CC BY
66УДК 004.891: 004.056:620.9
РАЗРАБОТКА ЭКСПЕРТНОЙ СИСТЕМЫ ДЛЯ АНАЛИЗА УГРОЗ КИБЕРБЕЗОПАСНОСТИ В ЭНЕРГЕТИЧЕСКИХ СИСТЕМАХ Гаськова Дарья Александровна
Аспирант, e-mail: gaskovada@ gmail. com Массель Алексей Геннадьевич
К.т.н., старший научный сотрудник, e-mail: amassel@gmail.com Институт систем энергетики им. Л.А. Мелентьева СО РАН, 664130 г. Иркутск, ул. Лермонтова 130
Аннотация. Рассматривается возможность автоматизации методики анализа угроз и оценки риска нарушения информационно-технологической безопасности энергетических комплексов с помощью экспертной системы.
Ключевые слова: кибербезопасность, экспертные системы, энергетические системы
Введение. В Институте систем энергетики им. Л.А. Мелентьева СО РАН ведутся комплексные исследования систем энергетики, важную роль в которых играют исследования проблем энергетической безопасности, или, конкретнее, исследования направлений развития топливно-энергетического комплекса (ТЭК) России с учетом требований энергетической безопасности. Одной из тенденций развития мировой энергетики является создание концепции и внедрение технологий Smart Grid -интеллектуальных энергетических систем. В России работы по тематике Smart Grid сейчас ведутся преимущественно в области совершенствования технологических основ электроэнергетики. Применение современных информационных технологий в интеллектуальных энергетических системах позволяет управлять производством электроэнергии на всех ее этапах, но внедрение информационных технологий в энергетическую отрасль несет множество рисков и угроз [7], вследствие чего требуется предельно качественное обеспечение кибернетической безопасности. В лаборатории «Информационных технологий в энергетике» института ведутся работы в этой области, в частности, разработана онтология кибербезопасности [2]. А. Г. Масселем предложено расширить список угроз энергетической безопасности за счет киберугроз [5] и разработана методика анализа угроз и оценки риска нарушения информационно-технологической безопасности энергетических комплексов, которая легла в основу разрабатываемой экспертной системы.
1. Кибернетическая безопасность. Кибернетическая безопасность трактуется как набор средств, стратегии, принципы обеспечения безопасности, гарантии безопасности, руководящие принципы, подходы к управлению рисками, действия, профессиональная подготовка, практический опыт, страхование и технологии, которые могут быть использованы для защиты кибернетической среды, ресурсов организации и пользователя [13].
Кибернетическая среда - это подключенные компьютерные устройства, персонал, инфраструктура, приложения, сервисы, телекоммуникационные системы, а также совокупность передаваемой и/или хранящейся информации.
Кибернетическая безопасность состоит в попытке достижения и сохранения свойств безопасности у ресурсов организации или пользователя, направленных против соответствующих угроз безопасности в кибернетической среде.
Ресурсы организации и пользователя включают подсоединенные компьютерные устройства, персонал, инфраструктуру, приложения, услуги, системы электросвязи и всю совокупность переданной и/или сохраненной информации в кибернетической среде [6].
1.1. Угрозы кибернетической безопасности. Угроза безопасности - это возможные действия, способные прямо или косвенно нанести ущерб безопасности информации. Под ущербом безопасности следует понимать нарушение конфиденциальности, доступности или (и) целостности информации.
Кибернетическая атака - разновидность угроз преднамеренного действия, источником которых является человек. Актуальными разновидностями атак для ИЭС являются вирусная атака, Dos / DDoS атака, MitM атака, Инъекция (SQL-инъекция), руткит, анализ трафика [4,12].
Угрозы, связанные с кибербезопасностью, особенно опасны для операторов важнейших объектов энергетической инфраструктуры, поскольку хорошо скоординированная кибератака, особенно при наличии каскадного эффекта, может нанести гораздо больший ущерб, чем физическая атака. Тесные связи в системах и каскадный эффект - это два слагаемых, за счет которых кибератаки на важнейшие объекты энергетической инфраструктуры потенциально способны привести к долговременным нарушениям работы систем энергоснабжения [11].
1.2. Уязвимости систем. Уязвимость - слабость в информационной системе, бреши системы безопасности, внутреннего контроля которые могут быть использованы или вызваны источником угрозы [6].
Уязвимые стороны могут находиться в следующих ресурсах:
• организация;
• процессы и процедуры;
• практика управления;
• персонал;
• физическая среда;
• конфигурация информационной системы;
• аппаратное, программное или коммуникационное обеспечение;
• зависимость от сторонних организаций.
Почти треть уязвимостей (36%) связаны с переполнением буфера (Buffer Overflow) -явлением, возникающим, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Подобный недостаток защищенности позволяет злоумышленнику не только вызвать аварийное завершение или «зависание» программы (что ведет к отказу в обслуживании), но и выполнять в целевой системе произвольный код. Стоит отметить также большое количество проблем с аутентификацией и управлением ключами (Authentication, Key Management; почти 23%) [3].
2. Проектирование экспертной системы для анализа угроз кибербезопасности в энергетических комплексах «Cyber».
2.1. Постановка задачи. Для проведения периодического аудита обеспечения защиты информации в энергетической системе предлагается разработать экспертную систему, позволяющую выявить угрозы информационной системы энергетического комплекса по заранее известным, наиболее распространенным и имеющим критические последствия уязвимостям при их использовании злоумышленником. Учитывая ранжирование по степени ущерба от их реализации, требуется в конечном итоге вывести список мер обеспечения кибербезопасности с учетом наиболее критичных угроз. Экспертная система разрабатывается на основе методики анализа угроз и оценки риска нарушения информационно-технологической безопасности энергетических комплексов, предложенной А.Г. Масселем [6]. Поставлена задача: на основе этой методики разработать и реализовать прототип экспертной системы, поддерживающий выявление уязвимостей, составление списка угроз, а так же формирование списка базовых мер по обеспечению безопасности.
2.2. Методика анализа угроз и оценки риска нарушения информационно-технологической (ИТ) безопасности энергетических комплексов (ЭК). Анализ угроз и оценка риска (АУОР) нарушения ИТ-безопасности ЭК проводится в несколько этапов с учетом двух основных аспектов: критичности поддерживаемых ИТ-системой целевых функций ЭК; стоимости защиты ресурсов ИТ ЭК.
Результатом каждого этапа является документ, содержание и форма которого зависит от конкретной ситуации. Каждый созданный документ, как правило, является основой для исследований на последующем этапе.
В процессе проведения АУОР необходимо решить восемь задач [6], в декомпозированной диаграмме на рис. 1 решения этих задач сформированы в пять укрупненных этапов.
По результатам построенных моделей предполагается, что экспертная система будет осуществлять поддержку принятия решений при анализе угроз, ведущих к нарушению безопасности, путем формирования базовых мер защиты ресурсов энергетического комплекса.
Применение экспертной системы Cyber при АУОР позволит:
• автоматизировать процесс сбора данных для анализа угроз и уязвимостей;
• автоматизировать процессы обнаружения уязвимостей, ресурсов, содержащих слабые места и угроз;
• автоматизировать предоставление мер обеспечения информации для поддержки принятия решения о способах защиты ресурсов.
Экспертная система должна обеспечивать обнаружение уязвимостей и угроз информационно-технологической системы энергетического комплекса в части критических ресурсов компании, а также для формирования мер защиты этих ресурсов.
Рис. 1. Декомпозиция процесса АУОР в нотации IDEF0
3. Реализация экспертной системы анализа угроз кибербезопасности в ЭК.
3.1. Функции, выполняемые ЭС.
• ввод условий посредством проведения опроса пользователя с предложением вариантов ответов;
• вывод уязвимостей и угроз на основе опроса;
• ввод пользователем своих качественных оценок угроз;
• формирование списка критических угроз на основе оценки рисков реализации угрозы;
• вывод мер обеспечения безопасности от критических угроз.
3.2. Структура ЭС Cyber. Экспертную систему было решено проектировать с использованием продукционной модели знаний, которая позволяет отобразить экспертные данные в базе знаний в виде правил ЕСЛИ - ТО. ЭС включает три структурных элемента (рис. 2):
• графический интерфейс пользователя;
• интерфейс взаимодействия;
• ядро экспертной системы.
Графический интерфейс пользователя (GUI) включает отображение данных, обработку событий пользовательского интерфейса и реализован на высокоуровневом языке Java с использованием библиотеки Swing.
Интерфейс взаимодействия представляет собой JNI - механизм для запуска кода, под управлением виртуальной машины Java и служит для взаимодействия GUI с CLIPS.
Рис. 2. Структура прототипа экспертной системы Cyber
Ядро экспертной системы реализовано в программной среде для разработки экспертных систем CLIPS и представляет собой механизм логического вывода и базу знаний.
3.3. База знаний. База знаний представляет собой совокупность шаблонов (DEFTEMPLATES) и правил (RULES), а также вспомогательных функций (FUNCTION), обеспечивающих организацию фактов в базе знаний. Структура шаблонов представлена в таблице 1.
Таблица 1. Структура шаблонов
Шаблон Поля
Наименование Расшифровка Наименование Расшифровка
answer Ответ пользователя name Вопрос
answer Ответ
vulnerability Уязвимость name Наименование
threat Угроза name Наименование
level Качественная оценка с точки возможности обнаружения
control Мера обеспечения безопасности в зависимости от уязвимостей и угроз name Наименование меры обеспечения
vulnerability уязвимость
threat угроза
class Класс защищенности АСУ value Класс защищенности АСУ
В системе заложены три группы правил:
• правила определения угроз по выбранному ответу пользователя с отметкой уязвимости;
• правила вывода мер защиты ресурса от выявленных угроз для каждой уязвимости в зависимости от класса защищенности автоматизированной системы управления (АСУ);
• общие правила вывода мер защиты ресурса от выявленных угроз для каждой уязвимости.
Наполнение базы знаний выполнялось с использованием [8-10].Так же использовалась база данных угроз безопасности информации ФСТЭК [1]. В таблице 2 приведен пример
определения угроз по выбранному ответу пользователя с отметкой уязвимости. Уязвимостью является возможность оставлять пустой пароль при авторизации пользователя в системе, а угрозой является имитация пользователя.
Таблица 2. Пример определения угроз по выбранному ответу пользователя
Правило определение угрозы Правило определения мер защиты от данной угрозы
(defrule empty-password (answer (name empty password) (answer true)) => (assert ( threat (name imitation_user) (level 2))) (assert (vulnerability (name empty password))) (printout t "empty_password" crlf)) (defrule control-empty-password (vulnerability (name empty password)) (threat (name imitation user)) => (assert ( control (name add password) (vulnerability empty password) (threat imitation user))))
3.4. Описание внутреннего алгоритма работы ЭС Cyber. Система содержит ряд вопросов по безопасности автоматизированной системы управления предприятием с вариантами ответов. Ввод условий осуществляется посредством опрашивания пользователей с предложением вариантов ответов. Получив ответы пользователя, система вносит факты о наличии уязвимостей и угроз, связанных с реализацией выявленных уязвимостей, в базу знаний.
Угрозы с высокой степенью представляют наибольший риск нарушения безопасности для предприятия. Факты, соответствующие низкой и средней степени угроз, удаляются из базы знаний. Для высокой степени угроз системой формируется набор мер по обеспечению безопасности и выводится на экран.
До начала основного опроса пользователю предлагается выбрать уровень защищенности АСУ, который влияет на критичность уязвимостей угроз и выбор меры обеспечения безопасности.
3.5. Описание классов экспертной системы Cyber. Диаграмма классов представлена на рис. 3. Основным классом с точкой доступа в программу является класс Main. Класс Clips является наследником класса Environment и служит для загрузки файла clips - *. clp, а также подготовки среды Clips для работы. Класс MainFrame реализует работу основного окна, включая работу кнопок, обработку вводимой пользователем информации в таблицу, ввод и вывод информации пользователя в среду Clips. Класс RecomJTextArea предназначен для организации вывода рекомендаций по обеспечению безопасности в удобном для просмотра виде. Класс QuestionJTable отвечает за настройки таблицы, такие, как возможность редактирования только третьего столбца таблицы, а так же блокирования элементов jcheckbox, отвечающих за ответы пользователя, блокировка осуществляется для поддержки логики вопросов. QuestionJTable связывает данные из двумерного массива и отображает их в таблице. Существуют два массива с константами, содержащих блоки вопросов. Класс TranslateHashMap наследуется от класса HashMap и служит для перевода вводимой информации на язык Clips, а также для перевода фактов Clips на русский язык. Объекты
класса Translatehashmap представляют собой коллекции пар вида «ключ/ значение», где ключ - фраза для перевода, а значение - результат перевода фразы.
Main
1 1
JFrame
1
MainFrame
11 11
Clips 4
RecomJTextArea QuestionJTable
TranslateHashMap
JTextArea
JTable
HashMap
Environment
Рис. 3. Диаграмма классов
3.6. Разработка графического пользовательского интерфейса. Большинство экспертных систем отличает наличие дружественного пользовательского интерфейса, поэтому было принято решение разработать графический пользовательский интерфейс для прототипа экспертной системы.
При разработке интерфейса была поставлена задача сделать его максимально простым в использовании и интуитивно понятным, поэтому графический интерфейс построен таким образом, чтобы пользователь мог последовательно выполнять свои действия - от выбора класса защищенности АСУ до получения от системы списка обобщенных мер по обеспечению безопасности.
На рис. 4а) показан внешний вид главного окна разработанной экспертной системы; на рис. 4б) изображено окно с содержанием блоков вопросов для того, чтобы пользователь мог подготовить необходимую информацию для дачи ответов на них; на рис. 4в) показано окно основной работы с пользователем, включающее таблицу вопросов с ответами типа «Да/Нет» и выводом мер по обеспечению безопасности.
Заключение. Авторами предложено автоматизировать процесс анализа угроз с помощью экспертной системы, для того, чтобы ускорить данный процесс, поскольку он может занимать длительное время в зависимости от уровня детализации; уменьшить затраты, связанные с привлечением специалистов компании, которые на время проведения АУОР не исполняют свои прямые обязанности; увеличить скорость построения и точность списка мер защиты ресурсов энергетического комплекса.
Экспертная система способна осуществить поддержку принятия решения при анализе угроз, ведущих к нарушению безопасности, путем формирования базовых мер защиты ресурсов энергетического комплекса.
4б) окно блока вопросов
4в) окно ввода пользовательских данных и вывода мер обеспечения защиты
Рис. 4. Графический пользовательский интерфейс
Результаты, представленные в статье, получены при частичной финансовой поддержке гранта Программы Президиума РАН №229 и грантов РФФИ №15-07-01284, №15-07-04074 Бел мол а, № 16-07-00569, №16-00-474.
СПИСОК ЛИТЕРАТУРЫ
1. База данных угроз безопасности информации //ФСТЭК [Электронный ресурс]. URL: http://bdu.fstec.ru/threat/ubi.175 (дата обращения: 1.05.15).
2. Ворожцова Т.Н. Разработка онтологии кибербезопасности в энергетике / Information technology and security. Украина, Киев, Институт специальной связи и защиты информации НТУ Украины «КПИ», №1 (3) 2013. С. 19-25.
3. Грицай Г.В. Тиморин А.Г. Безопасность промышленных систем в цифрах [Электронный ресурс]: Статьи лаборатории Positive Technologies. 2012. URL: http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf (дата обращения: 15.03.2015).
4. Касперски К. Компьютерные вирусы изнутри и снаружи. СПб.: Питер, 2006. С. 526.
5. Массель А.Г. Кибератаки как угроза энергетической безопасности России / Information technology and security. Украина, Киев, Институт специальной связи и защиты информации НТУ Украины «КПИ», №1 (3) 2013. С. 49-56.
6. Массель А.Г. Методика анализа угроз и оценки риска нарушения информационно-технологической безопасности энергетических комплексов // XX Байкальской Всероссийской конференции: труды, т. III. Иркутск: ИСЭМ СО РАН, 2015. C. 186 -195.
7. Массель Л.В. Использование современных информационных технологий в Smart Grid как угроза кибербезопасности энергетических систем России // Information technology and security. Украина, Киев, Институт специальной связи и защиты информации НТУ Украины «КПИ», №1 (3) 2013. С. 56-65.
8. Меры защиты информации в государственных информационных системах [Электронный ресурс]: методический документ от 11 фев. 2014 г. Доступ из справ.-правовой системы «КонсультантПлюс» (дата обращения: 23.04.15).
9. Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды [Электронный ресурс]: приказ ФСТЭК России № 31 от 14 марта 2014. URL: http://fstec.ru/rss-lenta/110-tekhnicheskaya-zashchita-informatsii/dokumenty/prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения 26.02.2015)
10. Олифер В. Г. Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд. СПб. Питер. 2010. 944 с.
11. Руководство по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства: руководство // Организация по безопасности и сотрудничеству в Европе (ОБСЕ). 2013. 96 с.
12. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. СПб. Питер. 2003. 432 c.
13. T-REC-X.1205 - ITU-T. Series x: data networks, open system. Communications and security 04.2008.
UDK 004.891: 004.056:620.9
DEVELOPMENT OF EXPERT SYSTEM FOR ANALYSIS OF CYBERSECURITY THREATS IN THE ENERGY SYSTEMS
Daria A. Gaskova
Postgraduate, e-mail: gaskovada@gmail.com Aleksey G. Massel PhD, Senior Researcher, e-mail: amassel@gmail.com
Melentiev Energy Systems Institute Siberian Branch of the Russian Academy of Sciences 130, Lermontov Str., 664033, Irkutsk, Russia,
Annotation. It's considered the possibility to automate methods of the analysis of threats, risk assessment violations of information and technological security of energy complexes using an expert system.
Keywords: cybersecurity, expert systems, energy systems
References
1. Baza dannyh ugroz bezopasnosti informacii [Database of information security threats]// FSTJeK. Available at: http://bdu.fstec.ru/threat/ubi.175 01.05.15 (in Russian).
2. Vorozhcova T.N. Razrabotka ontologii kiberbezopasnosti v jenergetike [The development of the cybersecurity ontology in the energy sector] // Information technology and security. Ukraina, Kiev, Institut special'noj svjazi i zashhity informacii NTU Ukrainy «KPI», №1 (3) 2013. S. 19-25. (in Russian).
3. Gricaj G.V., Timorin A.G. Bezopasnost' promyshlennyh sistem v cifrah [Safety of industrial system in numbers]. Available at: http://www.ptsecurity.ru/download/ SCADA_analytics_russian.pdf 15.03.2015. (in Russian).
4. Kaspersky K. Kompyuternye virusy iznutri i snaruzhi [Computer viruses inside and out]. SPb. Piter, 2006. 526 s. (in Russian).
5. Massel' A.G. Kiberataki kak ugroza jenergeticheskoj bezopasnosti Rossii [Cyber attacks as a threat to Russia's energy security]// Information technology and security. - Ukraina, Kiev, Institut special'noj svjazi i zashhity informacii NTU Ukrainy «KPI». №1 (3). 2013. S. 49-56.
6. Massel' A.G. Metodika analiza ugroz i ocenki riska narushenija informacionno-tehnologicheskoj bezopasnosti jenergeticheskih kompleksov [Methods of the analysis of threats, risk assessment violations of information and technological security of energy complexes] // XX Bajkal'skaja Vserossijskaja konferencija: trudy, t. III. Irkutsk. ISEM SO RAN. 2015. S. 186 - 195. = XX Baikal All-Russia conference : proceedings, v. III. - Irkutsk: MESI SB RAS, 2015. P. 186 - 195 (in Russian).
7. Massel' L.V. Ispol'zovanie sovremennyh informacionnyh tehnologij v Smart Grid kak ugroza kiberbezopasnosti jenergeticheskih sistem Rossii [The use of modern information technologies in the Smart Grid as a threat of cyber security to Russian energy systems] // Information technology and security. Ukraina, Kiev, Institut special'noj svjazi i zashhity informacii NTU Ukrainy «KPI». №1 (3) 2013. S. 56-65.
8. Mery zashhity informacii v gosudarstvennyh informacionnyh sistemah [Measures of information protection in state information systems]. Available at: metodicheskij dokument ot 11 fev. 2014 g. Dostup iz sprav.-pravovoj sistemy «Konsul'tantPljus» 23.04.15. (in Russian).
9. Ob utverzhdenii Trebovanij k obespecheniju zashhity informacii v avtomatizirovannyh sistemah upravlenija proizvodstvennymi i tehnologicheskimi processami na kriticheski vazhnyh obektah, potencial'no opasnyh obektah, a takzhe obektah, predstavljajushhih povyshennuju opasnost' dlja zhizni i zdorov'ja ljudej i dlja okruzhajushhej prirodnoj sredy [Approval of the requirements to ensure the protection of information in automated control systems of production and technological processes on critical facilities, potentially hazardous objects as well as objects representing the increased danger to life and health and to the environment]. Available at: prikaz FSTJeK Rossii № 31 ot 14 marta 2014. URL: http://fstec.ru/rss-lenta/110-tekhnicheskaya-zashchita-informatsii/dokumenty/prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 26.02.2015. (in Russian).
10. Olifer V. G. Olifer N.A. Komp'juternye seti. Principy, tehnologii, protokoly: Uchebnik dlja vuzov [Computer networks. Principles, technologies, protocols: Textbook for universities]. 4e izd. SPb.: Piter, 2010. 944 s. (in Russian).
11. Rukovodstvo po peredovoj praktike zashhity vazhnejshih ob#ektov nejadernoj jenergeticheskoj infrastruktury ot terroristicheskih aktov v svjazi s ugrozami, ishodjashhimi ot kiberprostranstva: rukovodstvo // Organizacija po bezopasnosti i sotrudnichestvu v Evrope (OBSE) [Guide to best for practices protection of critical nuclear energy infrastructure from terrorist attacks because of threats from cyberspace: Manual / Organization for Security and Cooperation in Europe (OSCE)]. 2013. 96 s.
12. Schneier B. Sekrety i lozh: Bezopasnost dannyx v cifrovom mire [Secrets and Lies: Digital Security in a Networked World]. SPb. Piter. 2000. 432 s. (in Russian).
13. T-REC-X.1205 - ITU-T. Series x: data networks, open system. Communications and security 04.2008.
