19) и выражение (20), справедливо соотношение: для тf° > т^°, необходимо обеспечить Kj > К1, что и требовалось доказать. Кроме того, увеличению значения резерва дополнительных данных любого из М базовых информационных признаков данных основных средств регистрации признаков НСВ соответствует снижение значения своевременности реагирования на воздействия, свидетельствующее об ограниченности возможностей резервирования дополнительных данных [6].
Таким образом, в работе дано обоснование метода повышения безопасности ИУС КП на основе рационального комплексирования разнородных признаков несанкционированных воздействий. Он основан на том положении, что при покрытии информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных существует локальный экстремум или интервал малого изменения функции времени реализации процесса выявления признаков НСВ от глубины покрытия. Это свидетельствует о возможности оптимизации процесса выявления за счет учета только действительно значимых дополнительных признаков НСВ. Использование данного метода позволяет оптимизировать работу системы выявления НСВ в условиях ограничения временного ресурса на решение задач защиты и дает возможность достижения требуемой своевременности реагирования на воздействия с учетом необходимости безусловного выполнения ИУС КП основных задач по целевому назначению и, соответственно, снижению риска возникновения и развития чрезвычайных ситуаций.
Список литературы
1. Голощапова В.А., Жиляков Е.Г., Черноморец А.А. Об эффективности метода оптимальной фильтрации изображений. // Научные ведомости БелГУ. - 2009. - №15. - С. 200-206.
2. Вентцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения. - М.: Наука, 1988. - 480 с.
3. Воронов Е.В., Ланкин О.В., Сумин В.И. Системно-комплексный подход к формированию методологических основ интеллектуальной защиты информации от несанкционированного доступа // Вестник ВГТУ. - 2011. - №8. - С. 174-177.
4. Гмурман В.Е. Руководство к решению задач по теории вероятностей и математической статистике: Учебное пособие для студентов вузов. - М.: Высшая школа, 2003. - 405 с.
5. Бахвалов И.В., Жидков Н.П., Кобельков Г.М. Численные методы. - М.: Лаборатория базовых знаний, 2000. - 624 с.
6. Душкин А.В. О потребностях и возможностях функционального резервирования дополнительных средств мониторинга информационного пространства информационнотелекоммуникационной системы // Системы управления и информационные технологии. -200б. - №4.1. - С. 144-145.
APPLICATION OF MANAGEMENT INTEGRATION OF IN THE INFORMATION-CONTROI SYSTEMS OF CRITICAL APPLICATION TO REDUCE THE RISK OF ACCIDENTAL
V.S. ZARUBIN R.V. KUZMENKO O.E. RABOTKINA V.S.STARODURTSEV S.N.TROSTYANSKIY V.I. FEDYANIN
Voronezh Institute of the Russian Federal Penitentiary
e-mail:
a_dushldn@mail.ru
In this paper the feasibility of the method enhance the security of management information systems of critical applications based on aggregation of heterogeneous rational recognition of magnitude tampering. Its application allows em-optimize the system for unauthorized-tion effects in a limited time resources to meet the challenges of protection and achieve the desired impact on the timeliness with the need to perform an unconditional tion information and control system bases-tion problems for the intended purpose and therefore , risk reduction and the development of an emergency.
Keywords: security, management information system, information space, unauthorized access, onirovannoe impact feature.
