Содержание к диссертации
Введение
Глава 1. Проблемы защиты корпоративных информационно- телекоммуникационных сетей и основные пути их решения 11
1.1. Классификационные признаки корпоративных сетей в Йемене 13
1.2. Анализ угроз информационной безопасности в автоматизированных системах управления технологическими процессами и основные мероприятия по их предотвращению 24
1.3. Системы обнаружения атак или вторжений и нарушений в корпоративной сети 26
1.4. Информационная безопасность КИТС в Йемене 29
1.4.1 Информационная безопасность и риски при проектировании КИТС 29
1.4.2. Пути и возможности информационной защиты 36
1.5. Обоснование выбора нечеткой модели представлений знаний 36
1.6. Система поддержки принятия решений для задач управления КИТС. 37
1.6.1. Мод ел и принятия решений в задачах управления КИТС 38
1.6.2. Применения интеллектуальной СППР, в задачах управления 41
Выводы по главе 1 42
Глава 2. Реализация методик управления безопасностью в КИТС и интеллектуальной СППР 44
2.1. Разработка структуры интеллектуальной СППР для управления безопасностью в КИТС 44
2.2. Повышение уровня информационной безопасности КИТС Тайз университета (Йемен) 51
2.2.1. Вычисление рисков, связанных с осуществлением угроз безопасности корпоративной сети 57
2.3. Повышение уровня безопасности автоматизированной биллинго- вой системы 76
2.4. Результаты статистического анализатора для информационных параметров КИТС 83
Выводы по главе 2 86
Глава 3. Программная реализация интеллектуальной системы поддержки принятия решений в задачах по защите информации в КИТС, использующая нечеткие модели 87
3.1. Структурная схема нечеткой модели, представление знаний, метод нечеткого обобщения и анализа знаний 87
3.2. Разработка математическая модели нечеткой базы знаний и алгоритма интеллектуальной системы поддержки принятия решений в задачах по защите информации в КС 92
3.3. Разработка методики нечеткой идентификации и нечеткого многокритериального выбора альтернатив 101
3.4. Реализация разработанных методик идентификации для управления безопасностью КИТС 105
Выводы по главе 3 111
Заключение 112
Список литературных источников
- Анализ угроз информационной безопасности в автоматизированных системах управления технологическими процессами и основные мероприятия по их предотвращению
- Информационная безопасность и риски при проектировании КИТС
- Повышение уровня информационной безопасности КИТС Тайз университета (Йемен)
- Разработка математическая модели нечеткой базы знаний и алгоритма интеллектуальной системы поддержки принятия решений в задачах по защите информации в КС
Введение к работе
Корпоративная информационно-телекоммуникационная сеть (КИТС) — являются результатом эволюции двух научно-технических отраслей современной цивилизации - компьютерных и телекоммуникационных технологий.
КИТС тоже является сложную распределенную систему, характеризующуюся наличием множества взаимодействующих ресурсов и одновременно протекающих системных и прикладных информационных и телекоммуникационных процессов. Учитывая тенденцию к созданию единого информационного пространства и, как следствие, подключения корпоративных сетей к глобальной сети Интернет, следует ожидать в будущем атак на такие системы с целью их разрушения или получения коммерческой выгоды.
В последнее время характерна конвергенция компьютерных и телекоммуникационных сетей (телефонных, радио, телевизионных сетей). Во всех этих сетях представляемым ресурсом является информация.
Для достижения наибольшей эффективности средства защиты КИТС должны адекватно защищать информацию, в соответствии с ее ценностью в корпорации. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации КИТС и информационные технологии.
Телекоммуникация и сетевые технология являются в настоящее время той движущей силой, которая обеспечивает поступательное движение вперед всей мировой цивилизации. Все это особенно важно для Йемена, где многое из названного находится в стадии становления.
Реализация методов для обеспечения эффективного функционирования системы защиты в конкретных корпоративных сетях требует разработки жестких мер защиты для предотвращения случайных и умышленных наруше-
5 ний их функционирования. Для противодействия компьютерным преступлениям или хотя бы уменьшения ущерба от них необходимо грамотно выбирать меры и средства обеспечения защиты информации (ЗИ) от умышленного разрушения, кражи, порчи и несанкционированного доступа. В более простых корпоративных сетях (КС) управления основан на наблюдении за сетью и сборе информации (этот процесс называется мониторингом сети). Проблема обеспечения информационной безопасности является центральной для таких корпоративных сетях. Функционирование сложной системы КИТС обеспечивает система управления сетью, которая выполняет полный и непрерывный контроль за всеми элементами сети, своевременное обнаружение ошибок, неисправностей, сбоев и отказов оборудования, программного обеспечения, управление конфигурациями сетевых узлов, резервное копирование и восстановление всех элементов сети, управление сетевым трафиком и политикой безопасности.
В КИТС усложняется задача управления всеми процессами трактовка результатов наблюдения - это задача для специалиста-эксперта по сетевому управлению. Получение и использование знаний должны осуществляться непосредственно в процессе функционирования системы путем постепенного накопления необходимой информации, анализа и использования ее для эффективного выполнения системой заданной целевой функции в изменяющихся условиях внутренней и внешней среды.
Основными потенциально возможными эксперт являются:
> Отлично знать все используемое оборудование и программное обес
печение, чтобы быстро интерпретировать изменения каких-либо параметров.
> Держать в уме всю топологию сети, чтобы быстро определить при
чину и источники таких изменений.
)> При нарушении нормального режима функционирования сети, обычно, генерируется лавина сообщений и он должен уметь выделить из них существенные и отбросить те, которые являются следствием первых.
> Наконец, на нем лежит административный груз ответственности за
эффективное использование огромных ресурсов (дорогостоящего оборудования, каналов связи, обслуживающего персонала). От его работы зависит экономическая эффективность предприятия.
Известные математические модели, используемые для описания структуры, поведения и управления систем защиты информации (СЗИ), в условиях некорректной постановки задач не дают желаемого результата. Поэтому необходима разработка новых, ориентированных на специфику процессов защиты информации методов и средств моделирования.
Таким образом, сложное оборудование КИТС, большой объем поступающей информации, трудность решения плохо формализуемых и слабо структурированных задач при отсутствии полной и достоверной информации о состоянии элементов сети, короткое время на анализ проблемных ситуаций и принятие решения приводят к несоответствию возможностей человека требованиям эффективно управлять сетью.
Указанные проблемы делают практически невозможным применение традиционных математических методов, в том числе методов математической статистики и теории вероятностей, а также классических методов оптимизации для решения прикладных задач защита информации в КИТС.
Таким образом, Актуальность работы связана с необходимостью:
- Сложность процесса принятия решений, отсутствие математического аппарата приводят к тому, что при оценке и выборе альтернатив возможно, (а зачастую просто необходимо) использовать и обрабатывать качественную экспертную информацию. Перспективным направлением разработки методики принятия решений при экспертной исходной информации и внедрение интеллектуальной системы поддержки принятия решения ИСППР (лингвистический подход на базе теории нечетких множеств и лингвистической переменной) для управления и диагностики состояния современной КИТС. Кроме того, высокий уровень автоматизации и интеллектуализации системы позволит снизить нагрузку на специалистов по управлению КИТС (сетевых администраторов), повысит эффективность их действий, увеличит надеж-
7 ность функционирования сети и снизит экономические риски для предприятий.
- Обеспечения комплекса средств защиты информации с идентификацией пользователей при запросах на доступ в КИТС и должно реализовываться современными СЗИ от НСД. При этом задача защиты при выполнении этого требования сводится к контролю корректности НСД пользователей при запросах доступа к ресурсам, т.к. именно использование сервиса НСД пользователей может привести к неконтролируемой смене исходного идентификатора. Управление доступом включает идентификацию пользователей, персонала и ресурсов системы, становится все более актуальной с проникновением КИТС, применяемые методы построения систем обладают рядом недостатков. Исследование применения нечеткой логики к задаче обнаружения НСД пользователей при запросах доступа к ресурсам, представляется одним из способов, позволяющих избавиться от этих недостатков.
Объект исследования. Объектом исследования являются корпоративные информационно-телекомуникационные сети, защита которых осуществляется в условиях неполной и нечеткой информации о сетевых процессах.
Предмет исследования. Предметом исследования являются методики, алгоритмы и процедуры обеспечения управления информационной безопасностью, математическое и программное обеспечение системы поддержки принятия решений для управления корпоративных информационно-телекоммуникационных сетей в условиях отсутствия полной, четкой и достоверной информации о состоянии элементов сети и сетевых процессов.
Исходя из вышеизложенного, настоящая диссертационная работа посвящена разработке принципов функционирования и технологии создания комплексных интеллектуальных систем поддержки принятия решения, основанных на экспертных знаниях, предназначенных для мониторинга, анализа и идентификации пользователей при запросах на доступ в корпоративных информационно-телекоммуникационных сетей
Научная проблема. Суть научной проблемы заключается в том, что, с одной стороны, необходимо полностью обеспечить требования безопасного функционирования КИТС в условиях атак злоумышленников на информационные ресурсы и процессы, с другой стороны, наблюдается недостаточность научно-методического аппарата, позволяющего это сделать с достаточной полнотой.
Исходя из вышеизложенного, настоящая диссертационная работа посвящена разработке принципов функционирования и технологии создания комплексных интеллектуальных систем поддержки принятия решения, основанных на экспертных знаниях, предназначенных для мониторинга, анализа и диагностики состояния элементов КИТС.
Целью диссертационной работы является разработка интеллектуальной СППР на базе комплексного подхода к проблеме управления информационной безопасностью и защиты информации КИТС от несанкционированного вмешательства в процесс функционирования КИТС.
Для выполнения этой цели решены следующие задачи:
Исследованы возможности применения методов нечеткой логики к задаче по защите информации в КИТС.
Проанализировано современное состояние проблемы управления информационной безопасностью в КИТС, в первую очередь в условиях атак злоумышленников на информационные ресурсы и процессы, выявлены общие пути ее решения (применительно к особенностям Йемена).
3. Предложен новый подход к нечеткому структурно-логическому
обобщению знаний на основе нечеткой геометрической интерпретации дан
ных и знаний.
Разработана методика нечеткой идентификации, к задаче обнаружения при запросах доступа к ресурсам КИТС.
Разработан комплекс программ, позволяющий реализовать интеллектуальные системы поддержки принятия решений в задачах по защите информации в КИТС, с использованием нечетких моделей.
Методы исследования. Основаны на элементах нечеткой логики, дискретной математики, теории вероятностей, теории системного анализа и методах лабораторного эксперимента.
Научная новизна работы заключается в том, что:
Предложена методика управления информационной безопасностью КИТС в условиях атак злоумышленников, использующая интеллектуальные нечеткие модели.
Предложен новый подход к нечеткому структурно-логическому обобщению знаний на основе нечеткой геометрической интерпретации данных и знаний.
Разработана методика нечеткой идентификации, к задаче обнаружения при запросах доступа к ресурсам КИТС.
Разработан комплекс программ, позволяющий реализовать интеллектуальные системы поддержки принятия решений в задачах по защите информации в КИТС, с использованием нечетких моделей.
Достоверность научных положений, выводов и практических результатов и рекомендаций подтверждена корректным обоснованием и анализом концептуальных и математических моделей рассматриваемых способов управления информационной безопасностью и защитой информации в КИТС; наглядной технической интерпретацией моделей; данными экспериментальных исследований.
Практическая ценность работы заключается в том, что:
разработанные и предложенные модели, и алгоритмы могут быть использованы при разработке, эксплуатации и реконструкции современных КИТС;
алгоритмы доведены до рабочих программ и позволяют решать достаточно широкий круг научно-технических задач. Разработана математическая модель действий злоумышленника по реализации им своих целей в системе вычислительных средств защищаемой КИТС, позволяющая оценивать качество функционирования системы защиты информации.
Основные положения, выносимые на защиту: Суть научной проблемы заключается в том, что, с одной стороны, необходимо полностью обеспечить требования безопасного функционирования КИТС в условиях атак злоумышленников на информационные ресурсы и процессы, с другой стороны, наблюдается недостаточность научно-методического аппарата, позволяющего это сделать с достаточной полнотой.
Исходя из вышеизложенного, настоящая диссертационная работа посвящена разработке принципов функционирования и технологии создания комплексных интеллектуальных систем поддержки принятия решения, основанных на экспертных знаниях, предназначенных для мониторинга, анализа и диагностики состояния элементов КИТС.
Личный вклад автора диссертации. В диссертации использованы результаты исследований и разработок по созданию многофункциональных методик и аппаратных средств для защиты систем связи и корпоративных сетей от несанкционированного доступа к информации. При этом автор диссертации являлся непосредственным исполнителем основополагающих разработок, алгоритмов и моделей.
Реализация результатов работы. Результаты, полученные в ходе работы над диссертацией, были использованы в корпоративной сети ООО завод «Электроприбор» (г. Москва) при повышении уровня информационной безопасности сети; в НПО «РИК» (г. Владимир).
Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были доложены на четырех международных НТК.
Публикации. По теме диссертации опубликовано 8 научных статей и тезисов докладов, из них три статьи опубликованы в журналах «Известия института инженерной физики» и «Проектирование и технология электронных средств» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.
Диссертация состоит из введения, 3 глав, заключения, списка использованной литературы из наименований, списка сокращений и приложений.
Анализ угроз информационной безопасности в автоматизированных системах управления технологическими процессами и основные мероприятия по их предотвращению
Система обнаружения атак (СОА)- программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компыотерную систему или сеть либо несанкционированного управления ими в основном через Интернет [93-94].
СОА используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)[7].
Типовая архитектура системы выявления атак, как правило[85-89]: сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров хранилище, обеспечивающее накопление первичных событий и результатов анализа консоль управления, позволяющая конфигурировать СОА, наблюдать за состоянием защищаемой системы и СОА, просматривать выявленные подсистемой анализа инциденты.
Система обнаружения выполняют ряд функций [57,100]: 1. Мониторинг и анализ пользовательской и системной активности; 2. Аудит системной конфигурации и уязвимостей; 3. Контроль целостности системных файлов и файлов данных; 4. Распознавание шаблонов действий, отражающих известные атаки; 5. Статистический анализ шаблонов аномальных действий;
6. Управление журналами регистрации операционной системы, с распознаванием действий пользователя, характеризующих нарушения политики безопасности. Выгоды от системы обнаружения атак и анализа защищенности следующие [73-74]: 1. Улучшение целостности частей инфраструктуры информационной безопасности; 2. Улучшение механизмов системного мониторинга; 3. Рассмотрение действий пользователя начиная от точки входа в систему и заканчивая точкой выхода, с промежуточными точками воздействия; 4. Распознавание и уведомление об изменении системных файлов и файлов данных; 5. Определение ошибок конфигурации системы и, возможно, их исправление; 6. Распознавание специфичных типов атак и приведение персонала защиты в готовность; 7. Уведомление персонала о недавних изменениях в программах.
В настоящее время СОА начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако существует ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения СОА. Вот некоторые из них [6,37]: 1. Не могут компенсировать слабые механизмы аутентификации и идентификации; 2. Не могут проводить исследования атак без человеческого участия; 3. Не могут компенсировать "слабости" сетевых протоколов; 4. высокая стоимость коммерческих СОА; 5. невысокая эффективность современных СОА, характеризующаяся большим числом ложных срабатываний и несрабатывании (false positives and false negatives); 6. требовательность к ресурсам и порой неудовлетворительная производительность СОА уже на 100 Мбит/с сетях (пока максимально для Йемена); 7. недооценка рисков, связанных с осуществлением сетевых атак; 8. отсутствие в организации методики анализа и управления рисками, позволяющей адекватно оценивать величину риска и обосновывать стоимость реализации контрмер для руководства;
Специфичной для Йемена также является относительно невысокая зависимость информационной инфраструктуры предприятий от Интернет и финансирование мероприятий по обеспечению информационной безопасности по остаточному принципу, что не способствует приобретению дорогостоящих средств защиты для противодействия сетевым атакам.
Тем не менее, процесс внедрения СОА в практику обеспечения информационной безопасности продолжается, в том числе и в России и в Йемене.
Типовая архитектура системы выявления атак изображена на рис 1.5. На уровне агентов (сенсоров) может выполняться фильтрация данных с целью уменьшения их объема. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы [57].
Агенты передают информацию в центр распределения, который приводит ее к единому формату, возможно, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Один центр распределения может обслуживать несколько сенсоров.
Информационная безопасность и риски при проектировании КИТС
Управление рисками становится, по сути, повседневной деятельностью для многих участников ИТ-проекта сразу после его инициации и вплоть до завершения. Вместе с тем классификация рисков и соответственно оценка значимости каждой из категорий рисков в контексте конкретного проекта -это работы, выполняемые на предпроектной стадии [94,100].
Опытные руководители проектов знают, что наступление многих рисков предсказуемо, а от остальных необходимо страховаться. Наиболее распространенное заблуждение, встречающееся на практике, отождествляет управление рисками и борьбу с последствиями уже возникших проблем. Так вот, цель управления рисками состоит в том, чтобы а) в идеале избежать возникновения проблем или б) минимизировать возможный ущерб для проекта, если избежать проблемы не представляется возможным (например, смена руководства компании и все связанные с этим последствия).
Реагирование на риски - одна из последних стадий функции управления рисками. Поэтому прежде чем перейти к рассмотрению возможных способов реагирования, предлагается определиться с источником возникновения рисков по отношению к проекту и дать им самую общую классификацию.
Внутренние риски. Эти риски непосредственно зависят от деятельности руководителя проекта, команды проекта и других участников, которые могут активно управлять рисковыми ситуациями. Поэтому внутренние риски в достаточной степени управляемы. Внешние риски. Они возникают вне зависимости от проектной деятельности и порождаются окружением проекта. Они могут учитываться участниками проекта и в некоторой степени быть управляемыми. Важно заметить, что внешние риски можно разделить на две качественные группы: предсказуемые (но неопределенные) - изменение цен, усиление конкуренции на рынке, изменение курсов валют, изменения в налогообложении и т. п.; непредсказуемые - природные катастрофы, срывы в финансировании из-за смены руководства, неожиданные внешние социальные эффекты и т. п.
Природа возникновения рисков во многом является определяющим фактором при выборе методов реагирования, поэтому в табл 1.2 мы приводим классификацию рисков более подробно. Кроме того, методы реагирования на риски, в общем случае помимо источника возникновения, определяют следующие факторы: - принадлежность риска (риск заказчика, исполнителя или обоюдный риск); возможные последствия для проекта; - стадия проекта, на которой выявлен риск; -возможности участников проекта по предотвращению рисков (достаточность бюджета управления рисками, необходимое время реакции, возможности лоббирования интересов и пр.). Очевидно, что с учетом такого многообразия факторов дать универсальные рекомендации можно только с учетом специфики конкретного проекта. Однако если сделать определенные допущения, то можно попытаться предложить ряд универсальных способов реагирования на риски с учетом природы их возникновения.
Можно предложить базовый набор антирисковых мероприятий, применение которых во многом обеспечит эффективное выполнение проекта сразу в нескольких направлениях [25].
Учет опыта аналогичных проектов. Наверное, это один из самых эффективных подходов к оценке, планированию и разработке методов реагирования на риски на начальных стадиях проекта. Главная сложность состоит в том, что в российской практике по результатам выполнения проектов крайне редко подготавливается отчет о закрытии проекта, да и с ведением оперативной документации по управлению проектом тоже не все гладко. Вторая сложность - как эту информацию получить заказчику, так как исполнитель не всегда занимает открытую позицию и не готов проливать свет на все условия и тонкости выполнения проекта. На практике систематизированную информацию об опыте выполнения аналогичных проектов можно получить только у независимых экспертов.
Распределение рисков между участниками проекта. Этот вопрос должен решаться еще на этапе организации проекта в ходе заключения договоров с внешними исполнителями. На данном этапе необходимо максимально предусмотреть соблюдение интересов сторон в случае возникновения как внутренних, так и внешних рисков. Как правило, заказчик привлекает внешних исполнителей, если у него недостаточно опыта выполнения комплексных проектов (реже - в случае нехватки собственных ресурсов). Следовательно, вероятность недостаточной проработки условий договора с исполнителем многократно возрастает, так как выполнение подобных проектов не есть суть бизнеса заказчика.
Выделение ресурсов для управления проектом. Очевидно, что для эффективного выполнения проекта им необходимо эффективно управлять (в том числе рисками), для чего необходимы соответствующие ресурсы: команда менеджмента проекта и бюджет.
Планирование резервов. Международная статистика выполнения проектов свидетельствует о том, что только 16% всех проектов завершаются вовремя и в срок. Очевидно, что помимо просчетов в управлении данная статистика также отражает влияние факторов, предвидеть или воздействовать на которые практически не представлялось возможным. В силу данных причин базовые параметры любого проекта необходимо планировать "с запасом" примерно в 20% (экспертные оценки).
Внесение изменений в проектные решения. Смысл данного пункта поясним на примере: допустим, по календарному плану проекта начало тестовой эксплуатации запланировано на 1 апреля. Результаты аттестации конечных пользователей системы после прохождения обучения показали недостаточность знаний и навыков для работы в системе. Очевидно, в таких условиях необходимо пересмотреть сроки начала тестовой эксплуатации, так как в противном случае количество допущенных ошибок сведет ее результаты на нет.
Повышение уровня информационной безопасности КИТС Тайз университета (Йемен)
Анализ рисков будем проводить в соответствии с разработанной нами методикой. Структура активов корпоративной сети. АРМы сотрудников предназначены для составления, хранения и обработки документов с грифом «Коммерческая тайна», «конфиденциально», а также неконфиденциальных документов. Доступ исполнителей к работе на ПЭВМ, осуществляется по утвержденному списку. Предполагается наличие только постоянных пользователей. Пользователи имеют право постоянного хранения файлов с конфиденциальными данными на ЖМД. Для хранения файлов с конфиденциальными данными могут также использоваться оптические носители, в установленном порядке. Загрузка всех АРМ осуществляется по персональным имени и паролю пользователя. По окончании загрузки компьютера пользователь получает установленные Администратором безопасности права доступа к устройствам, каталогам и файлам и программам ПЭВМ. Для разработки документов установлен программный пакет Microsoft Office. Права доступа пользователей к программам, каталогам и файлам на ПЭВМ определены в документации по разрешительной системе доступа персонала к защищаемым ресурсам ПЭВМ. Антивирусная защита осуществляется пользователями ПЭВМ с применением программного средства «Антивирус Касперского». Перезагрузка серверов происходит 1 раз в неделю, перерыв работоспособности не более 5 мин. Архивирование и резервное копирование данных системы и конфигураций оборудования производится каждый день.
Размещение информационных ресурсов в корпоративной сети
В состав КИТС Тайз университета (Йемен) и ООО «Электроприбор» (г.Москва) входят: контроллер домена, сервер для работы бухгалтерской программы «Инфин», дополнительный контроллер домена, сервер АСУ, сервер-терминал, сервер резервного копирования, интернет-сервер, внутренний web-сервер, АРМы пользователей.
Термин «общие активы информационной системы» относится как к физическим, так и логическим аспектам предприятия. Они могут включать в себя серверы, рабочие станции, программное обеспечение и пользовательские лицензии [52,60].
Данные о деловых контактах сотрудников, данные о сотрудниках, стратегические планы, внутренние web-узлы и пароли сотрудников являются общими активами информационной системы.
Список активов корпоративной вычислительной сети Тайз университета (Йемен) и ООО «Электроприбор» (г. Москва) приведен в табл. 2.1.
Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз. На данном этапе составляется перечень угроз и оценивается их уровень, при этом могут быть использованы списки классов угроз различных организаций, а также информация о рейтингах либо средних значениях вероятности реализации данной угрозы. Подобные списки составляют и поддерживают в актуальном состоянии несколько организаций, в частности Federal Computer Incident Response Center (FedCIRC), Federal Bureau of Investigation s National Infrastructure Protection Center, SecurityFocus и др. [94].
В данном случае, данные об угрозах, характерных для корпоративной вычислительной сети ООО «Электроприбор» (г. Москва) предоставлены Ад министратором безопасности ЛВС предприятия и основываются на проведенных им исследованиях. Этот обширный список угроз и средств защиты, которым может быть подвержена корпоративные сети Таиз университета (Йемен) и ООО «Электроприбор» (г. Москва), приведен в табл. 3.2.
Уязвимости представляют собой слабые места в процедурах и политиках безопасности КИТС, административном управлении, физическом размещении, внутреннем управлении и других областях, которые могут использоваться для получения несанкционированного доступа к сведениям или прерывания критически важных процессов. Уязвимости бывают как физическими, так и логическими. Табл.2.3.содержит список уязвимостей, которые могут проявляться в корпоративной сети предприятия, также предоставленный администратором безопасности ЛВС Таиз университета (Йемен) и ООО «Электроприбор» (г. Москва).
Разработка математическая модели нечеткой базы знаний и алгоритма интеллектуальной системы поддержки принятия решений в задачах по защите информации в КС
Процесс ИСГШР в задачах по защите информации в КИТС выполняется по разработанному алгоритму: 1. Проведение процесса кластеризации базы знаний. 2. Определение мощности объектов. 3. Определение расстояние между объектами. 4. Определение коэффициента покрытия . 5. Определение степени соответствия объектов. 6. Кластеризации множества объектов в зависимости от величины симметричной разницы между объектами базы знаний. 7. Определение функций принадлежности. 8. Разработка методики нечеткой идентификации объекта. 9. Разработка методики нечетко-многокритериального выбора альтернатив. Обозначения: О = {о,} - база знаний, где i=l,N, N=\c\ - число объектов в базе знаний; N A = U At - множество всех атрибутов в базе знаний; где At = \ау у - множество атрибутов о,- объекта; Где, j - общее количество атрибутов в о, - объекта;
Активный атрибут по о,-му объекту - это атрибут а, є А, с А, т.е. атрибут о,- принадлежит к подмножеству атрибутов огто объекта [20].
Матрицу активности может принимать два значения: 0 - если атрибут аі не принадлежит множеству атрибутов 0,-го, и 1 - если атрибут а} принадлежит множеству атрибутов 0,-го. Обозначим R матрицу активности атрибутов в базе знаний О: где 1, если a j є A t r.j = 0, если а : А . Обозначим W матрицу значений атрибутов по объектам базы знаний: = К), (3-2) Где coXJ Wt- значения о,-го атрибута по множеству значений огго объекта;
Кластеризация - это объединение объектов в группы (кластеры) на основе схожести признаков для объектов одной группы и отличий между группами. Большинство алгоритмов кластеризации не опираются на традиционные для статистических методов допущения; они могут использоваться в условиях почти полного отсутствия информации о законах распределения данных. Кластеризацию проводят для объектов с количественными (числовыми), качественными или смешанными признаками [51]. ИСППР может выполнять над процессами следующие операции: 1. Для проведения процесса кластеризации базы знаний по некоторому огму объекту кластеризатору необходимо найти N-1 векторов пересечения этого объекта с другими объектами о і базы знаний по 0,-м атрибутам: А.Определить матрицу активности «H Ajl; «Н Ail - мощности, объектов #/И ot соответственно. 4- у,,=— - коэффициент покрытия; /л,„ уи є [О; і]. 5 -Степень соответствия Oi с 0[ на уровне атрибутов вычисляем как минимум между величиной; обратной расстоянию du , и коэффициентом покрытия уа\ ",/( /) = п -——; у А, (ЗЛО) где у,,= —- - коэффициент покрытия; д/5 7(/є[0; і]. Здесь йц выражает "і значение симметричной разницы между объектами 0,-и 0/.
Нечеткое разбиение позволяет просто решить проблему объектов, расположенных на границе двух кластеров - им назначают степени принадлежностей равные 0.5. Недостаток нечеткого разбиения проявляется при работе с объектами, удаленными от центров всех кластеров. Удаленные объекты имеют мало общего с любым из кластеров, поэтому интуитивно хочется назначить для них малые степени принадлежности. Однако сумма их степеней принадлежностей такая же, как и для объектов, близких к центрам кластеров, т.е. равна, единице. Для устранения этого недостатка можно использовать возможностное разбиение, которое требует, только чтобы произвольный объект из базы знание принадлежал хотя бы одному кластеру.. 6т Кластеризации множества О базируется на идее распределения степени соответствии атрибутов, универсального множества согласно с их рангами.
Для кластеризации множества О в зависимости от величины симметричной разницы между объектами базы знаний используем степень соответствии /4/. В зависимости от величины ЦЦ создаем N кластеров с т числом нечетких классов различных рангов, центр которых определяем по формуле: 7Г = 2.г.И, г = 0,т, т = 4, где h = 0,125 - шаг кластеризации, 7Г - центр нечеткого класса r-го порядка, г - порядковый номер качества нечеткого класса.
Таким образом, для каждого К, -го (іє№) кластера имеем пять классов, т.е. при sr = 0 мы говорим о классе нулевого ранга; при sr - 0.25 имеем нечеткий класс первого ранга и т.д., чем выше ранг нечеткого класса, тем выше степень соответствия 0/ с 0/ объектом на уровне атрибутов. Области определения нечетких классов К, -го нечеткого кластера представлены в табл. 3.1.