CC BY
113
гулярности» решения
dB dt
0, H = 0 I, «правее»
которой численное решение системы ОДУ отсутствует, т. е. в конечной точке интегрирования существует только односторонняя (левая) производная B '(t) = 0, о чем своевременно сигнализирует программный пакет Maple.
Построенная физико-математическая модель на основе систем интегро-дифференциальных уравнений (3)—(5) развития прорана многосекционной плотины с основанием из местных материалов, безусловно, уточняет описание механизма разрушения бетонных плотин, приводит к кусочно-непрерывным решениям, которые получены в нашей работе численно. Авторы рассчитывают на развитие данного исследования, предполагающее постановку ряда коммерческих задач, что позволит провести натурные эксперименты для адекватной параметризации модели.
Разработка численного алгоритма, применимого для моделирования процесса разрушения плотин, —задача, актуальная для оценки ущерба от последствий распространения волны прорыва, что послужит объектом дальнейших исследований авторов.
в, H зоо-
200
100
100000 200000
300000
400000 t
Рис. 4. Графики ширины прорана B(1)(t) (-)
в полных секциях, ширины прорана B(t) (-)
и высоты уровня водохранилища H(t) (---)
для многосекционной бетонной плотины
Научно обоснованный заблаговременный прогноз последствий разрушения плотин необходим для разработки и принятия мер для защиты от возможных последствий или для максимально возможного уменьшения ущерба.
СПИСОК ЛИТЕРАТУРЫ
1. Розов, А.Л. Действие ядерного взрыва на гидроузел и последствия его разрушения. Физика ядерного взрыва. Т.2 Действие ядерного взрыва [ Текст ] / А.Л. Розов // М.: Наука, Физматгиз, 1997.— С. 67-78.
2. Rozov, A.L. Modeling of washout of dams [Текст] / A.L. Rozov // Journal of Hydraulic Research.— 2003. Vol. 41. Issue 6.— P. 565-577.
3. Гришин, М.М. Гидротехнические сооружения [Текст] / М.М. Гришин // М.: Энергия, 1968.
4. Малик, Л.К. Факторы риска повреждения гидротехнических сооружений [Текст ] / Л. К. Малик //
Проблемы безопасности.— М: Наука, 2005.
5. Лаврентьев, М.А. Проблемы гидродинамики и их математические модели [Текст] / М.А. Лаврентьев, Б.В. Шабат // М.: Наука, 1973.— 416 с.
6. Дьяконов, В.П. Математическая система Maple V R3/R4/R5 [Текст] / В.П. Дьяконов // М.: СОЛОН Пресс, 1998.— 400 с.
7. Холл, Дж. Современные численные методы решения дифференциальных уравнений [Текст] / Дж. Холл, Дж. Уатт.— М.: Мир, 1976.
УДК 621.039.566
В.И. Гуменюк, М.Е. Федосовский, АЛ. Сыров, Г.Л. Атоян
ПРИНЦИПЫ И МЕТОДЫ ПОВЫШЕНИЯ ЗАЩИЩЕННОСТИ СИСТЕМ УПРАВЛЕНИЯ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ
Системы управления (СУ) представляют собой упорядоченный набор средств сбора сведений о подконтрольном объекте и средств воз-
действия на его поведение с целью достижения определенных целей. В качестве объектов управления будем рассматривать опасные производ-
ственные объекты (ОПО) и критически важные объекты (КВО).
Системы управления наряду с системами диагностики могут быть подсистемами объектов технического регулирования (OTP) опасных производственных объектов и критически важных объектов, поэтому их защиту можно рассматривать как элемент общей защиты объектов. Нарушение работоспособности СУ, особенно при развитии аварийных ситуаций и в условиях воздействия поражающих факторов, ведет к эскалации аварий и увеличению тяжести последствий по мере перехода от OTP к КВО.
Для адекватности защиты СУ КВО от предполагаемых угроз необходимо провести катего-рирование объектов. Например, можно разделить OTP, ОПО и КВО на две большие группы: функциональной опасности и функциональной значимости. Кроме того, можно их разделить на объекты государственного значения, регионального значения, особого значения и гражданского значения.
Сложнее установить требования к системе защиты СУ в соответствии с уровнем (категорией) объекта. Уровни системы защиты СУ должны соответствовать минимально необходимым требованиям к обеспечению безопасности для функционально опасных и функционально значимых объектов в соответствии с их категориями.
Минимальный состав системы защиты, соответствующий категории объекта, должен определяться исходя из функций, выполняемых данными системами и средствами. На основании перечня минимально необходимых требований, принятых для объектов разных категорий, должны устанавливаться конкретные требования при проектировании систем защиты СУ КВО с учетом их отраслевой принадлежности и класса защиты.
Для определения подхода к рассмотрению вопросов защищенности СУ на опасных объектах целесообразна изначальная классификация последствий возможных на них чрезвычайных ситуаций (ЧС).
Возможна укрупненная классификация, использующая следующие категории:
последствия глобального характера (для КВО), в первую очередь на объектах ядерного комплекса, характеризующиеся возможными
взрывами, пожарами, заражением местности и иными негативными факторами для целых регионов страны либо нескольких стран;
последствия регионального масштаба — пожары, взрывы на объектах (для ОПО), приведшие к разрушениям, жертвам меньшего масштаба;
последствия местного масштаба на объектах (для OTP).
В основе концепции безопасности должна лежать система или методика анализа набора угроз (см., например, [17, 19]). Все меры защиты должны базироваться на результатах данного анализа. Построение эффективного комплекса защитных мер возможно только относительно определенного, характерного набора угроз [1].
При рассмотрении вопросов, связанных с созданием системы защиты ДС КВО, необходимо учитывать следующие аспекты безопасности при штатной эксплуатации: безопасность излучений; биологическую; взрывобезопас-ность; механическую; пожарную; промышленную; термическую; химическую; электрическую.
Кроме того, комплекс защитных мер должен обеспечивать защиту диагностических систем КВО от поражающих факторов аварий и катастроф.
К СУ применимы основные принципы обеспечения безопасности потенциально опасных и критически важных объектов.
Принцип эшелонированной защиты предполагает создание ряда последовательных уровней защиты, включая:
установление последовательных физических барьеров начиная с защитных оболочек и кончая защищенными пространствами (специальными укрытиями) на пути распространения энергии, вещества поражающих факторов в направлении СУ или для устранения контакта с опасными элементами объекта;
разработку технических и административных мероприятий по сохранению целостности и эффективности этих барьеров.
Для воспрепятствования воздействию внешних факторов широко используется «барьерная» концепция, основанная на использовании принципа множественности барьеров (рубежей) и эшелонированной защиты. Физические барьеры устанавливаются на пути возможных внешних воздействий на защищаемый объект (рис. 1) [2].
Можно оценить влияние барьеров защиты на безопасность защищаемой системы [3], предполагая, что:
1) барьеры функционируют в нагруженном режиме, их общее число равно п;
2) барьеры разрушаются (отказывают) независимо друг от друга;
3) вероятность разрушения (отказа) /-го барьера равна д.(/ = 1, 2, ..., п) и не зависит от срока эксплуатации барьера;
4) поражение наступает в случае, когда откажут все барьеры безопасности.
Рассматривая совокупность барьеров как резервированную систему с невосстанавливае-мыми элементами (барьерами), можно рассчитать вероятность безотказной работы Р совокупности из п барьеров:
Р = 1 _ р.), (1)
I=1
С ростом числа барьеров п и/или уменьшением вероятности разрушения барьера д.(/ = 1, 2, ..., п) вероятность безотказной работы совокупности барьеров увеличивается, т. е. снижается вероятность поражения.
Выражение (1) дает оценку Р снизу, так как при расчете предполагается, что режим работы каждого из барьеров максимально нагруженный. Для равнонадежных барьеров справедлива формула
п > 1п(1 _ Р)/1п (2)
которая следует из (1) и позволяет оценить потребное число барьеров безопасности из условия обеспечения заданной вероятности Р.
Принцип эшелонированной защиты позволяет создать препятствия неуправляемым потокам энергии или опасных веществ прежде, чем может быть нанесен ущерб (V) защищаемой системе управления, и снижает вероятность того, что единичные отказы технических средств или ошибка персонала приведут к опасным последствиям. В случае множественных отказов технических средств и/или ошибок персонала применение этого принципа снижает вероятность опасных последствий.
Системный подход к защите СУ предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно
Оптимизация участка
Рис. 1. Принцип эшелонированной зашиты (концентрическое построение рубежей вокруг целей зашиты)
значимых для понимания и решения проблемы обеспечения безопасности ДС.
Принцип комплексности (применение различных видов защиты) означает, что при построении системы защиты необходимо учитывать все угрозы, а выбранные средства и методы защиты должны функционально и технически взаимно дополнять друг друга.
Защита ДС КВО должна представлять собой непрерывный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла OTP, ОПО и КВО начиная со стадии проектирования и кончая эксплуатацией. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы.
Все участки всех защитных уровней должны быть равноустойчивыми к поражающим факторам с точки зрения вероятности реализации угрозы [1, 4].
В соответствии с принципом единичного отказа система управления должна выполнять свои функции при любом исходном событии и при независимом от исходного события отказе любого ее элемента. Реализация принципа единичного отказа обеспечивает работу системы управления в случае возникновения единичного отказа ее элемента или ошибки персонала.
На практике принцип единичного отказа можно реализовать путем резервирования элементов (рис. 2) — использования дополнительных элементов, избыточных по отношению к минимально необходимым для выполнения требуемых функций [3, 5—7].
Цель резервирования — сохранить работоспособность системы в случае возникновения отказа одного из ее элементов. В большинстве случаев применение резервирования себя оправдывает, так как увеличение стоимости за счет введения дополнительных элементов компенсируется получающимся при этом повышением надежности системы и снижением риска Л .
Эффективность резервирования может снижаться из-за отказов резервируемых элементов по общей причине. Отказ по общей причине возникает под воздействием общего для резервируемых элементов фактора — внутреннего, вызванного общими конструктивными, технологическими и т. п. причинами, или внешнего, формируемого под воздействием природных явлений и/или деятельности человека — землетрясений, пожаров, взрывов, действий террористов и т. п. Для уменьшения вероятности отказов по общей причине резервированных систем или их каналов дополнительно применяются: физическое разделение, разнотипность применяемых систем и оборудования.
Уровень защищенности СУ во многом зависит от надежности и живучести составляющих их элементов. Для повышения надежности применяют: упрощение систем; выбор наиболее надежных элементов; создание схем с ограниченными последствиями отказов элементов; облегчение электрических, механических, тепловых и других режимов работы элементов; стандартизацию и унификацию элементов и узлов; встроенный контроль; автоматизацию проверок.
Создание эффективной защиты СУ КВО требует комплексного научно-технического подхода, подразумевающего разработку путей и методов решения основных задач по обеспечению безопасности СУ КВО на основе определения объектов защиты, определения и оценки угроз, а также разработки и реализации адекватных мер защиты.
Анализ уязвимостей и угроз, алгоритм построения защиты системы управления. Эффективность защиты СУ КВО характеризуется вероятностью обеспечения защиты от угроз, снижением уязвимости и повышением живучести СУ при воздействии поражающих факторов. Организация защиты предполагает идентификацию возможных источников угроз и факторов, способствующих их проявлению (уязвимости). Исходя из этого классификацию источников угроз и их
Рис. 2. Реализация принципа единичного отказа [3]
Рис. 3. Логическая цепочка угроз и их проявлений
проявлений целесообразно проводить на основе анализа логической цепочки (рис. 3).
В рассматриваемом случае источниками угроз являются техногенные и природные ЧС и несанкционированные воздействия.
Определение уязвимых мест может быть проведено на этапе анализа при помощи различных методов, например методом перечисления (составление перечня уязвимых мест), методом составления логических схем, позволяющих определить уязвимые места (группу уязвимых мест) [8-11].
Целями и задачами проведения анализа уязвимости являются:
определение важных для функционирования системы элементов и подсистем, требующих защиты с установлением их приоритетности;
определение возможных угроз, ранжированных по степени опасности, и механизмов их вероятных реализаций;
оценка характера и размера возможного ущерба для СУ и КВО в целом от реализации прогнозируемых угроз безопасности с учетом категории объекта;
оценка защищенности СУ с учетом категории объекта, выраженная в количественных (временных и вероятностных) показателях систем защиты;
оценка уязвимостей СУ и определение мер по достижению заданного уровня защищенности.
Как правило, работы по первым трем пунктам проводят методом экспертных оценок. Работы по двум последним пунктам проводятся с применением методов математического моделирования [12].
Уязвимости можно разделить на классы по принадлежности к источнику уязвимостей, а классы — на группы и подгруппы по проявлениям (рис. 4).
Показателями уязвимости системы и ее особо важных зон служат степень уязвимости в порядковой шкале оценок или вероятность успешной реализации поражающего воздействия Рв в вероятностной шкале. Суммарная вероятность реализации уязвимости может быть определена, например, по формуле
Р = 1 _П (1 _ Р), (3)
I=1
где Р — вероятность реализации уязвимости; Р — вероятность возникновения событий, из которых складывается вероятность реализации уязвимости.
Подобный анализ дает оценку эффективности системы защиты после реализации соответствующих мер.
Рис. 4. Структура классификации уязвимостей
В результате анализа уязвимости должны быть получены:
перечень (набор) угроз, ранжированный по степени опасности;
характер и размер возможного ущерба и повреждений;
перечень целей защиты с определением их приоритетности;
категории элементов системы с учетом уровня потенциальных повреждений;
критерий защищенности, определяемый категорией элементов системы и выраженный в количественных (временных и вероятностных) показателях [16, 18];
перечень уязвимых мест системы управления и перечень мер по достижению заданного уровня защищенности.
На основании результатов анализа уязвимости предлагаются адекватные угрозам меры по обеспечению заданного критерия защищенности СУ. Меры по достижению требуемого уровня защищенности определяют требования к системе защиты (физической, функциональной и охранной). Сформулированные таким образом требования позволяют установить оптимальный (с функциональной и экономической точек зрения) состав системы защиты в целом и всех ее подсистем.
Меры по защите представляют собой совокупность инженерно-технических решений и организационных мер, направленных на защиту систем управления от предполагаемых угроз. Оценку уязвимости можно производить в два этапа [12].
На первом этапе методом экспертных оценок производится оценка уязвимости комплекса инженерно-технических решений и комплекса организационных мероприятий по повышению безопасности.
На следующем этапе производится количественная оценка уязвимости существующей защиты. В качестве основного показателя эффективности защиты СУ КВО используется вероятность сохранения работоспособности.
Основными угрозами безопасности, которые могут привести к утрате ресурсов СУ КВО, являются поражающие факторы чрезвычайных ситуаций: воздействия осколков и ударных воли при взрывах; воздействие механических нагрузок при обрушении зданий; тепловые воздействия при пожарах; радиационные воздействия; химические воздействия агрессивных сред; воздействия электромагнитных импульсов (ЭМИ); воздействие воды при затоплении или тушении пожаров.
Угрозу представляют также несанкционированные действия физических лиц: террористов, преступников, экстремистов.
На этапе анализа угроз при предварительном обследовании СУ КВО формируется модель вероятных механизмов реализации угроз.
Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы — на группы по источникам угроз (рис. 5).
При построении модели необходимо учитывать, что угрозы безопасности носят вероятностный характер и имеют высокую степень априорной неопределенности.
При оценке угроз безопасности используются: теория надежности для описания угроз, создаваемых техническими средствами (сбои, отказы, ошибки и т. д.);
математическая статистика для описания естественных угроз (природные явления, стихийные бедствия и т. д.);
теория вероятности для описания угроз, создаваемых людьми (по небрежности, халатности и т. д.);
Рис. 5. Структура классификации источников угроз
экспертные методы для описания умышленных угроз.
Выявленные угрозы формируют цели защиты.
Оценка возможного ущерба от реализации прогнозируемых угроз безопасности производится методом экспертных оценок. Оценка производится для каждого защищаемого подобъекта и подсистемы СУ КВО. При этом учитываются различные сценарии реализации прогнозируемых событий.
Элементы систем управления (рис. 6) должны быть надежно защищены от прогнозируемых угроз безопасности.
Наиболее уязвимым звеном систем управления являются первичные преобразователи (датчики). Основная причина — их постоянное нахождение в опасных технологических зонах КВО, характеризующихся высокими температурами, ионизирующими излучениями, наличием химически- и взрывоопасных веществ и т. п.
Поэтому в случае возникновения аварийных ситуаций с выделением опасных потоков вещества и энергии они подвергаются наибольшим воздействиям и могут быстро выходить из строя. Их защита представляет собой серьезную проблему.
Целесообразно, чтобы проектирование защиты СУ имело две стадии [13]: концептуальное (системное) проектирование и рабочее проектирование.
В процессе концептуального проектирования разрабатываются варианты разных аспектов: построения защиты; защиты конкретных зон и подсистем, обоснование выбора методов и средств; защиты информации; организацион-
ных защитных мероприятий; сметной стоимости предлагаемых проектов защиты и оценки их эффективности, основанной на количественном или качественном определении способности системы противодействовать угрозам, выявленным на этапе анализа уязвимости.
Возможная блок-схема разработки мер защиты с применением предложенного метода анализа показана на рис. 7.
Результаты концептуального проектирования используются в качестве исходных данных для рабочего проектирования защиты СУ КВО.
В общем случае может быть предложен следующий алгоритм построения защиты СУ КВО (рис. 8).
Эффективность мероприятий защиты определяется:
наличием и состоянием технических систем контроля и защиты от аварий;
видом защит;
эшелонированием всех видов защит и технических средств обеспечения безопасности СУ КВО.
Наиболее общим критерием, характеризующим эффективность мероприятий по защите СУ КВО от угроз ЧС, является вероятность сохранения этими системами работоспособности во время ЧС. Определение количественных показателей данного критерия требует использования типовых моделей воздействий, моделей защиты как самого объекта, так и его систем управления. В большинстве случаев эта задача трудноразрешима, поэтому в качестве критерия при грубых оценках можно использовать показатель степени оснащения оборудования СУ КВО средствами защиты.
СИСТЕМА УПРАВЛЕНИЯ
1 г 1 г 1 г 1 Г 1 г
Первичные преобразователи (датчики) Коммутационные линии ! Аппаратура и приборы Информация ! ! 1 ! \ ! Персонал
Рис. 6. Структура системы управления
Рис. 7. Блок-схема процесса концептуального проектирования
Определение цел* эй и задач защиты
г
Анализ возм южных угроз
1 г
Определение объектов защиты, их категорирование по важности
,,,,
Анализ степени уязвимо г сти системы управления
г
Разработка принципов и адекватных мер защиты
1 г
Разработка структуры и состава системы защиты
1 г
Определение эффектив! ности вариантов защиты
Рабочее проектирование
Изготовление и мон! гаж системы защиты
1 г
Эксплуатация
Рис. 8. Алгоритм построения защиты систем управления КВО
Направления снижения уязвимости систем управления КВО. Для СУ КВО как сложной технической системы характерны антропогенные, техногенные и стихийные (связанные с поражающими факторами техногенных и природных аварий и катастроф) источники угроз, которые воздействуют на систему через ее уязвимости, реализуя тем самым механизмы действия угроз.
Анализируя структуру СУ КВО, объекты, подлежащие защите, а также классифицированные источники угроз, уязвимости системы и собственно угрозы, можно определить потенциальные угрозы для конкретной СУ КВО [14].
В общем случае на основе анализа можно выделить три вида уязвимостей систем управления.
Объективные — зависящие от особенностей построения и технических характеристик применяемого оборудования. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами (например, построением структуры систем, повышением стойкости компонентов). К ним можно отнести:
1) определяемые особенностями защищаемой СУ — местоположеним элементов системы (наличие удаленных и мобильных элементов системы); организацией каналов передачи управляющей (диагностической) информации (проводные или радиоканалы, информационные сети);
2) определяемые особенностями элементов систем или чувствительностью к воздействию электромагнитного поля, радиации, агрессивных сред, ударных волн и осколков, высокой температуры;
3) сопутствующие техническим средствам излучения — электромагнитным (побочные излучения элементов технических средств, кабельных линий технических средств, усилителей) и электрическим (наводки электромагнитных излучений на линии и проводки, просачивание сигналов в сети электропитания, в цепи заземления, неравномерность потребления источника электропитания).
Субъективные — зависящие от действий персонала, которые могут устраняться организационными и программно-аппаратными методами, включая:
1) ошибки — при подготовке и использовании программного обеспечения (при разработке
алгоритма, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных); при управлении системами (организация управления потоками обмена информации); при эксплуатации технических средств (при включении/выключении технических средств, использовании средств обмена информацией);
2) нарушения — режима доступа к техническим средствам; режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения); режима использования информации (обработка и обмен информацией, хранение уничтожение носителей информации).
Случайные — зависящие от особенностей окружающей среды и непредвиденных обстоятельств, в их числе:
1) сбои и отказы, вызванные старением, отказами и неисправностями технических средств; старением и размагничиванием носителей информации (дискеты и съемные носители, жесткие диски), микросхем, кабелей и соединительных линий; сбоями программного обеспечения операционных систем, прикладных, сервисных, антивирусных программ; сбоями электроснабжения;
2) повреждения — элементов СУ; жизнеобеспечивающих коммуникаций (электро-, теплоснабжения, вентиляции и кондиционирования); ограждающих конструкций (внешние ограждения территорий, стены и перекрытия зданий; корпуса с технологическим оборудованием).
Как уже отмечалось, анализ угроз — один из ключевых моментов обеспечения защиты любой СУ. Наибольшую угрозу для СУ при техногенных и природных авариях представляет воздействие поражающих факторов. При определении параметров поражающих факторов следует принимать во внимание возможность совместного воздействия поражающих факторов от различных источников на элементы СУ. Реализация угроз приводит к повреждениям или уничтожению (частичному или полному) элементов СУ или информации.
Действия по снижению уязвимости СУ основаны на управлении базовыми параметрам уязвимости с целью ее минимизации [9, 10, 14] и в основном используют три различных метода, которые могут дополнять друг друга:
1. Общее «усиление» системы — повышение запасов для всех ее элементов и связей без предварительной оценки их уязвимости, предусматривающее наделение системы достаточным внутренним ресурсом, позволяющим противостоять любым внешним дестабилизирующим воздействиям. Данный метод — наиболее затратный и часто приводит к избыточной защите системы от отдельных видов угроз.
2. Локальное «усиление» — снижение уязвимости предварительно идентифицированных наиболее уязвимых элементов системы, когда решается задача предупреждения локальных отказов элементов системы, т. е. инициирующих событий для дальнейшего развития аварии в системе. Метод предусматривает выявление, детальную оценку угроз и повышение защищенности элементов системы к выявленному набору угроз.
3. Изменение структуры системы, позволяющее снизить уязвимость системы в целом путем исключения из структуры системы наиболее опасных и уязвимых взаимосвязей или введения системы резервирования и защиты. Цель этого подхода — исключение в случае отказа отдельных элементов системы каскадных процессов за счет использования нового направления теории управления сложными техническими системами — структурного управления.
Схемы защиты СУ КВО от поражающих факторов. Как отмечалось ранее, при организации защиты СУ следует использовать классический принцип эшелонированной защиты, на каждом из последовательных рубежей которой реализации угроз будут препятствовать надежные преграды. Конкретная реализация систем защиты от опасностей, уровень их сложности и эффективности зависят от возможного взаимного положения в пространстве зон опасности и зон расположения элементов СУ.
Эшелонированная защита СУ как средство обеспечения их безопасности состоит из системы защитных барьеров на пути распространения энергетических воздействий и вредных веществ в сторону СУ, системы технических и организационных мер по защите этих барьеров и сохранению их эффективности, мер по прогнозу развития аварийных режимов.
Барьерами безопасности СУ служат:
защищенное исполнение (согласно условиям применения) элементов СУ (первичные пре-
образователи, датчики, линии передачи данных, аппаратура);
схемное построение систем, обеспечивающее живучесть и предусматривающее резервирование, физическое разделение, разнотипность;
защитные оболочки, экраны, кожухи, корпуса; металлические трубы для размещения линий передачи данных; шкафы для аппаратуры;
стены зданий и сооружений, в которых размещаются элементы СУ; подземная прокладка линий передачи данных (в особых случаях — размещение всех элементов СУ в подземных помещениях; в этом случае дополнительным барьером являются грунт и породы);
организационные меры по поддержанию работоспособности всех барьеров.
При построении систем защиты критериями по выбору вида защит должны быть допустимые уровни воздействия на объекты защиты:
для персонала — защита от неконтролируемого выброса опасных веществ (включая токсины, отравляющие, радиоактивные и биологически опасные вещества), снижение интенсивности облучения, теплового воздействия, давления воздушной ударной волны и акустического воздействия до допустимого уровня, защита от первичных и вторичных поражающих факторов, в том числе осколков;
для оборудования и аппаратуры — защита от радиации, агрессивных сред, температур, давления и вибраций, осколков и ударной волны.
В состав систем защиты могут входить предохранительные устройства (плавкие вставки и т. п.). Эти устройства предохраняют элементы СУ от опасных для них входных параметров, причем принцип действия может быть различным в зависимости от характера входного сигнала (механический, электрический, тепловой, радиационный и т. д.) и требований по быстродействию, восстанавливаемости, прочности, ресурсу, надежности и т. п.
На рис. 9 и 10 представлены примеры схем СУ КВО в обычном и в защищенном исполнении.
Кроме того, в состав системы защиты должны входить преграды, укрытия, локализирующие системы и т. д. На практике это означает применение защищенных помещений, экранов, защитных оболочек, бронирования, тепловой
Поражающие факторы
> Г ч
Рис. 9. Схема системы управления в обычном исполнении:
1, 2, 3 — первичные преобразователи (датчики) на опасном объекте; 4 — блок аппаратуры обработки информации
и радиационной защиты, герметизирования; прокладка линий связи в трубах (бронерукава) и под землей, защита блоков обработки информации и управления, удаление из опасных зон и разнесение элементов в пространстве и т. п.
Инженерная реализация системы в части технических средств и программного обеспечения должна быть выполнена с учетом повышенной живучести системы в целях сохранения ее работоспособности по выполнению наиболее важных функций при возможных отказах или авариях. Последнее должно достигаться прежде всего за счет использования резервирования компонентов системы и связей между ее отдельными элементами и подсистемами, применения разнородных датчиков и линий связи, а также
за счет повышенной надежности при работе в экстремальных ситуациях измерительных устройств, датчиков, первичных преобразователей и другой аппаратуры. Оценка эффективности защиты основана на количественном или качественном определении способности системы противодействовать угрозам и дается на основе моделирования системы защиты.
В качестве показателя эффективности защиты может применяться вероятность потери работоспособности диагностической системы.
Анализ защищенности СУ КВО. Анализ защищенности состояний СУ предполагает учет механических, термических, электромагнитных, радиационных и других воздействий, в том числе при воздействии поражающих факторов.
Поражающие факторы
А
5
Зона расположения датчиков
Зона расположения аппаратуры
Рис. 10. Схема системы управления в защищенном исполнении:
1, 2, 3 — первичные преобразователи (датчики) на опасном объекте продублированы и защищены; 4 — блок аппаратуры обработки информации удален из опасной зоны и защищен
При разработках СУ КВО должна учитываться необходимость обеспечения их комплексной безопасности, включая механическую, радиационную, пожарную, химическую, взрывную, электромагнитную. Создавая алгоритм анализа безопасности Я по критериям рисков Я, целесообразно разрабатывать и использовать единую методологическую базу для оценки безопасности Я и рисков Я, включающую в себя риски по видам опасных воздействий.
Таким образом, в задачах обеспечения безопасности Я(т) и защищенности И(т) СУ КВО базовые параметры безопасности и рисков Я(т) как функций Г [(Р (т),и (т))] , отражающих поведение элементов систем (в первую очередь, материалов и подсистем), должны анализироваться по таким составляющим комплексной безопасности, как механическая Я , химическая
7 м'
Ях, пожарная Яп, взрывная Яв, электромагнитная £эм,, радиационная Яр (рис.11). Эти виды безопасности определяются через риски Я и их составляющие Я , Я , Я , Я , Я , Я .
м х' и' в' эм р
Во всех случаях оценки безопасности Я и рисков Я существенное значение имеет определение вероятностей Р(т) возникновения и развития во времени т опасных ситуаций.
Решение проблем защищенности и риска должно базироваться на решении проблем живучести, надежности, ресурса и прочности (стойкость к воздействиям). При этом показатели рисков могут рассматриваться как интегральные показатели защищенности, определяемые показателями живучести, надежности, ресурса и прочности (стойкость) рассматриваемой системы.
Основное направление обеспечения защищенности СУ от неблагоприятных ситуаций — реализация основных требований к их работоспособности в штатных и аварийных ситуациях.
Защищенность СУ характеризуется комплексом дифференцированных запасов по прочности (стойкости), надежности, ресурсу, живучести. Иными словами, дифференцированные
запасы по основным допустимым состояниям являются параметрами защищенности рассматриваемой системы.
Поскольку все расчетные параметры имеют вероятностную природу, это означает, что на-
ступление повреждений и отказов во многом связано с авариями и катастрофами и также имеет вероятностный характер.
Запас п(Р) по допустимому состоянию должен назначаться с определенной вероятностью Р выхода за границы допустимых значений расчетных параметров или не обеспечения условий прочности — ст< [ст], ресурса — т< [т] и т. д., т. е. с определенной вероятностью повреждения, отказа, аварии. При этом оцениваются затраты, связанные с обеспечением этого запаса С (п(Р)) (с точки зрения выбора физических свойств материалов, компонентов и т. д.) и последствия (ущерб) ир от отказа системы при аварии, которая происходит с вероятностью р .
Каждому запасу соответствуют свои значения затрат на его обеспечение (подбор материалов и элементов систем с требуемыми характеристиками) и ожидаемых ущербов (рисков). Поэтому задача поиска оптимального параметра защищенности от определенного типа воздействий (в том числе поражающих факторов) может быть записана в виде
min
{С (п(р)) + ирг).
(4)
Каждому значению запаса соответствует определенный набор конструктивных решений параметров и свойств материалов и элементов систем. Выражение (4) справедливо для единовременной оценки.
Методологическую базу комплексного анализа защищенности сложных технических систем (СТС) составляют различные способы формального описания систем защиты на основе графовых моделей. Один из таких подходов, предлагаемый в работе [15] и используемый далее, состоит в следующем. Для формального описания систем защиты предлагается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие «области угроз», «защищаемой области» и «системы защиты». Таким образом, образуются три множества: Т = {^} — множество угроз безопасности, О = {о^} — множество объектов (ресурсов) защищенной системы, М = {шк} — множество механизмов безопасности СТС.
Элементы этих множеств находятся между собой в определенных отношениях, которые и описывают систему защиты. Для описания
Рис. 11. Блок-схема анализа комплексной защищенности систем управления КВО
системы защиты обычно используется графовая модель. Множество отношений «угроза — объект» образует двухдольный граф {< Т, О >}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора — М; в результате получается трехдольный граф {Т, М ,О}.
Развитие модели предполагает введение еще двух элементов:
1. V — набор уязвимых мест, определяемый подмножеством декартова произведения Т 0 О: уг =< ti, о! > . Под уязвимостью системы защиты понимают возможность осуществления угрозы I в отношении объекта о. (Па практике под уязвимостью системы защиты обычно понима-
ют не возможность осуществления угрозы безопасности, а те свойства системы, которые способствуют успешному осуществлению угрозы).
2. В —определяемый декартовым произведением V 0 М: Ь1 =<ti, , шк >, набор барьеров, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты.
В результате получается система, состоящая из пяти элементов — < Т, О, М, V, В >, описывающая систему защиты с учетом наличия в ней уязвимостей.
Для системы с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе защиты
для всех возможных угроз безопасности существуют механизмы защиты, препятствующие осуществлению этих угроз. Данное условие — первый фактор, определяющий защищенность СТС; второй фактор — прочность механизмов защиты.
В идеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. Поэтому в качестве характеристик элемента набора барьеров Ъ1 = < tj, о■, тк >, Ъ1 е В может рассматриваться набор < Р;, Ц, Щ >, где Р1 — вероятность появления угрозы, Ц — величина ущерба при осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы), a Щ — степень сопротивляемости механизма защиты тк, характеризующаяся вероятностью его преодоления.
Прочность барьера Ъ1 =< tj, о^, тк > характеризуют величиной остаточного риска Щ, связанного с возможностью осуществления угрозы tj в отношении элемента сложной системы о
1 J
при использовании механизма защиты тк. Эта величина определяется по формуле
Щ = РкЬк(1 - Як). (5)
Для определения величины защищенности 2 можно использовать следующую формулу:
2 = 1/Е(УЪкеВ)[РкЦк (1-Як)], (6)
где Рк, Ц е (0,1), Як е (0,1).
Знаменатель в (6) определяет суммарную величину остаточных рисков, связанных с возможностью осуществления угроз Т в отношении элементов сложной технической системы О при использовании механизмов защиты М . Суммарная величина остаточных рисков характеризует общую уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров Ък , перекрывающих определенные уязвимости, степень сопротивляемости механизма зашиты Як принимается равной нулю.
На практике получение точных значений приведенных характеристик барьеров затруднено, поскольку понятия угрозы, ущерба и сопро-
тивляемости механизма защиты часто трудно формализовать.
В том случае, когда возможна оценка ущерба, применимы стоимостные методы оценки эффективности средств защиты. Для этих методов набор характеристик барьера дополняет величина С1 затрат на построение средства защиты барьера Ъ1. В этом случае выбор оптимального набора средств защиты связан с минимизацией суммарных затрат № = {м>1}, состоящих из затрат С = {е1} на создание средств защиты и возможных затрат при осуществлении угроз N = {щ}.
Построение моделей системы защиты и анализ их свойств составляют предмет «теории безопасных систем», еще только оформляющейся в качестве самостоятельного направления. Формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенно использование неформальных классификационных подходов. Вместо стоимостных оценок — категорирование: угроз; объектов защиты; средств защиты (по функциональности и гарантированности реализуемых возможностей) и т. п. Такой подход не дает точных значений показателей защищенности, однако может позволить классифицировать СТС по уровню защищенности и сравнивать их между собой.
В качестве выводов отметим, что обеспечение безопасности систем управления КВО, по существу, заключается в определении множества возможных угроз, оценке величины связанных с ними рисков, выборе адекватных контрмер, реализации этих контрмер и контроле их осуществления.
Для адекватности защиты СУ КВО от предполагаемых угроз проводят категорирование объектов, в результате чего в соответствии с категорией объекта устанавливаются требования к системе защиты СУ. При этом на опасных объектах целесообразна изначальная классификация последствий возможных на них ЧС.
В основе концепции безопасности лежит система (методика) анализа набора угроз, и все меры защиты должны базироваться на результатах данного анализа. Построение эффективного комплекса защитных мер возможно только
относительно определенного, характерного набора угроз.
Организация защиты предполагает идентификацию возможных источников угроз и факторов, способствующих их проявлению (уязви -мостей). Все источники угроз делят на классы, обусловленные типом носителя, а классы — на группы по источникам угроз. Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, классы — на группы и подгруппы по проявлениям. Существует три основных вида уязвимости систем управления: объективные, субъективные и случайные.
На основании результатов анализа уязвимости определяют адекватные предполагаемым угрозам меры по обеспечению заданного уровня защищенности системы управления, которые представляют собой совокупность инженерно-технических решений и организационных мер. Эффективность защиты СУ КВО характеризуется вероятностью обеспечения защиты от угроз, снижением уязвимости и повышением живучести СУ. Действия по снижению уязвимости СУ основаны на управлении базовыми параметрами уязвимости с целью ее минимизации и используют три различных метода, которые могут дополнять друг друга: общее «усиление» системы; локальное «усиление» — снижение уязвимости наиболее уязвимых элементов системы; изменение структуры системы.
К СУ применимы основные принципы обеспечения безопасности потенциально опасных
и критически важных объектов: принцип эшелонированной защиты, комплексности, единичного отказа, обеспечения надежности и живучести, системный подход и другие. Проектирование защиты СУ должно иметь две стадии: концептуальное и рабочее проектирование. В основе проектирования лежит классический принцип эшелонированной защиты, на каждом из последовательных рубежей которой реализации угроз будут препятствовать надежные преграды.
Методологическую базу комплексного анализа защищенности сложных технических систем (СТС) составляют различные способы формального описания систем защиты на основе графовых моделей. Анализ защищенности состояний СУ предполагает учет механических, термических, электромагнитных, радиационных и других воздействий, в том числе поражающих факторов.
При оценке безопасности Я и рисков Я существенное значение имеет определение вероятностей Р(х)возникновения и развития во времени х опасных ситуаций. Решение проблем защищенности и риска должно базироваться на решении проблем живучести, надежности, ресурса и прочности (стойкости к воздействиям). При этом показатели рисков могут рассматриваться как интегральные показатели защищенности ДС, которая характеризуется комплексом дифференцированных запасов но прочности (стойкости), надежности, ресурсу, живучести рассматриваемой системы.
СПИСОК ЛИТЕРАТУРЫ
1. Белов, С.В. Безопасность жизнедеятельности [Текст ] / С.В. Белов, А.В. Ильинская, А.Ф. Козьяков [и др.] // М.: Высшая школа,— 2007.— 616 с.
2. Панюков, Д.В. Создание корпоративной концепции физической защиты [Текст ] / Д.В. Панюков // Системы безопасности.— 2006. №2.— С. 65—67.
3. Александровская, Л.И. Безопасность и надежность технических систем [Текст]: Учеб. пособие. / Л.И. Александровская, И.З. Аронов, В.И. Круглов [и др.] // М.: Университетская книга. Логос, 2008.— 376 с.
4. ГОСТ Р 50922-96. Защита информации. Основные термины и определения [Текст] // Издание официальное.— М.: Госстандарт России, 1996.
5. Дмитриевский, Е .С. Конструкторско-техноло-гическое обеспечение эксплуатационной надежности авиационного радиоэлектронного оборудования
[Текст]: Учеб. пособие / Е.С. Дмитриевский // СПб.: Изд-во ГУАП, 2001.— 88 с.
6. Левин, В.И. Логическая теория надежности сложных систем [Текст] / Левин В.И. // М.: Энерго-атомиздат, 1985.— 128 с.
7. Левин, В.И. Структурно-логические методы исследования сложных систем с применением ЭВМ [Текст] / В.И. Левин // М.: Наука, 1987.— 304 с.
8. Фролов, К.В. Безопасность России. Анализ риска и проблем безопасности. Ч.1. Основы анализа риска и регулирования безопасности [Текст] / К.В. Фролов, Ф.Ф. Светик [и др.] // М.: Изд-во МГФ «Знание». 2006.— 640 с.
9. Махутов, Н.А. Идентификация определяющих параметров угроз, уязвимости и защищенности критически важных объектов по отношению к превалирующим угрозам природного, техногенного и терро-
ристического характера [Текст] / Н.А. Махутов, В.П. Петров, Д.О. Резников, В.И. Куксова // Проблемы безопасности и чрезвычайных ситуаций.— 2008. №2.— С. 70-77.
10. Петров, В.П. Оценка террористического риска и принятие решений о целесообразности построения систем защиты от террористических воздействий [Текст ] / В.П. Петров, Д.О. Резников, В.И. Куксова, Е.Ф. Дубинин // Проблемы безопасности и чрезвычайных ситуаций.— 2007. №1. — С. 89-105.
11. Стекольников, К.И. Живучесть систем [Текст] / К.И. Стекольников // СПб.: Политехника, 2002.— 155 с.
12. Аверченков, В.И. Автоматизация выбора состава технических средств системы физической защиты [Текст] / В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин // Вестник Брянского государственного технического университета.— 2008. № 4 (20).— С. 58-61.
13. Алаухов, С.Ф. Вопросы создания систем физической защиты для крупных промышленных объектов [Текст] / С.Ф. Алаухов, В.Я. Коцеруба // Системы безопасности.— 2001. №41.— С. 93.
14. Махутов, Н.А. Оценка риска аварий на КВО с учетом возможности реализации экстремальных ущербов [Текст] / Н.А. Махутов, Д.О. Резников, В.П. Петров // Проблемы безопасности и чрезвычайных ситуаций.— 2008. № 5.— С. 57-73.
15. Астахов, А. Анализ защищенности корпоративных систем [Электрон. ресурс] / А. Астахов // «Открытые системы».— 2002. №7-8 // http://www.morepc. ru/security/os200207044.html
16. Махутов, Н.А. Обеспечение защищенности и минимизация общих эксплуатационных затрат и ущербов в течение жизненного цикла критически важных объектов путем выбора оптимальных стратегий проведения технических инспекций и ремонта [Текст] / Н.А. Махутов, Д.О. Резников, В.П. Петров, В.И. Куксова // Проблемы анализа риска, том Х.— том 5.— 2010. № 3.— С. 34-67.
17. ГГуменюк, В.И. Методика анализа безопасности транспортно-технологических операций с ядерным топливом [Текст] / В.И. Гуменюк, М.Е. Федосовский, Г. А. Фокин, А. А. Сыров // Фундаментальные исследования и инновации в технических университетах: Матер. XIV Всеросс. научно-метод. конф. 13-14 мая 2010 г., Санкт-Петербург— СПб.: Изд-во Политехн. ун-та,— 2010. Т. 2.— С. 242-251.
18. Гменюк, В.И. Обеспечение защищенности и минимизация затрат при перегрузке ядерного топлива на АЭС с реакторами типа ВВЭР [Текст] / В.И. Гуменюк, А.А. Сыров, Г.Л. Атоян // Научно-технические ведомости СПбГПУ. — 2011. №2.— С. 294-303.
19. Гменюк, В.И. Программные комплексы, предназначенные для расчета показателей надежности-живучести-безопасности объектов атомной энергетики [Текст] / В.И. Гуменюк, Г.Л. Атоян, М.Е. Федосовский, А.А. Сыров // Материалы XIX междунар. научно-метод. конф. «Высокие интеллектуальные технологии образования и науки».— 9-10 февраля 2012 г. — Т. 4. — С. 53-61.— [Электрон. ресурс] http://nru.spbstu.ru/scientific_ events/high_technology_intelligence_of_education/
УДК 317.774
А.С. Крутолапов, Д.А. Сычёв
ПРОЦЕССЫ ИНФОРМАЦИОННОГО ОБМЕНА В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ НА ОСНОВЕ ПОЛЕВЫХ ШИН
Наблюдается тенденция применения информационных технологий при автоматизации различных информационно-управленческих процессов. Такие технологии реализуются на основе полевых шин для управления системами пожарной и охранной сигнализации, управления подачей электроэнергии и системой водоснабжения. Цель нашего исследования — оптимизация ресурсов пожарно-охранных и производственных
сетей на основе полевых шин с использованием разработанной модели.
Для построения математической модели процесса информационного обмена рассмотрим потоки случайных событий (запросов) для сети передачи данных (СПД). Узлы сети дискретны и получают доступ к ресурсу не одновременно, т. е. поток запросов ординарен. В сети он идет постоянно, обладая свойством стационарности.
