Сетецентрические войны с позиции синергетики Текст научной статьи по специальности «Математика»

В.Р. Григорьев, Л.О. Шуркин

СЕТЕЦЕНТРИЧЕСКИЕ ВОЙНЫ С ПОЗИЦИИ СИНЕРГЕТИКИ

На сегодняшний день одной из наиболее актуальных проблем в области обеспечения безопасности государства является исследование вопросов его устойчивости как сложноорганизованной системы к возможным воздействиям со стороны вероятного противника. Предложены новые эффективные методы моделирования информационного противоборства и конфликтных ситуаций различного масштаба и интенсивности с целью определения путей и направлений сдерживания так называемых «сетецентрических войн» (СЦВ), уменьшения риска при принятии решений в кризисных ситуациях.

Ключевые слова: сетевое общество, информационное противоборство, сетецентрические войны, сложная система, устойчивость, синергетика, сложные сети.

Одной из центральных проблем общей теории национальной безопасности является обеспечение адекватной оценки ожидаемых внутренних и внешних угроз и выбора эффективных мер противодействия им в условиях неопределенностей и стоха-стичности процессов развития сферы информационного противоборства. При этом основное внимание должно быть уделено информационным аспектам проблемы снижения риска неадекватной оценки ситуации и принятия неэффективных и опасных решений, реализация которых может нанести значительный ущерб интересам и безопасности при управлении направленным развитием функциональных систем социально-экономического механизма государства1. Эта проблема является фундаментальной как в научном, так и в прикладном планах, и ее решение может оказать существенное влияние на все сферы и объекты безопасности.

© Григорьев В.Р., Шуркин Л.О., 2014

Разработки в области информационных технологий резко изменяют взаимодействие как народов, организаций, так и отдельных людей. Быстрое распространение информации ставит под вопрос уместность привычных и обычных организационных и управленческих начал. Военное значение новых организационных наук, которые исследуют сетевые взаимоотношения в противоположность иерархическим моделям управления, также пока еще не полностью понято. Глобализация сетевой связи создает новые уязвимости ключевым национальным информационным инфраструктурам и новые угрозы информационной инфраструктуре исходят именно из достижений в области глобальных телекоммуникаций2, и как следствие имеют в основе своей сетевую природу.

Общество сейчас переживает распространение сетевой организационной культуры, которая до сих пор не претендовала на роль доминирующей, но тем не менее по эффективности стоит выше нынешней, иерархической. «Кирпичик» иерархической культуры - институт, сетевой - личность. Если институт основан на централизации, вертикальной субординации, штатном расписании и постановке формальных целей, то сетевая организация - на относительной автономии частей, аутсорсинге и распределении рисков. Сетевые сообщества (и террористические, в частности) формируются из личностей, которые несут собственное концептуальное це-леполагание, создавая полевые проекты временных виртуальных организаций. Если выдвинутая идея содержит вызов, то заразившиеся ею люди (акторы сетей) собираются в своего рода кластеры (малые миры). Причем один и тот же актор может пребывать одновременно в разных кластерах (сетях). Даже если один кластер сети разрушен, остальные могут продолжать эффективно функционировать. (Применительно к террористическим организациям это означает, что арест даже большой группы террористов может не затронуть работоспособности всей террористической сети.)

Сетевая форма организации позволяет ей быстро адаптироваться к изменяющимся внешним условиям, отмечал один из главных теоретиков сетевого общества Мануэль Кастельс. И, кстати, именно так уже действуют многие крупные транснациональные корпорации, приспосабливаясь к изменчивой геометрии глобальной экономики, легче других выдерживая конкуренцию. Корпорации - образования куда менее инертные, чем бюджетные структуры, к которым относятся и спецслужбы, и системы безопасности в целом. Но теперь, видимо, спецслужбам придется также перенимать сетевые правила игры. Чтобы попытаться победить врага на его же поле, им необходима децентрализация и автономия объединенных общей целью мобильных

адаптивных структур наряду с привычными вертикальными командными линиями. Пока же подверженные директивному планированию спецслужбы просто не успевают отвечать на новые вызовы, и, видимо, в этом кроется одна из причин, почему они не могут быстро перестроиться на борьбу с новыми, нешаблонными видами террористических угроз. Если более продвинутая с точки зрения организационной эволюции сетевая структура ставит задачу атаковать устаревающую иерархическую организацию, то у последней мало шансов выйти победителем. С этой целью, а именно для создания таких эффективных механизмов достижения превосходства над своими противниками в США военно-политическим истеблишментом активно ведутся НИ-ОКР в области борьбы с системами управления, основная цель которых - создание так называемого информационного превосходства непосредственно на поле боя (в том числе виртуального) как «возможности собирать, обрабатывать и передавать непрерывный поток информации при одновременном противодействии противнику».

Террористические акты в США 11 сентября 2001 г. открыли эпоху «мятежевойны» (в ряде трактовок этот термин звучит как «мятежвойна»), наступление которой предсказал еще в начале 60-х годов XX в. русский военный ученый-эмигрант Евгений Месснер. Им были определены принципиальные особенности этого явления: отсутствие линий фронта и четких границ между противниками, превращение общественного сознания в основной объект воздействия, четырехмерное пространство войны (к трем традиционным добавляется информационно-психологическое измерение).

Возникновение сетецентрических (в своей сути сетевых) войн как таковых стало следствием появления асимметричных угроз в современном мире. Согласно определению Института национальных стратегических исследований Национального университета обороны США, под асимметричными угрозами понимаются «использование фактора неожиданности во всех его оперативных и стратегических измерениях, а также использование оружия такими способами, которые не планируются США». Разумеется, данная сугубо американская трактовка применима и в более широком смысле - как использование фактора неожиданности асимметричных действий (операций) против любого государства.

Сегодня очевидно расширение понятия сетевых войн до масштабов глобальной информационной агрессии. Тем более что новый взгляд на угрозы XXI столетия заключается как раз в том, что все чаще основная угроза исходит не от регулярных армий разных стран, а от всевозможных террористических, криминальных и других организаций, участники которых объединены в некие сетевые структуры.

В сущности, эти сетевые организации переводят информационное превосходство в боевую мощь, эффективно связывая интеллектуальные объекты в единое информационное пространство. Происходит трансформация понятия «поле противостояния» в понятие «информационное пространство столкновения интересов». В него включены цели, лежащие в виртуальной сфере: эмоции, восприятие и психика ситуативного противника. Воздействие на новые классы целей достигается за счет тесной интеграции сетевых структур координирующего органа и сетевых структур гражданского общества (например так называемых негосударственных общественных объединений (НГО), вырабатывающих общественное мнение). Поэтому необходимо отметить, что современное противостояние в информационной сфере ведется не только между государствами, но и между негосударственными (неправительственными) организациями и государством.

Это особый, в основном для частных случаев, метод противостояния является необычайно мощным средством как нападения, так и защиты. В нападении сетевые организации, как правило, очень гибки, легкоадаптируемы к различным условиям, универсальны и предоставляют многочисленные возможности взаимодействия. Особенно это характерно для случаев, где субъекты используют тактику роения3.

Как и практически любое новое явление, концепция военного и информационного противоборства и сдерживания пережила определенное смысловое перерождение. О том, что сетевые войны зачастую становятся не механизмом борьбы с терроризмом и иными асимметричными угрозами (в качестве которого они изначально рассматривались), а инструментом самого терроризма и транснациональной преступности, а также способом решения определенных политических задач, говорят многие факты. Межнациональные террористические группы, черный рынок оружия массового поражения, нарко- и иные преступные синдикаты, фундаменталистские и этно-националистические движения, экологические и правозащитные организации, пираты в сфере 1Т-технологий и иной интеллектуальной собственности, контрабандисты, беженцы и нелегальные мигранты по-прежнему остаются составной частью сетевых войн. Однако к этой же концепции обращаются и революционеры нового поколения, радикалы и другие активисты, начинающие создавать свои идеологии на основе технологических и социокультурных достижений века информации, в которых акценты от отдельного государства смещаются в сторону межнационального уровня глобального гражданского общества. При этом действия всех ука-

занных групп могут носить как национальный, так и транснациональный характер. Естественно, целью некоторых субъектов является уничтожение действующих институтов власти, но целями большинства является подрывная деятельность и дезориентация населения в восприятии истинных и навязанных угроз.

Термин «асимметричная информационная война» (АИВ) занял прочное место и в лексиконе военных специалистов КНР. В настоящее время они разрабатывают концепцию АИВ, которая, как предполагается, будет включать все исторические и национальные представления о том, как воевать на стратегическом, оперативном и тактическом уровне, а также на 36 стратегемах великого полководца и мыслителя Сунь Цзы, который в своих трудах делает акцент на обман, войну знаний и поиск асимметричных преимуществ над противником еще до начала сражения. АИВ определена как «переход от механизированной войны индустриального возраста к войне решений и стиля управления, войне за знания и войне интеллекта»4.

В рамках проведения информационных операций (ИОп) потенциальный противник посредством использования широкого арсенала информационного оружия может нанести серьезный (а возможно, и невосполнимый) ущерб противнику без использования традиционных контактных силовых методов и не понеся потерь. Воздействуя только на информационно-управляющую систему, он может вывести из строя, обезопасить или практически уничтожить основные элементы гражданской и военной инфраструктуры. Кроме того, атакующий не обнаруживает себя, а атакуемая сторона не всегда в состоянии вовремя и однозначно идентифицировать агрессора. Отсюда следует, что информационная борьба, ведущаяся даже в мирное время, становится реальной угрозой национальной безопасности. Чтобы этого избежать, необходимо обладать сведениями о направлении и средствах реализации возможной угрозы, которые, естественно, охраняются противной стороной со всей тщательностью. Их необходимо добывать и создавать свою систему многорубежной адаптивной защиты в экономической, политической и военной областях. Все это требует новых подходов к разработке, исследованию и развитию средств и методов в области ведения информационного противоборства и крайней его степени - информационной войны.

Глобализирующийся мир требует качественно нового подхода к проблемам принятия решений. Все более настойчиво ставится вопрос о сетевой природе управления: переходе от жестко иерархированной вертикальной системы управления (где четко разделены центральное ядро, в котором и принимаются решения, и периферия,

обязанная эти решения беспрекословно выполнять) к запараллелен-ной, или распределенной, т. е. сетевой системе, когда полномочия по принятию решений делегируются от центрального ядра к структурным подразделениям. Но в этой ситуации проблема безопасности информации переходит на качественно иной уровень: если в первом случае четкая вертикаль управления позволяет (директивными указаниями) легко обеспечить защиту каналов поступления объективной и достоверной информации, то при сетевой системе опасность утечки информации возрастает на несколько порядков.

Кроме того, при иерархическом и сетевом подходах значительно различаются цели проведения деструктивных управляющих воздействий, направленных на получение контроля над информационными системами, входящих в контур управления ключевыми объектами информационной инфраструктуры страны (рис. 1, 2). На рисунках использованы следующие условные обозначения:

■ ► - воздействие на отдельные элементы

#—► - воздействие на связи между элементами

2—^ - воздействие на подсистемы

- воздействие на связи между подсистемами

| - воздействие на систему

Рис. 1. Иерархическая система управления в условиях ведения ИП

В табл. 1 представлены общие задачи информационного противоборства двух динамических систем: нападения и защиты.

Следует отметить, что адекватное понимание проблем информационного противоборства естественным образом вытекает из общесистемных представлений противоборства любых двух систем с противоположными интересами и целями, в нашем случае - систем защиты и нападения, каждая из которых представляет собой многофакторную, иерархическую, многоцелевую, сложноорганизован-ную многоэлементную систему. В этом ракурсе информационное противоборство первоначально может быть рассмотрено исходя из общей задачи противоборства двух динамических развивающихся сложных систем.

Динамические системы. Необходимость учета фактора времени при описании сложной системы, а также рассмотрения поведенческих аспектов в движении и развитии сложных систем приводит к необходимости исследования динамической системы.

Под динамической системой S будем понимать сложное математическое понятие:

5 = <Т Ф, Г, X, и, У, G, R}, определяемое следующими аксиомами.

Таблица 1 ^

\ Объекты \безопас- \HOCTII Параметры\ ИП Структура Функции Информация Интеллект Система

Объекты ИП Структурная схема узлов, элементов и их связей Исполнительные устройства(про-граммно-аппаратные средства) Сведения о выполняемых функциях Функциональные подсистемы Система управления Сервисы Система защиты Информация, составляющая гостайну Конфиденциальная информация Информация, составляющая служебную тайну Экспертные системы, -СУБД и СУБЗ Ситуационные центры Органы управления Лица, принимающие решения Предназначение системы Архитектура системы Место расположения системы

Предмет ИП Структурная устойчивость (гомеостазис) Управляемость Качество переходных процессов Надежность Отказоустойчивость Наблюдаемость Идентифицируемость Безопасность Исполнительные: - обработка; - хранение; - передача управления Вспомогательные: - синхронизация; - маршрутизация и т. д. Защиты (иммунитет) Целостность Конфиденциальность Доступность Ценность Оперативность Стоимость Система диагностики Система мониторинга: - обнаружение; - реагирование Система принятия решений Система управления Система обработки знаний: - извлечение знаний; - порождение новых знаний; - синтез знаний Системы управления Системная устойчивость (системный гомеостазис) Процессы самоорганизации системы: - саморегулирование; - самовосстановление

ш Чз

тз =

-

о тз

О

Продолжение таблицы 1 о

Объекты без- Структура Функции Информация Интеллект Система

^^опасности

Параметры ^

ИП

Угрозы Физическое уничтоже- Внедрение про- НСД: Неадекватность Потеря управления

ние элементов и/или граммно-аппарат- - перехват; принятия решения в вооруженными

узлов ных закладок - копирование; условиях неполноты силами

Р/э подавление Внедрение ви- - модификация; информации Потеря управления

Техногенные аварии русов - подмена Противоречивости системами оружия

Инициированные сбои и разрушающих Дешифрование информации Потеря управления

и отказы оборудования информацион- Компрометация Искажения или подме- страной

Нарушение штатных ных воздействий ключей и СКЗИ ны информации Техногенные ката-

режимов работы (РИВ) Блокирование строфы

Катастрофа (физи- Внесение недоку- Съем по ПЭМИН Уничтожение

ческое уничтожение ментированных Отвод Умышленные:

подсистемы) возможностей <• Полицейский - внесение

Неумышленные: режим» управляемого

- сбои, отказы обору- Внесение не- Блокирование хаоса (бифуркация,

дования; исправностей в Хищение дезинтеграция);

- ошибки операторов; коммутационное Уничтожение - катастрофа (фи-

- природные катаклиз- оборудование зическое уничтоже-

мы Вывод из строя ние системы)

систем защиты Неумышленные:

Использование - сбои, отказы

несертифициро- подсистем;

ванных информа- - ошибки персо-

ционных техно- нала;

логий - природные ка-

Использование таклизмы

несертифициро-

ванных СЗИ

н

1: Я

■г

а> г.

Г.

Я

а> а о Не

я

я

о =

я

я

X

0 х

1

Сл

Окончание таблицы 1 ^

\ Объекты безопас- N. НОСТИ Параметры\ ИП Структура Функции Информация Интеллект Система

Способы защиты Администрирование Контроль за использованием ресурсов Разграничение доступа к ресурсам Организационно-режимные мероприятия Конфиденциальность доступа Доверенные ОС Биометрическая идентификация пользователей Электронные замки Интеллектуальные карты Кодирование Пароли Шифрование Имитозащита ЭЦП Защита ключевой информации (квантовая криптография) Стеганография Аудит Контроль трафика Автоматическая диагностика отказов, сбоев, неисправностей Мониторинг угроз РИВ Мониторинг РИВ Обнаружение и идентификация атакующих информационных воздействий и их источников Соблюдение политики безопасности: - разграничение доступа к системе; - создание искусственных <• иммунных систем»; - поддержание системной устойчивости; - создание <• адаптивных распределенных защищенных архитектур»; - разработка минимально необходимой информационной инфраструктуры; - создание систем с <• быстрым восстановлением»; - организационно-режимные меры

ш Чэ

тз =

-

о тз

О

1. Заданы: множество моментов времени Т, макрофункция системы Ф, множество входных воздействий (внешних угроз) Е, множество возмущений (внутренних угроз) Г, множество состояний системы X, множество управлений и, множество значений выходных величин У, структура системы С и отношение эмерджентности Я.

2. Множество Т есть некоторое упорядоченное подмножество множества вещественных чисел.

3. Макрофункция системы определяется с помощью двух функций:

5 : Е ^ У и V: Е * У ^ С ,

где Б - функциональная модель объекта,

V - функция качества, или оценочная функция,

С - множество оценок.

Макрофункция системы определяется парой (Б, V).

4. Множество возмущений (внутренних угроз) Г, или множество неопределенностей, представляет собой множество всевозможных воздействий, которые сказываются на поведении системы. Если такое множество не пусто: Г * 0, функциональная модель объекта принимает вид & : Е х Г ^ У, а оценочная функция -V: Е х Г х у^ С.

5. Существует переходная функция состояния системы

Ф : Т х Т х X х Е ^ X,

значениями которой служат состояния

х^) = ф^, т, о) е X,

в которых оказывается система в момент времени t е X, если в начальный момент т < t она находилась в состоянии х(т) е X и в течение отрезка [т, Ь] на нее действовали входные воздействия о е Е.

6. Задано выходное отображение

П : Т х Е ^ У,

определяющее выходные величины у(^ = х(€)).

Пару (т, х), где т е Т, х е X, называют событием системы Б, а множество Т х X - пространством состояний системы.

Конечный набор состояний системы, задаваемый переходной функцией ф и определенный на некотором временном отрезке t2\, t, t е Т, называется траекторией поведения системы на интервале t2\.

Говоря о движении системы, мы будем иметь в виду траекторию поведения сложноорганизованной системы в фазовом пространстве безопасных состояний.

7. Структура системы С определяется в терминах теории графов: С = ({Б} (Б., Б.)), I,.] = 1, п ; I *где Б. - вершины, (Б., Б.) - дуги графа.

8. Отношение эмерджентности R : Ф ^ G.

Данное понятие динамической системы позволяет выработать общую терминологию, уточнить концептуализацию и обеспечить единый подход в рассмотрении приложений, однако является недостаточно конкретным.

В рамках абстрактной теории систем последнее определение дополняется необходимыми доопределениями: конечномерности, линейности, стационарности и др. Задачи, рассматриваемые для динамической системы, традиционны: это вопросы устойчивости, идентификации, инвариантности, наблюдаемости, управляемости и оптимальности, реализуемости и др. Углубленное изучение теории вопроса позволяет грамотно и корректно ставить и решать задачи, связанные с управлением информационной безопасностью сложноорганизованных систем в условиях информационного противоборства.

Принцип холизма. Чтобы эффективно действовать в сложном и нестабильном мире, необходимо принимать во внимание контекст - ближайший и достаточно широкий - изучаемых явлений и событий, т. е. уметь контекстуализировать свои знания. В связи с этим необходимо развивать холистическое видение. «Думай глобально, а действуй локально!» - вот лозунг сегодняшнего дня. Решая задачи информационного противоборства, необходимо понимать способы интеграции и взаимосогласованного, гармоничного развития различных сложноорганизованных социотехнических структур в мире.

Основной принцип холизма, состоящий в утверждении «целое больше суммы частей», может быть прослежен с древних философских учений. Одна из наиболее ранних его формулировок содержится в даосизме, философии Лао-цзы. Однако полный и глубокий смысл этого принципа был выявлен в таких теориях, как гештальтпсихология, теория систем и синергетика.

Принцип рассмотрения от целого к частям, или поведения частей с позиции целого, необычен для классической науки. Последняя движется в ходе анализа, главным образом, от рассмотрения отдельных частей к рассмотрению целого. С синергетической же точки зрения, параметры порядка (характеристики системы как целого) определяют поведение частей (подсистем) сложной системы. Они позволяют существенно редуцировать сложность описания исследуемой системы.

Классический принцип суперпозиции теряет свою силу в сложном и нелинейном мире, в котором мы живем: сумма частных

решений не является здесь решением уравнения. Целое не равно сумме частей. Вообще говоря, оно не больше и не меньше суммы частей. Оно качественно иное по сравнению с частями, которые в него интегрированы. И, кроме того, формирующееся целое видоизменяет части. Коэволюция различных систем означает трансформацию всех подсистем посредством механизмов установления когерентной связи и взаимного согласования параметров их эволюции.

Системный подход предполагает комплексное рассмотрение исследуемого объекта как системы с учетом внутренних и внешних связей и на основе общих принципов сложности и цели. Заметим, что любой объект обладает отличительными особенностями, характеризующими его отдельные стороны (аспекты). Особенности, выделяющие данный объект из совокупности других, являются свойствами этого объекта, которые могут меняться с течением времени, переводя объект из одного состояния в другое.

Фактически выбор того или иного системного представления диктуется удобством решения задач, стоящих перед исследователем или перед научной областью.

Понятие «система» обычно связывается с такими понятиями, как «связь», «структура», «элемент». Причем исследователи разных областей вкладывают в эти понятия различный смысл. Однако во всех областях понятие «система» предполагает, с одной стороны, рассмотрение объекта как целого, изучение его внешних параметров и, с другой стороны, некоторую совокупность элементов, связи между которыми образуют структуру5.

На этапе объединения элементов в систему важнейшую роль следует отвести возникновению коммуникационных связей между элементами, которые через образовавшиеся каналы организуют обмен информацией. Последнее составляет непременное свойство любой сложноорганизованной системы (биологической, социальной, телекоммуникационной).

Применительно к системам исследуемого класса представляет практический интерес интерпретация фазы бифуркации, характерной в соответствии с теорией неравновесных процессов по И.Р. Пригожину для любой произвольной системы, имеющей в основе нелинейную динамику образующих ее процессов. Такие системы в своем развитии могут впадать в неравновесные состояния, т. е. состояния потери гомеостазиса. По Пригожину, причинами бифуркаций являются, в первую очередь, флуктуации в системе, в том числе изменения параметров, ведущие к катастрофам6. Для кибернетических систем этот перечень можно дополнить эффектом

потери структурной устойчивости не только из-за негрубости системы, но и эффектов нелинейности при входных деструктивных воздействиях. Особо следует выделить влияние информационной недостаточности для обеспечения жизнедеятельности системы: этот фактор практически не изучен.

В большинстве конкретных исследований выбор данного представления объекта как системы в значительной степени определяется выбором исходного расчленения на элементы, так как о связях можно говорить лишь после того, как расчленение произведено и их характер будет определяться типом выделенных элементов.

Возникновение новых задач порождает возникновение новых членений.

Если принять за вероятную основу то, что все искусственные информационно-управляющие системы созданы человеком, с точки зрения выполнения конкретных потребностей, возникающих в процессе решения той или иной целевой задачи, то можно констатировать, что они неразрывно связаны с любой направленной деятельностью, ведущейся в условиях противодействия. И, таким образом, в свою очередь являются предметом борьбы. Наше рассмотрение информационной сферы будет в основном сконцентрировано вокруг различного рода взаимоотношений частей (микроуровня) и целого (макроуровня) - системы.

Мы будем предполагать, что информационная сфера обладает свойствами высокоорганизованной системы - целостностью и единством.

Вместе с тем информационная безопасность может быть рассмотрена как частный случай общего методологического подхода к определению безопасности любой сложной системы, если удается сформулировать это понятие в общесистемном подходе к некоторому достаточно широкому классу систем. В основе представления о безопасности произвольной системы можно рассмотреть следующие основные принципы:

системности - как совокупности взаимосвязанных элементов (субобъектов);

структурности, определяемый только взаимосвязями между элементами системы;

упорядоченности, под которым подразумевается мера соответствия управляемой траектории развития системы поставленным целям; принцип упорядоченности показывает степень приспособленности системы к функционированию во внешней среде, состоящей, как правило, из ряда противоборствующих (конкурирующих) систем (влияний);

надежности, рассматриваемый как мера самосохранения системы; он описывает стремление системы к усовершенствованию своей внутренней структуры, к повышению запаса ее устойчивости;

устойчивости, определяемый как качество, состояние или степень сопротивляемости (адаптивности) системы деструктивным изменениям работоспособности системы, позволяющий восстанавливать в случае негативных последствий последних ранее существовавшее равновесие, т. е. выполнять свои целевые функции в полном объеме;

эффективности, отражающий отношение траекторий, описывающих внешние и внутренние законы поведения систем в условиях противоборства.

Функции устойчивого, или стабильного, существования произвольной системы определяются следующими существенными факторами:

- возможностью адекватного реагирования на внешние и внутренние угрозы, грозящие ей дезинтеграцией;

- стремлением к укреплению и самоорганизации собственной внутренней интеграции составляющих компонент, т. е. саморазвитием и самосовершенствованием собственной структурной организации;

- стремлением к нахождению в устойчивом фиксированном состоянии стабильности, или покоя, при отсутствии внешних и внутренних возмущений;

- многосвязностью внутренних компонент с возможностью оптимизации необходимого и достаточного для существования системы набора связей, гарантирующего системную устойчивость при любых комбинациях внешних и внутренних деструктивных воздействий;

- возможностью самовосстановления, т. е. адаптацией к дезинтегрирующим внешним и внутренним воздействиям и установлением новых состояний устойчивости после выполнения адекватных защитных реакций на деструктивные воздействия (система не должна быть «подвешена» в результате проведенной против нее атаки).

Информационная сфера - это сложная, самоорганизующаяся самореферентная коммуникативная система, обладающая эмерджентными (внезапно появляющимися, неожиданными) свойствами, для описания которой необходимо учитывать теоретические принципы квантовой механики - наблюдаемости и дополнительности.

В сложноорганизованных системах (системах, интуитивно представляемых состоящими из очень большого числа элементов и

их связей, открытых, меняющихся) процессы коммуникации принципиально отличны от процессов в системах с малым количеством элементов, и как следствие их описание требует иного понятийного и методологического аппарата.

Таких понятий как «информация», «обмен информацией», «хранение информации», уже недостаточно для объяснения процессов, происходящих в сложной системе. Центральным понятием для объяснения процессов, происходящих в сети, может быть понятие «самоорганизация коммуникативного процесса», самоорганизация - как «тонкая», сложноорганизованная структура согласованности коммуникаций, когерентное взаимодействие множества информационных объектов, не являющееся следствием какого-то смыслового, целеполагающего управленческого воздействия. По крайней мере, вполне корректным будет предположение о способности или возможности таких систем к сложной самоорганизации.

Синергетическое описание глобальной сети подразумевает наличие как минимум двух уровней рассмотрения - макроуровня, уровня глобальной организации системы, и микроуровня, уровня локальных взаимодействий выделенного элемента (пользователя, сервера). Самым важным качеством синергетических систем является возможность появления новых качеств на макроуровне, которые отсутствуют при рассмотрении деталей на микроуровне.

Современные информационные системы и технологии по своему содержанию и организации все более соответствуют понятию сложной системы7. Формирование сложной системы начинается с этапа объединения отдельных элементов и возникновения между ними информационных связей.

Во многом понятие сложной системы воспринимается интуитивно как понятие большой размерности, применяемое к количеству образующих систему элементарных элементов и связей между ними. Если Ь. , г = 1, п - количество связей г-го элемента,

п

то сложность I - ^Ц + 1. Предельная сложность системы обра-¡-1

зуется при полносвязной структуре и для п элементов составит I = п(п-1)+п = п2 . Связь £ц элементов х. и х. характеризуется своей силой, определяемой как сильная связь для случая х. П х. ^ х. и х. (т. е. для х., х. больше общего, чем различий) и слабая для случая х. П х. ^ 0 (т. е. х. и х. сильно различны). Система становится слож-

г } 4 г } Г /

ной, если она обладает сильными связями и 1>>1кр, 1к - критическое значение сложности. В этом случае рождение, жизнь и гибель системы подчиняются законам сложной системы. Одним из них яв-

ляется множественность цели (целевой функции) системы. Можно утверждать, что если отдельный элемент, или сильная связь, есть потенциальная цель, так и любое подмножество элементов и связей системы может быть ее целью. Информационная система как объект защиты (в отличие от какой-либо другой системы) имеет существенную дополнительную сложность, обусловленную тем, что она, во-первых, несамодостаточна, ее цель востребована обслуживаемой ею системой управления, во-вторых, она реализуется в конкретной внешней среде с конечным ресурсом. Информационная система как система сложная имеет некоторую заявленную цель ¥ и множество частных целей /1, ..., /т, которые при реализации определенных условий могут противоречить и друг другу, и заявленной цели ¥. В некоторых случаях это может приводить к самоуничтожению системы. Подобные противоречия целей, как правило, обусловлены ограниченностью ресурсов системы. Таким образом, с точки зрения оказания возможных воздействий на сложную систему необходимо иметь технологии выявления множества частных целей/ ,.., / , используя которые можно управлять развитием всей системы через ее информационное поле.

Ограниченность ресурсов системы также приводит к конфликтам ее элементов за право на ресурс и может порождать противоречия ее целей. Таким образом, внешняя среда информационной системы не только обеспечивает жизнедеятельность системы, но может служить источником ее уничтожения или деградации цели ¥.

В указанном смысле защитная оболочка системы есть ее способность реализовывать цель ¥ в любых условиях функционирования, в условиях любого противодействия путем образования и востребования противоречивых частных целей. То есть защитная оболочка есть продолжение, усиление цели ¥ системы. Она должна действовать в условиях неопределенности относительно реализующейся цели (¥ ) системы, так как определение ¥ внутри системы является алгоритмически неразрешимой задачей вследствие несамодостаточности системы.

В свою очередь и злоумышленник вынужден, используя механизмы обучения, преодолевать сложность системы и ее защитной оболочки, реализуя и преследуя интересующую его частную цель. Таким образом, категория «сложность» объединяет в единую метасистему S саму информационную систему, ее внешнюю среду, защитную оболочку и злоумышленника как взаимообуславливаю-щие друг друга элементы с сильными связями. В этой метасистеме S действуют законы сложной системы и перестают действовать привычные процедуры и правила обеспечения безопасности.

Чем обусловлены такого рода кооперативные эффекты в сложных системах? Ведущий процесс в сложной системе - это самоорганизация. Нет направляющей руки «оракула», нет программиста. Самоорганизация рождается самой системой в результате потери устойчивости некоего состояния как некоторый, обобщенно понимаемый фазовый переход. Это, пожалуй, самое главное в синергетике. Как известно, сложные системы состоят из очень многих деталей, что порождает возможности очень сложного взаимодействия между этими деталями. Как изучать эти взаимодействия и детали?

Есть два подхода. Во-первых, редукционизм, низводящий функционирование системы к микроуровням, деталям. Во-вторых, если так можно сказать, макрохолизм, описывающий поведение системы в целом на макроуровне. Не разбирая систему на части и не сводя ее к функционированию на макроуровне, необходимо попытаться понять взаимодействия между микро- и макроуровнем - это первое, и второе (что, пожалуй, самое главное) - отсутствие «направляющей руки» ставит вопрос о сопоставлении между традиционным описанием сложных систем и синергетикой. Единицей описания в традиционном подходе является отдельный элемент рассматриваемой системы, например клетка, нейрон, компьютер в сети. Единица описания в синергетике - это сеть, состоящая из клеток, нейронов, компьютеров. В обычном описании свойства приписываются индивидуальному объекту, в синергетике - ансамблям, множествам объектов. То есть результаты информационного взаимодействия и свойства порождаются не отдельными элементами системы, а их кооперативными отношениями: согласованностью, синхронизацией, когерентностью.

Нет отдельных «специальных» управляющих элементов системы, отвечающих за те или иные ее качества. И если в традиционном подходе описание качеств сложной системы явно или неявно опирается на принцип локализации, то синергетика, как и квантовая механика, существенно нелокальна. Соответственно, в традиционном подходе информация актуально локализована на каких-то носителях, в синергетическом она потенциально распределена. В синергетике нет ничего заранее предопределенного, алгоритмизированного на уровне заранее заданной компьютерной программы, кроме структур и системы, которая при потере устойчивости может рождать какие-то новые вещи.

Описание сложной системы на основе методов самоорганизации дистанцируется от траекторного подхода и соответственно классического детерминизма, создавая новый язык описания со

своими понятиями, новыми ограничениями, налагаемыми на классическую динамику.

Для описания сложности нам надо описать, во-первых, характер начальных условий роста и организации системы, характер связей между компонентами и выяснить, какой параметр является управляющим, ведь параметры могут являться не только функцией времени, но и других факторов (геометрии среды, типов границ, связности компонент и др.), а также управляющих параметров, от которых могут зависеть параметры состояния исследуемой системы.

Встает вопрос о стратегиях управления сложной системой. Во-первых, необходимо проанализировать характер неустойчивости системы. Если бы система все время находилась в устойчивом состоянии, то событий в системе не было и параметр времени при описании системы можно было бы не учитывать. Наша задача -описать динамику системы в условиях возможных негативных управляющих воздействий на нее. Для этого мы должны обсудить разные типы ее состояний.

Имеются состояния, которые притягивают к себе (устойчивые «ложбинки», «впадинки», притягивающие множества в пространстве состояний) так называемые аттракторы, или паттерны. Память системы - наличие этих аттракторов «ложбинок» в пространстве состояний. Естественно, что система может притягиваться не со всего пространства состояний, а из определенных его областей, так называемых бассейнов притяжения.

Для входа в новое состояние система должна потерять устойчивость. Сначала она была устойчивой (в старом состоянии), потом теряет устойчивость и переходит в новое состояние. За счет чего? За счет случайных колебаний - флуктуаций. Наличие шума -условие перехода из одного устойчивого состояния в другое, но для перехода эти устойчивые состояния должны быть достаточно близки к неустойчивой точке, иначе флуктуации может просто «не хватить», чтобы перекинуть систему из одного состояния в другое.

Таким образом, задача сохранения устойчивости сложной динамической информационной системы в условиях деструктивных информационных воздействий состоит в контроле точек бифуркации, т. е. в областях потери устойчивости, около неустойчивых точек, в окрестностях фазовых переходов.

Это описание указывает на ограничения траекторного подхода (в некоторых случаях траектория становится ненаблюдаемой) со всеми вытекающими отсюда радикальными последствиями в виде пересмотра принципа причинности в сложной системе. Система

становится непредсказуемой не в силу нашего незнания или отсутствия вычислительных мощностей, а в силу таких ее нелокальных качеств, как сложность, нелинейность, открытость, неравновесность, имплицирующих некорректность траекторного описания.

Когда происходит этот переход, то выясняется, что поведение системы описывается совсем не всеми многочисленными компонентами вектора состояния, а гораздо меньшим число параметров, так называемыми параметрами порядка. Если считать систему с большим числом параметров более сложной, а с меньшим - более простой, то можно говорить о том, что в состояниях, близких к фазовому переходу, система упрощается, становится менее сложной, менее хаотической. В этот момент система сама производит сжатие информации - переход от многочисленных параметров состояния к очень немногочисленным параметрам порядка.

Зависимость между параметрами порядка и параметрами состояния не однонаправлена. С одной стороны, компоненты вектора состояния зависят от того, определяется система параметрами порядка или нет. Но есть и обратная зависимость, т. е. векторы состояния влияют на параметры порядка. Такая двухсторонняя зависимость получила у Хакена название круговой причинности8.

И наконец, важным аспектом самоорганизации является то, что части ведут себя таким образом, что действуют согласованно. Такое поведение можно интерпретировать как консенсус между частями - взаимосогласованность между векторами состояний и параметрами порядка.

Синергетика описывает рождение и формирование сложных систем по сценариям сменяющих друг друга периодов устойчивости и неустойчивости, причем, к примеру, периоды устойчивости могут быть совершенно различными. На начальном этапе (сразу после рождения) система блуждает в пространстве состояний, формируя свой первый аттрактор, первую память, потом в результате деструктивных воздействий или за счет внутренних сбоев и поломок перескакивает за счет потери устойчивости и флуктуаций в другую область и формирует аттрактор там, потом может пойти «искать третий аттрактор или перескочить в первый, и так далее. За счет этого формируется рельеф состояний сложной системы: области устойчивости, особые точки, туннели по переходу из одной области в другую. Образуется понятие цели самоорганизации сложной системы.

Очевидно, что существует необходимость в рассмотрении вопросов структурно-методологической формализации сферы ИП на основе общесистемного подхода к анализу отношений базисных

качеств систем защиты и нападения в рамках их прогрессирующего информационного противоборства.

Далее с изложенных выше позиций предложен теоретико-множественный подход к описанию проблемы безопасности информационных систем в условиях деструктивных воздействий на них из внешней среды и инициализированных внутренних возмущений.

Теоретико-множественный подход к описанию проблемы безопасности информационных систем в условиях деструктивных воздействий из внешней среды и инициализированных внутренних возмущений

Теоретико-множественное определение системы: система есть собственное подмножество Х5 С Х , где Х - прямое (декартово)

произведение множеств X, I = 1, п:

X = X х X х X х ... х X .

12 3 п

Декартовым произведением множеств называется множество конечных наборов элементов (х1, х1,..., хп), таких, что

х. Е X., х, Е X,, .... х Е X .

1 12 2 1 п п

Каждый элемент х. Е X. в свою очередь может быть множеством, что позволяет описывать иерархию достаточно сложных систем, в том числе систем обеспечения информационной безопасности на государственном уровне.

Принято различать два аспекта безопасности9. С одной стороны, безопасным называют явление и / или состояние какого-либо носителя опасности, которое не содержит угрозы и / или возможного вреда для его окружения. С другой стороны, свойство безопасности приписывают объекту, надежно защищенному от опасных для него воздействий. Таким образом, понятие безопасности имеет две функции: внутреннюю, характеризующую свойства сопротивляемости объекта по отношению к действиям среды, и внешнюю, определяющую воздействие объекта на среду. Определим эти понятия10.

Внутренняя безопасность есть критерий целостности системы или показатель ее гомеостаза. Иначе, безопасность характеризует способность системы поддерживать свое нормальное функционирование в условиях воздействия среды и внутренних возмущений.

Под внешней безопасностью будем понимать способность системы взаимодействовать со средой без нарушения гомеостаза последней. Иначе, воздействие системы на среду не приводит к необратимым изменениям или нарушениям важнейших параметров, характеризующих состояние среды, принятое за допустимое.

Соответственно будем различать и постановки задач по исследованию внешней и внутренней функций безопасности: в 1-м случае основное внимание уделяется динамике среды в условиях воздействий со стороны обследуемой системы, а во 2-м наибольший интерес представляет поведение системы в активной среде.

Строго говоря, в указанной постановке речь идет о взаимодействии двух систем - среды и собственно системы, образующих некую метасистему противоборства. Только при одновременном изучении их в масштабе метасистемы противоборства можно получить полное представление о взаимном влиянии обеих систем друг на друга и оценить это влияние с позиции обеспечения безопасности. Однако ставить такую задачу практически невозможно ввиду ее громоздкости, о чем упоминалось выше. Следовательно, для практики исследования свойств безопасности важно уметь методически корректно разделять систему и среду.

Структура и характер связей между элементарными системами зависят от свойств среды окружающего пространства и механизма обмена информацией. Поэтому важным объектом при описании множества взаимосвязанных систем (коллектива) является структура всех допустимых каналов обмена между системами. Эта структура по существу является объемлющим пространством, внутри которого реализуются различные структуры связи.

В соответствии с работой11 дадим теоретико-множественное описание проблемы обеспечения безопасности, рассматривая ее как конкретизацию общей задачи взаимодействия (противоборства) двух динамических систем.

Итак, имеем две системы - собственно систему Буз(1), динамика которой характеризуется соотношением (1), и среду - Буз(2) (рис. 3).

Рис. 3. Схема взаимодействий двух динамических систем

Оператор каждой из взаимодействующих противоборствующих систем (объект + система управления), находящейся в некото-

ром начальном состоянии Хн и испытывающей действие внутренних возмущений (внутренних угроз) Г (в том числе - структурных), внешних воздействий (внешних угроз) S, в состав которых можно включить и управление безопасностью, можно записать в виде %s(1): Т х Хн* Г х S ^ X, i = 1, 2 (1)

Взаимодействие (противоборство) систем проявляется через воздействие 1-й на 2-ю, и наоборот, а эти связи охарактеризуем соответствующими операторами

Int(1): Т х Х(1) ^ ^2); In^2): Т х Х(2) ^ ¿(1) (2)

где (Int = Interaction) описывают зависимость внешнего для другой системы воздействия от состояния первой. Структурную схему взаимодействий (противоборства) представим графически (рис. 4).

Рис. 4. Структура и механизм взаимодействия систем

Как известно, в кибернетике широко применяется ряд показателей, описывающих динамические свойства системы. Кроме того, используется другая группа характеристик, которая отражает качество технической реализации системы: надежность, массу, габариты, энергопотребление и др. Однако безопасность пока не принято рассматривать как специфическое свойство динамических систем, что, на наш взгляд, существенно обедняет их исследование.

Безопасность - есть комплексный критерий оценки качества любой системы, характеризующий как динамику системы, так и техническое воплощение системы.

Особо оговорим, что безопасность есть показатель качества системы как целостности; его нельзя отнести к какому-либо элементу системы, для характеристики последнего можно использовать лишь частные критерии, например, надежность. Если же говорят о безопасности фрагмента какой-либо системы, то, строго говоря, молчаливо исходят из трактовки его как системы.

ГОСТом, а также в практике разработки и эксплуатации технических систем выделяют различные характеристики потери устойчивости работы системы: катастрофы, аварии, неисправности. Мы же будем рассматривать опасность разрушения социотехнической системы, потерю ею своего функционального предназначения без

учета вредных последствий для персонала. Именно такое понимание безопасности позволяет применить его не только к анализу искусственных систем, но и для анализа естественных систем, организационных и др.

Объективным показателем интегральной безопасности системы является ее безопасное состояние в процессе функционирования. Поэтому о безопасности системы можно судить по ее динамике, которая характеризуется известными показателями: устойчивостью, качеством переходных процессов, управляемостью, наблюдаемостью, идентифицируемостью. Нарушение этих характеристик приводит или к разрушению системы, или к невыполнению ею своей задачи, или как минимум к ухудшению качества управления. Следует отметить, что эти показатели для систем с развитой динамикой редко выражаются аналитически, а обычно имеют вид условий, способствующих выполнению соответствующего требования, или в общем случае оценки указанных характеристик системы базируются на результатах математического моделирования.

Более того, фундаментальные показатели качества системы, строго говоря, являются пороговыми характеристиками - система может быть или устойчивой (или управляемой, наблюдаемой, идентифицируемой), или нет. Подобный подход к безопасности является малоинформативным: желательно количественно оценить степень опасности (безопасности) системы.

В связи с этим необходимо коснуться одного методологически важного вопроса. Иногда высказывается утверждение, что безопасность системы определяется через надежность ее работы. Однако это не так. Надежность системы есть показатель ее способности сохранять свои наиболее существенные свойства (безотказность, ремонтопригодность и др.) на заданном уровне в течение фиксированного промежутка времени при определенных условиях эксплуатации. Надежность определяется вероятностными показателями, характеризующими реакцию системы на отказ - событие, заключающееся в нарушении работоспособности системы из-за изменений ее параметров, внезапных или постепенных. В качестве показателя надежности обычно используют вероятность безотказной работы или наработку на отказ (среднее время безотказной работы).

Механизм применения теории надежности в управляемых системах состоит в следующем. Известны статистические характеристики выхода из строя элементов и определен показатель надежности системы, представляющий собой функцию, которая описывает работоспособность системы при отказах. Проблема состоит в установлении связи между характеристиками элементов и функцией -

показателем надежности. Эта зависимость позволяет пересчитать исходные данные в результирующий статистический критерий.

Итак, методы теории надежности обычно применяются для анализа режима эксплуатации конструктивно оформленной системы, состоящей из ненадежных элементов. В основе теории надежности лежит событие как некоторый одноразовый акт, позволяющий в случае многократных повторений (!) определить вероятность его последствий. Теория безопасности не может исходить только из многократности явлений, имеющих опасные последствия: для гибели системы достаточно создания одной катастрофической ситуации. Кроме того, в рамках теории надежности трудно оценить мно-гоальтернативность поведения системы при отказе. Важно еще и то, что в основе безопасности систем лежит необходимость наблюдать за динамическими процессами, а не контролировать отдельные события в системе - ведь за каждым событием (например отказом) стоит процесс, ведущий, возможно, к опасному результату. Наконец, надежность слабо коррелирует с целостностью системы. Разумеется, это не исключает использования различных статистических оценок при анализе безопасности.

Отсюда следует, что теория безопасности методологически шире теории надежности, последняя может использоваться для исследования отдельных сторон безопасности систем, особенно эффективно-искусственных.

Итак, имеем динамическую систему, находящуюся под действием внешних управлений (внешних угроз) и внутренних возмущений (внутреннихугроз). Весь этот спектр внешних и внутренних воздействий может при определенных условиях привести к разрушению системы.

Общая задача состоит в построении оценки, позволяющей в процессе работы системы численно определить угрозу распада системы, чтобы своевременно принять меры по его недопущению.

Очевидно, что такая оценка, вообще говоря, должна быть построена на траекторных движениях системы, т.е. представлять функционал

36 = 36 ((, х, и, а, у), х Е X, и Е и, а Е Е, у Е Г, где X - множество возможных состояний системы, и - множество допустимых управлений, Е - множество внешних воздействий (внешних угроз), Г - множество внутренних возмущений (внутренних угроз).

Тогда все пространство состояний системы можно разделить на две области: одна будет составлять множество опасных для существования системы состояний Х , а другой будут принадлежать

все безопасные состояния Хб. В сумме эти множества опишут все возможные состояния системы X = Х0 и Хб . Тогда наша первоначальная задача заключается в построении множества безопасных состояний Хб. Но выделить множество - значит найти его границу Гб, которая и будет нести информацию о безопасности. Тогда показатель безопасности ]6 есть мера удаления текущего состояния системы х от границы Гб, что иллюстрирует рис. 5.

Полезно выделить две противоречивые тенденции, с которыми приходится сталкиваться при построении Хб. С одной стороны, чтобы гарантировать работоспособность системы, из этого множества требуется исключить все режимы, которые бы приводили к ее деструкции. Значит, множество допустимых с точки зрения безопасности состояний системы следует по возможности сужать. Но ограничение множества допустимых состояний стесняет возможности функционирования системы, а следовательно, уменьшает область достижимости и целевое множество. Преодоление противоречия осуществляется поиском компромисса.

Строго говоря, граница области безопасных состояний может быть получена путем наблюдения за системой или на основе полномасштабного математического моделирования ее работы. В последнем случае производится перебор всех подозрительных воздействий выделенного класса на систему и проверяется реакция на них системы. Это позволяет выделить катастрофические состояния, а значит найти Гб. Однако такой подход не может быть положен в основу создания системы борьбы с угрозами, так как он обладает принципиальной задержкой в принятии решения: факт аварийности режима устанавливается лишь после того как он произошел, что исключает прогноз и проведение защитных мероприятий.

Выход из тупика следует искать в удалении от границы безопасности, точнее, уменьшении области безопасности, ее модификации (Хбм и соответственно Гбм). Действительно, наличие некоторого «запаса» безопасности предоставит (системе, ЛПР) время на парирование угроз и повысит уровень защищенности системы. Дело лишь в том, какие соображения положить в основу выбора такого запаса, как его обоснованно назначить. Точно выбрать величину запаса, как уже указывалось, можно по результатам моделирования и выработке научно обоснованных норм, предотвращающих разрушительные процессы при всех условиях работы системы. Однако сделать это далеко не всегда удается. Действительно, многие системы не поддаются математическому моделированию в силу их сложности, отсутствия пригодного математического аппарата или невозможности предугадать характер воздействий. Тогда на помощь приходит опыт общения с подобными системами, здравый смысл и интуиция.

Однако, даже если построена модифицированная граница области безопасности Гбм, то находить в пространстве 5 кратчайшее расстояние от текущего состояния системы, задаваемого вектором х, до границы Гбм - дело многотрудное. Итак,

во-первых, наличие модифицированной области безопасности Хбм в пространстве состояний наиболее объективно свидетельствует об удаленности текущего режима работы системы от состояния, угрожающего ее целостности. Однако для повышения временного ресурса, для устранения неполадок в системе, для увеличения оперативности и качества управления было бы желательно располагать информацией о причинах, обусловливающих приближение состояния системы к опасной границе. Для этого необходимо рассмотреть факторы, определяющие появление опасных для системы режимов, т. е. требуется проанализировать угрозы, проникающие через единственный канал - через воздействия на систему;

во-вторых, желательно найти /б, имеющие большую физическую наглядность и меньшую сложность вычисления, нежели определение расстояний в X.

Идею решения 1-й задачи подсказывает рис. 5: если раньше Гбм строилась на основе информации о состоянии (выход модели), то теперь мы хотим привлечь для этого сведения о входных воздействиях (а, у, и). Основную проблему при построении оценки безопасности доставляют трудноизмеряемые параметрические возмущения р Е Г (кроме параметрических мы различаем еще структурные возмущения) и воздействия внешней среды у Учет остальных факторов или чрезвычайно затруднен (структурные

возмущения в естественных системах), или прост до тривиальности (эффект управления искусственными системами).

Будем исходить из предположения, что область безопасности Хбм удалось построить. Тогда принципиально задача состоит в пересчете этого подпространства пространства состояний в пространства входных воздействий - параметрических ХЦм и внешних Хбвм возмущений.

Формально на основе (1) можно записать

Буз-1: Тх Х6м^ {Е, Г}. (3)

Однако такое решение затруднительно, так как из реакций системы трудно однозначно осуществить идентификацию воздействий, выделить причинную обусловленность динамики, т. е. установить вклад каждого возмущения в результат - состояние. Поэтому приходится обходиться без процедуры общего пересчета (3) и по отдельности строить области безопасности для каждого входного воздействия:

С-1 : Т х Хпм^ Г; (4)

С-1 : Т х Хвм ^ Е. (5)

Методически смысл построения заключается в нахождении соответствия границы Гбм множества Хбм границам в пространствах параметров и воздействий среды - соответственно Гпм и Ге6м . Техника процедуры состоит в определении методами моделирования соответствующих предельных значений указанных величин, превышение которых грозит разрушением системы. А именно, перебирается весь спектр воздействий и находится реакция системы на каждый входной сигнал. Те сигналы, которые приводят к распаду системы, и признаются опасными. Разумеется, метод перебора (например, метод Монте-Карло) применяется только тогда, когда входные и выходные воздействия не удается связать аналитически.

Сложность технологии усугубляется еще одним обстоятельством: в общем случае для динамических нелинейных систем существует зависимость области нормального функционирования системы от параметрических и внешних возмущений. Грубо говоря, для каждого уровня внешних воздействий имеется свое множество допустимых значений параметров системы. Это утверждение иллюстрируется рис. 6.

Рис. 6. Деформация параметрической области безопасности при различных возмущениях

Горизонтальная плоскость рисунка есть множество параметров Р = {р.} Е Г, I = 1, 2, где выделена область безопасности 5^. По ординате отложена величина уровня внешних возмущений о с тремя конкретными значениями - о , о, о. Для разных уровней возмущений область Б^ меняется, т. е. становится их функцией (можно предположить, что по мере роста воздействий на систему параметрическая область безопасности сужается).

Таким образом, в результате построений мы располагаем двумя наборами взаимосвязанных множеств: областями безопасности 5>вм и Би6м , построенными в пространствах входных воздействий и флуктуирующих параметров соответственно. Тем самым при оценке безопасности можно перейти от изучения состояний системы к наблюдению за входными сигналами, а значит заменить анализ следствия анализом причин.

В принципе, как пояснялось выше, предложенную технологию, базирующуюся на обратных преобразованиях (4), (5), следует оценить позитивно, так как процедура позволяет обратиться к истокам процесса нарушения безопасности, а значит, дает возможность более обоснованно подойти к построению системы и разрешает увеличить время, необходимое для принятия решения по предотвращению критической ситуации. Но существуют, конечно, и негативные стороны:

1. Обращение непосредственно к угрозам, исходящим от среды и нарушений в системе, привело к размножению областей безопасности. Вместо итоговой области в пространстве состояний мы вынуждены иметь дело с несколькими областями, по числу каналов проникновения угроз в систему, да к тому же объединенными функциональными связями. Конечно, это сделает алгоритмы обеспечения безопасности более громоздкими.

2. Известная трудная доступность измерениям воздействий среды явно усложнит построение системы предотвращения угроз. Гораздо проще иметь дело с результирующей информацией о состоянии системы.

Наконец, следует отметить, что в приведенную схему трудно вписывается процедура идентификации, столь успешно применяемая в задачах типа «черного ящика». Действительно, для восстановления входной информации по наблюдениям за выходными процессами необходимо определенное время анализировать реализацию сигнала, что иногда исключается при решении задач безопасности, требующих оперативного вмешательства в работу системы; запаздывание в этом может грозить уничтожением системы.

Известно, чтобы построить работоспособную систему, надо удовлетворить, кроме требования устойчивости, условиям управляемости, наблюдаемости и идентифицируемости. Как правило, эти требования очевидны, и их выполнение не вызывает принципиальных затруднений. В правильно спроектированной системе можно избежать их нарушений, а значит, угроз существованию системы. Ресурсные требования обычно удовлетворяются на стадии проектирования или подготовки системы к выполнению конкретной задачи. Превышение их порогового значения может привести к недостижению функциональной цели, к ухудшению экономических показателей, к уменьшению эффективности работы системы. Однако таким ущербом часто пренебрегают, так как он очень мал по сравнению с угрозой разрушения системы.

Таким образом, в качестве критериевJ безопасности можно рекомендовать показатели устойчивости системы и количество ресурсов¡, необходимое для выполнения задачи. Именно эти оценки целесообразно положить в основу практического построения областей безопасности. Кроме того, важным показателем системы безопасности является ее стоимость, функционально связанная с системой.

Итак, для оценки безопасности предлагается перейти от функционала, вычисляемого на движениях (траекториях) системы, к анализу устойчивости системы при изменении входных воздействий и параметрических возмущениях. Роль дисциплинирующих показателей играют количество ресурса, необходимого для функционирования системы, и стоимость мер поддержания безопасности на требуемом уровне.

Ранее показывалось, что управление безопасностью основывается на широком математическом моделировании поведения си-

стемы в ожидаемых условиях ее функционирования. Для реальных систем нельзя предположить, что требуемый уровень безопасности будет достигнут на основе только аналитического исследования.

В первую очередь моделирование должно предоставить данные о модифицированных областях безопасности в пространстве внешних воздействий Х6ВМ и параметров Х^м , точнее, об их границах - £б6м и ^Пм - предлагаемая технология изложена выше. Затем в пространстве возмущений F, f = [а, р} Е F критерий можно выразить через метрику этого пространства

/16 = min р || f - TJft (6)

Представляется возможным записать оценку безопасности как величину отклонения текущего возмущения от некоторого, признанного за оптимальное значение:

/26=р II / - 4Л. (7)

Наконец, можно дискретизировать задачу оценки, когда за опасное состояние принимается случай превышения показателя некоторого допустимого значения

Лб = Р Й {Рдоп}. (8)

Тем самым вокруг состояния / формируется некоторая область размером Р - Рдоп, выход за которую должен заставить систему реагировать. Аналогично можно за аварийное состояние признать факт его принадлежности границе:

/46 = {/ Е Гбм}. (9)

Приведенные оценки без каких-либо изменений можно использовать в статистических постановках. Следует лишь отметить, что частота измерений должна удовлетворять требованию теоремы В.А. Котельникова, что позволит избежать запаздывания в идентификации критического состояния.

Указанные критерии должны играть роль входной информации для системы управления безопасностью.

Упомянутые выше понятия «траектория», «равновесные точки», их классификации и т. п. являются понятиями из теории динамических систем, общими для динамических систем любой природы.

Вклад указанных составляющих модели в устойчивость конечной структуры можно исследовать в рамках следующих взаимодополнительных задач.

1. Для заданного набора элементарных динамических систем определить существование и особенности структуры связи, повышающей стабильность всей системы.

2. Для заданной структуры связи определить существование и особенности множества элементарных систем, для которых указанная структура связи оказывает стабилизирующее действие на всю систему.

Таким образом, первая задача в основном направлена на описание свойств элементарных систем по отношению к возможности их стабилизации структурами обмена, а вторая задача подчеркивает свойства некоторой сети способствовать стабилизации набора элементарных систем достаточно широкой природы.

В частности, первая задача позволяет поставить вопрос о существовании для данного набора элементарных систем хотя бы одной сети (в заданной топологии), повышающей стабильность данного набора. Возникает соблазнительная задача классификации динамических систем на «хорошие», которые стабилизируются хотя бы одной связывающей сетью, и «плохие», не стабилизирующиеся ни одной сетью из допустимого набора. Содержательные оценки типа «хорошие - плохие» могут быть заменены на противоположные, но качественные отличия таких систем очевидны и интересны.

Перечисленные особенности определяют специфику проблемы исследования, ее принципиальную новизну и необходимость поиска новых подходов к решению этой проблемы и связанных с ней задач.

Выводы

1. Анализ метасистемы 5 как сложной системы показывает, что для рассматриваемых систем существуют только две возможности реализации защиты от деструктивных управляющих воздействий:

- существенное увеличение их естественной сложности до уровня, исключающего возможность их изучения злоумышленником за приемлемое время;

- реализация защитной оболочки в виде механизмов обучения (в отдельных случаях самообучения) с последующим накоплением и обобщением базы знаний о штатно работающей системе в условиях специально организованного ее корректного функционирования.

На практике одновременно реализуются оба подхода со стратегией максимального потребления полезной информации на собственное обучение с одновременным обеспечением ее минимальной доступности потенциальному злоумышленнику.

2. На структурном уровне глобальная конфронтация в настоящее время происходит между иерархическими (государственные игроки) и сетевыми структурами (негосударственные игроки). Будучи гораздо более избыточной и гибкой, последняя структура обладает большей устойчивостью, что затрудняет ее окончательное разрушение.

3. С синергетической точки зрения, одним из основных подходов к решению глобальных проблем является смена императива: не политика силового давления и выкручивания рук, а поиск способов коэволюции сложных социальных и геополитических систем. Осуществление политики силовыми методами слишком опасно в современном сложном, нелинейно развивающемся мире, где даже случайные сбои в разветвленных информационных, компьютерных сетях могут привести к мировой катастрофе. Чем сложнее организована и более многофункциональна система, тем она более неустойчива. Поэтому понимание форм совместной жизни разнородных, находящихся на разном уровне развития социальных и геополитических структур, путей их устойчивого коэволюционного развития становится конструктивной альтернативой сегодняшнего дня.

4. Предложено использовать в качестве критериев безопасности показатели устойчивости системы и количество ресурсов, необходимое для выполнения задачи. Именно эти оценки целесообразно положить в основу практического построения областей безопасности. Кроме того, важным показателем системы безопасности является ее стоимость, функционально связанная с системой.

Примечания

См.: Черешкин Д.С., Кононов А.А. Комплексная оценка безопасности сложных информационных систем // Мир компьютеров и мир людей - взаимодействие и конфликты: Сб. тр. междунар. симп. Кишинев, 1999. С. 24-25; См.: Черешкин Д.С., Кононов А.А., Будин О.А. Экспертная система оценки риска нарушения информационной безопасности для систем управления информационной безопасностью // Информатизация правоохранительных систем: Сб. тр. IX Международной конф., 7-8 июня. 2000 г. М., 2000. 545 с. См.: Аузан В., Африн Д. Технологии против сетей // Эксперт. 2001. № 38 (298).

Роевой интеллект (англ. Swarm intelligence) описывает коллективное поведение децентрализованной самоорганизующейся системы. Рассматривается в теории искусственного интеллекта как метод оптимизации. Системы роевого интеллекта, как правило, состоят из множества агентов, локально взаимодействующих между собой и с окружающей средой. Сами агенты обычно довольно просты, но все вместе, локально взаимодействуя, создают так называемый роевой интеллект.

См.: Гриняев С. Концепция ведения информационной войны в некоторых странах мира // Зарубежное военное обозрение. 2002. № 2.

См.: Фельдбаум А.А. Основы теории оптимальных автоматических систем. М.: Физматгиз, 1963.

См.: Пригожин И. От существующего к возникающему. М., 1985. 327 с. Капица С.П., Курдюмов С.П., Малинецкий Г.Г. Синергетика и прогнозы будущего. М.: Наука, 1997. С. 87.

См.: Хакен Г. Синергетика. Иерархии неустойчивостей в самоорганизующихся системах и устройствах. М.: Мир, 1985.

См.: Могилевский В.Д. Формализация динамических систем. М.: Вузовская книга. 1999. См.: Там же. См.: Там же.

4

10

11