Содержание к диссертации
Введение
Глава 1. Методы и средства информационного нападения и защиты информации 10
1.1. Аппаратные средства 11
1.2. Программные средства 15
1.3. Информационная безопасность в открытых системах 22
1.4. Стратегии и модели безопасности 32
Выводы 45
Глава 2. Нормативная база и существующие подходы к построению и оценке защищенных систем 47
2.1. Стандарты и рекомендации по оценке надежных компьютерных систем. Американский подход 47
2.2. Нормативы и показатели защищенности, принятые в РФ 54
2.3. Критерии оценки защищенности европейский стран 61
2.4. Анализ существующей нормативной базы 69
Выводы 74
Глава 3. Методика анализа защищенности информационных систем и оценки результативности защиты 75
3.1. Основная модель 75
3.2. Алгоритмическое обеспечение расчетов на модели 90
3.3. Технология анализа и оценивания 109
3.4. Результаты применения методики. 120
Выводы 130
Заключение 132
Список литературы 133
Приложение. Список публикаций по теме работы 139
- Информационная безопасность в открытых системах
- Стандарты и рекомендации по оценке надежных компьютерных систем. Американский подход
- Анализ существующей нормативной базы
- Алгоритмическое обеспечение расчетов на модели
Введение к работе
Наиболее значимой, после угроз, связанных с биологическим выживанием человечества, в условиях современного мира представляется проблема информационной безопасности. Ее необеспеченность способна оказать негативное влияние на все ключевые аспекты деятельности человека, сводя на нет усилия по достижению безопасности в широком ее понимании. При этом информационная безопасность неразрывно связана с вопросами обеспечения безопасности информации в вычислительных системах.
Проблема обеспечения безопасности информации в различных своих аспектах крайне многообразна, при этом бесспорно, что факторы, влияющие на безопасность, образуют неразрывный, сложно взаимосвязанный и, к тому же, противоречивый комплекс, что признается, но в явном виде не учитывается действующими нормативами по защищенности. Значимость составляющих этого комплекса с точки зрения обеспечения и оценки защищенности информационных систем в разных условиях их функционирования и, что часто совсем упускается из виду, с учетом целей защиты, ресурсных ограничений и, соответственно, эффективности защиты может существенно изменяться. Действующая нормативная база не потеряла своей актуальности, но она разработана в качественно иных условиях и в классическом виде не способна дать адекватное современным и, тем более, перспективным потребностям методическое обеспечение целенаправленного выбора (проектирования) систем защиты информации (СЗИ) и метрического оценивания интегральной защищенности автоматизированных систем (АС).
Стало очевидным, что одноуровневые методы и средства защиты информации в вычислительных системах, распространенные в
настоящее время, способны дать лишь ограниченный эффект при защите от избирательного вида угроз, то есть не исключено, что глобальный эффект от их применения может оказаться нулевым, если средства не сбалансированы по уровням и объектам защиты, выбраны случайным образом или без целенаправленного анализа источников и видов угроз. Причем сбалансированность следует понимать прежде всего как принцип, реализация которого в конкретных решениях зависит от условий и требований пользователей, тенденций технического развития и потому не имеет окончательного вида. Обеспечиваться она должна в гармоничном сочетании мер и средств на организационном, пользовательском, программном и аппаратном уровнях.
Становится очевидным, что динамика развития информационных технологий, технических и программных средств их поддержки, с одной стороны, и, как следствие, постоянная модификация поля угроз безопасности информации, а не только простое изменение номенклатуры угроз, с другой стороны, опережают процесс развития концептуальной и методической базы обеспечения информационной безопасности, как в широком, так и в узком смысле этого понятия. Ощущается недостаток исследований проблемы информационной безопасности с системологических позиций. В результате, с учётом постоянно изменяющихся условий, имеет место ситуация нарастающего хронического отставания решения проблем интегральной защищенности информационных объектов, в частности, ее оценивания.
Ведущим источником возникновения новых факторов при рассмотрении проблемы информационной безопасности стало фундаментальное противоречие между тенденцией к объединению и совместному использованию ресурсов, с одной стороны, и обеспече-
ниєм защищенности информации, с другой. Противоречие это неустранимо, и пути решения возникающих отсюда проблем безопасности, как представляется, связаны прежде всего с гармоничным сочетанием централизации и децентрализации контроля в сети. Такое сочетание невозможно без адекватной оценки ситуации, разработки концептуальных основ существования в конфликтном, но уже неразрывно связанном, информационном пространстве, и создания необходимой материальной базы, способной обеспечить равноправные отношения субъектов информационных процессов.
Новейшие технологии обработки данных, глобализация компьютерных сетей и лавинообразный рост количества пользователей в них, распространение идеологии открытых систем способствуют возникновению качественно новых проблем, сущность и значимость которых с точки зрения обеспечения информационной безопасности не всегда ясна, тем более, что открытость нередко имеет односторонний характер. В то же время большинство коммерческих фирм применяют многоуровневые системы защиты, причём многие из них внутреннюю сеть строят по своим протоколам, что входит в противоречие с указанной идеологией. Например, DEC имеет сложную систему защиты SEAL, включающую идентификационный сервер, CRAY - защиту корпоративной сети, подобную Kerberos [39]. Следует также упомянуть среди получивших наибольшее распространение средств защиты в сети системы анализа трафика Firewall (брандмауеры) [45].
Множество используемых средств свидетельствует о том, что проблема безопасности в сети требует тщательного исследования как в каждом конкретном случае, при построении систем обработки данных, так и в общем, методологическом, плане. При этом важно отметить тот факт, что все перечисленные средства защиты через
некоторое время подвергаются массированному "взлому", и рано или поздно защита может оказаться прёодолённой.
Интенсивный процесс включения России в мировое информационное пространство при отсутствии соответствующего нашим информационных ресурсам развитого технологического сервиса территориального уровня при очевидной полезности несёт в себе многочисленные угрозы безопасности, поскольку такое включение носит неравноправный характер [41]. Возникает возможность и соблазн информационной агрессии в той или иной форме, так что понятие "информационная война" перестаёт быть принадлежностью исключительно политической фразеологии и вполне обоснованно входит в научное употребление. Анализ имеющихся тенденций свидетельствует, что в XXI веке информационные конфликты громко заявят о себе [29].
Современный этап в развитии вычислительной техники и информационных технологий в целом отличается противоречивостью своего характера, и наиболее значимо данное обстоятельство проявляется в вопросах информационной безопасности, как многоуровневой и многоаспектной, понимаемой системно, причём это касается не только технических аспектов. Проблема "защиты от информации", уже назревшая, являясь пока скорее организационной или гуманитарной, должна будет найти свое решение и на техническом уровне. Наоборот, технические средства в открытых системах могут быть регламентированы международным правом или иными гуманитарными нормативами. Во всяком случае, становится актуальным рассмотрение правовых, психологических, политических и других нетрадиционных аспектов, при этом важность традиционных программно-технических и коммуникационных - не уменьшается, но изолированно они уже не обеспечивают полноты решения про-
блемы. Глобальные сетевые структуры, объединяющие большое количество локальных сетей, начинают проявлять свойства живых саморазвивающихся образований, эволюционируя по законам открытых биологических систем, поэтому чисто аналитические, одноуровневые подходы, являясь полезными, проблему защищенности в целом решить не способны, требуются адекватные подходы.
Следует отметить, что смысл открытых систем класса моделей ISO/OSI и открытых систем в биологии совпадают, так как и те, и другие являются неравновесными. В противоположность им полностью защищенные - закрытые - системы становятся равновесными, то есть теряют возможность развития и быстро устаревают, что делает опасным и бесперспективным использование технической и информационной изоляции в качестве средства защиты. Подобно биологическим открытым системам компьютерные системы защиты должны строиться согласно объектно ориентированной стратегии [2-5].
Для построения научно обоснованной системы защиты необходим глубокий объективный анализ поведения таких сложных систем как Internet. Однако информационная безопасность в сети никоим образом не может быть сведена, как это часто делается, лишь к рассмотрению криптографической защищённости трафика. Например, замечено, что при атаках, использующих чужое имя, могут происходить так называемые "ICMP-взрывы" (ICMP - протокол, используемый в Internet для ведения таблиц рассылки), которые при продуманной системе взлома приводят к лавинообразному выходу из строя сетевых компьютеров, так как при этом таблицы рассылки портятся, и часть машин в них будут помечены как недостижимые. Оказывается, что подобным образом ведут себя многие сложные системы различной природы [23]. Такое явление предлагается опи-
сывать в терминах теории "самоорганизованной критичности" [43]. В соответствии с этой теорией безопасность в сети должна оцениваться, исходя из её рассмотрения как целого объекта со сложной внутренней динамикой, а не как набора отдельных защищаемых элементов.
Предугадать поведение такой сложной системы на основе регламентированных средств обеспечения безопасности оказывается за пределами человеческих возможностей, то есть предвидеть слабые места в этой системе чрезвычайно трудно, но через них как раз и будет действовать потенциальный взломщик, и успешность его действий будет статистически закономерна, поскольку идеология средств защиты не учитывает такого рода эффекты.
Необходимо строить такую стратегию защиты, которая базировалась бы не на применении мощных средств для каждого узла, а на выработке индивидуальной концепции защиты узла, как неразделимого элемента всей сети. В дополнение к концепции сбалансированной защиты [2] в условиях открытых систем необходимо строить взаимосвязанную систему обеспечения безопасности, ключевым звеном которой должен быть объект, имеющий механизмы защиты, связанные с сетевой структурой в целом [25].
Существует разрыв между уровнями декларативной постановки проблем интегрального характера и конструктивных решений, имеющих частную значимость, который необходимо преодолеть. Реализация этого требования неизбежно предполагает создание адекватных по сложности и обладающих прогностическими свойствами моделей защищенности, для чего, возможно, требуется не только увеличение количества или детализация уровней в стандартных моделях, но и усложнение их структуры, поиск принципиально новых подходов, рассчитывать обойтись простыми моделями не-
правомерно. Тем не менее, пока не выработана концептуальная база опережающих разработок по защите информационных объектов, методов получения интегральной оценки их защищенности, следует приветствовать многообразие подходов и моделей, если они дают конструктивные результаты.
Владельцы и разработчики информационных систем должны принять уже как бесспорное требование, что концепция защиты в них должна разрабатываться по крайней мере синхронно с самой информационной системой, являясь её органической составляющей, а в особо критичных случаях быть ведущей, определяя системотехнические решения. При этом предварительно и однозначно должны определяться цель и критерии оценки защищенности, а модель защиты следует сделать по возможности полной и связной.
Очевидно, назрела потребность в наличии и использовании инструментальных средств, позволяющих автоматизировать процесс выбора средств и конфигурации систем защиты информации и оценки защищенности объектов как в терминах стандартных моделей классификации уровня защищённости, так и индивидуализированных показателей. В связи с этим актуальной задачей является разработка гибких, способных к развитию моделей, не отвергающих классические и частные подходы к оценке защищенности, но увязывающие в единую структуру, замкнутую на цель, все элементы и факторы, имеющие значимость с точки зрения безопасности информации, что позволит настраивать их на решение разнообразных прикладных задач.
Информационная безопасность в открытых системах
Миллионы компьютерных систем объединены посредством сетей связи. При небольших расстояниях такое соединение может быть выполнено с использованием коаксиального кабеля, или витой пары; на больших расстояниях - с использованием универсальных средств связи: автоматических телефонных станций, волоконно-оптической и спутниковой связи. Там, где раньше для защиты компьютера от вторжения извне было достаточно простой физической охраны, теперь приходится вводить изощренный контроль за попытками входа в систему с удаленных терминалов. Поэтому если ЭВМ связана с "внешним миром", т.е. подключена к сети, то не может быть и речи о гарантированной защите информации. Каждый узел сети является самостоятельной компьютерной системой со всеми присущими ей проблемами обеспечения безопасности. Но к этим проблемам добавляются еще проблемы, связанные с линиями связи и процедурами передачи информации.
По сравнению с отдельной компьютерной системой, сети обладают следующими недостатками, повышающими возможность информационного нападения [26]:
1). Разделение ресурсов. Поскольку ресурсы и загрузка распределятся по различным узлам сети, многие пользователи имеют потенциальную возможность доступа к сети как к единой компьютерной системе. Иными словами, получив доступ к одной из систем, входящих в сеть, пользователь (или захватчик) имеет реальную возможность атаковать другие системы сети.
2). Неопределенная периферия. На уязвимость сети сильно влияет невозможность определения, в большинстве случаев, точных пределов сети. Один и тот же узел может одновременно работать в нескольких сетях, и, следовательно, ресурсы одной сети вполне могут использоваться с узлов, входящих в другую сеть. Такое высокомасштабное разделение ресурсов - несомненное преимущество, однако, с другой стороны, это - неопределенное количество потенциальных неподготовленных пользователей и потенциальных захватчиков, что значительно осложняет обеспечение безопасности как сети в целом, так и большинства ее отдельных узлов.
3). Множественность точек атаки. В отдельной компьютерной системе можно контролировать доступ к системе пользователей, поскольку этот доступ осуществляется с терминалов одной компьютерной системы. Ситуация в сети совершенно иная: к одному и тому же файлу может быть затребован доступ с различных узлов сети. Поэтому, если администратор отдельной системы может проводить четкую политику безопасности в отношении своей системы, то администратор узла сети вполне может быть лишен такой возможности.
4). Неизвестная траектория доступа. Пользователь (или захватчик) может затребовать доступ к ресурсам некоторого узла сети, с которым данный узел не связан напрямую. В таких случаях доступ осуществляется через некоторый промежуточный узел, связанный с обоими узлами, или даже через несколько промежуточных узлов. В условиях сети весьма непросто точно определить, откуда именно пришел запрос на доступ, особенно если захватчик приложит немного усилий к тому, чтобы скрыть это.
5) Слабая защищенность линий связи. Чтобы попытаться получить нужную информацию, захватчику не обязательно штурмовать какой-либо из узлов сети физически либо проводить логическую атаку компьютерной системы этого узла. Сеть тем и отличается от отдельной системы, что непременно включает в себя линии связи, по которым между узлами передаются данные. Это может быть элементарный провод, а может быть линия радиосвязи, в том числе и спутниковый канал, и при наличии определенных условий (и соответствующей аппаратуры) к проводу можно незаметно (или почти незаметно) подсоединиться, радиолинию можно успешно прослушивать - то есть ничто не препятствует тому, чтобы "выкачивать" передаваемые сообщения из линий связи и затем выделять из всего потока требуемые.
При работе с сетью неопределенного количества пользователей очень трудно скрыть от них критичные данные. Так как доступ к конкретной системе может осуществляться со многих узлов и многими пользователями, риск искажения данных весьма высок. Такими искажениями могут считаться модификация сообщений, передача поддельных сообщений, удаление сообщений, повтор сообщений, переупорядочивание сообщений. Под сообщением здесь понимается любая единица информации, которыми обмениваются узлы: это может быть файл, блок зашифрованных данных и т.д.
Сети также представляют собой весьма питательную среду для создания срытых каналов утечки информации. Ведь скрыть специального вида сообщение среди мощного потока данных, передаваемых по линии связи, гораздо проще, чем обнаружить сообщение такого рода.
Для понимания сетевой специфики необходимо ввести уточнение: задачи обработки информации выполняют компьютеры, а сети только передают информацию между компьютерами. Даже сети, содержащие компьютеры только для целей переключения, не обрабатывают и не хранят информацию, за исключением тех случаев, когда это требуется для выполнения предписанных им функций. Простейшая модель сети - это множество индивидуальных проводов; наиболее сложная сетевая модель должна иметь возможность описания ее на некотором абстрактном уровне в терминах простейшей модели.
Надежная система (компьютер или сеть) - система, использующая достаточные меры целостности аппаратного и программного обеспечения, позволяющая использовать ее для одновременной обработки нескольких единиц чувствительной или классифицированной информации из CSC-STD-001-83 [49].
Политика безопасности - совокупность законов, правил и процедур, регулирующих то, как организации управляют, защищают и распространяют чувствительную информацию.
Стандарты и рекомендации по оценке надежных компьютерных систем. Американский подход
Базовый документ, выпущенный министерством обороны США, на основе которого на протяжении длительного времени идет развитие работ в области компьютерной безопасности в этой стране, и который повлиял на работы в этом направлении в других странах, получил название «Критерии оценки надежных компьютерных сис-тем» [48]. Данный труд, называемый чаще всего "Оранжевой книгой", был впервые опубликован в августе 1983 года. Характерной особенностью данного документа является то, что речь в нем идет не о безопасных, а о надежных (trusted) системах, что разумно ориентирует не на достижение невозможного, то есть абсолютной защищенности, а на создание условий, которые обеспечивают определенный уровень доверия к системе.
"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, посредством соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, писать, создавать и удалять информацию".
Политика безопасности. Согласно "Оранжевой книге", политика безопасности должна включать в себя по крайней мере следующие элементы:
1). Произвольное управление доступом.
2). Безопасность повторного использования объектов.
3). Метки безопасности.
4). Принудительное управление доступом.
С концептуальной точки зрения текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту - например, чтение, запись, выполнение, возможность передачи прав другим субъектам и т.п.
В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (владелец/группа/прочие в ОС UNIX), или на механизме списков управления доступом, то есть на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры списков управления доступом в разумных рамках.
Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассре-доточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.
Безопасность повторного использования - должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом. Важно обратить внимание на следующий момент. Поскольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности "повторного использования субъектов".
Метки безопасности. Согласно "Оранжевой книге", они состоят из двух частей: уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так: совершенно секретно, секретно, конфиденциально, несекретно.
Категории образуют неупорядоченный набор. Их назначение -описать предметную область, к которой относятся данные. Механизм категорий позволяет разделить информацию по отсекам, что способствует лучшей защищенности: субъект не может получить доступ к "чужим" категориям, даже если его уровень благонадежности - "совершенно секретно". Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности.
Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила следующий: читать можно только то, что положено.
Рассматривая политики безопасности, следует особо рассмотреть понятие подотчетности. Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:
1). Идентификация и аутентификация.
2). Предоставление надежного пути. 3). Анализ регистрационной информации (аудит). Обычный способ идентификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользователя, то есть является ли он именно тем, за кого себя выдает. Стандартное средство проверки подлинности (аутентификации) - пароль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства или их комбинация.
Анализ существующей нормативной базы
Проблема обеспечения безопасности носит комплексный характер, поэтому необходимо сочетание законодательных, организационных и программно-технических мер. Законодательная база отстает от потребностей практики. Имеющиеся в РФ законы и указы [32,37] носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт [32] и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по- существу в безвыходном положении - у них нет возможности заказать (и получить) современную систему "под ключ" с сертификатом безопасности.
Нынешний повышенный интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес хорошо стимулируется. Плохо потому, что компьютеры стоят не только в банках и банковскую информацию никак не отнесешь к самой ценной. В настоящее время общество в целом зависит от информационной техники, и проблема информационной безопасности - это проблема всего общества.
Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управленческий уровень, - это выработать политику безопасности, которая задает общее направление работам в данной области. Указанные уровни нуждаются по крайней мере в методической регламентации, которая практически отсутствует, если не считать внутриведомственных наработок.
Для поддержания режима информационной безопасности важны также программно-технические меры, поскольку основная угроза компьютерным системам часто исходит от самих этих систем, но всем защитным мерам должен предшествовать анализ источников угроз и угроз, их влияния на защищенность системы, что весьма трудно регламентировать нормативами, но необходимо обеспечить методически и инструментально.
Существуют разные мнения по поводу практической применимости рассмотренных подходов к информационной безопасности, которые можно назвать классическим, однако в любом случае необходимо владеть базовыми понятиями, введенными в их русле.
Знание рассмотренных критериев оценки информационной безопасности способно помочь при выборе и комплектовании аппаратно-программной конфигурации. Кроме того, при повседневной работе администрирования системы безопасности до некоторой степени необходимо повторять действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени претерпевает изменения и нужно, во-первых, оценивать целесообразность модификаций и их последствия, а, во-вторых, соответствующим образом корректировать повседневную практику пользования и администрирования. Если знать, на что обращается внимание при сертификации, можно сконцентрировать усилия на анализе критически важных аспектов, экономя время и силы и повышая качество защиты.
На рисунке 2.1 представлена концептуальная схема, на основе которой, как показывает анализ, построены действующие стандарты в области безопасности информации. Обозначения в ней условные. Если не учитывать частности - классификационные признаки, степень детализации, определения элементов и т.д. - рассмотренные выше системы нормативов на принципиальном уровне эквивалентны. В их основе - дерево критериев (показателей) безопасности (защищенности) и встречное дерево требований, каждый класс которых предъявляет требования по каждому из подразделов или элементов безопасности, которые могут детализироваться дальше до уровня функций и механизмов. Таким образом, оба дерева полностью смыкаются своими оконечными вершинами, и сертификация при таком подходе сводится к подтверждению соответствия этих вершин, т.е. проверяемых с той или иной степенью детализации элементов безопасности и требований, предъявляемых к ним.
Алгоритмическое обеспечение расчетов на модели
Идентифицировать представленную в п.3.1.2 F-модель для конструктивного использования в полной мере крайне затруднительно, хотя бы по причине заведомой недостаточности априорной информации. Но в этом нет необходимости, если найдется ее гомоморфный образ, допускающий для своего достаточного определения использование доступной информации, включая экспертные оценки, в том числе ординального характера. Такая модель с условным назва - 91 нием G-модель предложена, и показано однозначное соответствие ей выше описанной F-модели.
Как отмечалось, элементы модели из М0 находятся между собой в причинной зависимости [24] (без источников угроз - нет самих угроз, без угроз безопасности - нет проблемы безопасности). Тогда, учитывая принятый способ изображения непосредственных причинно-следственных связей в виде причинных диаграмм [40], естественным отображением рассмотренной потоковой F-модели становится принадлежащий классу графов Бержа связный орграф [20], называемый иногда в каузальных моделях потоковым [40], что подчеркивает аналогию.
Между множествами вершин графа и соответствующими множествами элементов F-модели устанавливается взаимно однозначное соответствие: Х0 - М0, Х0и -»МИ, Х0у -»Му, X0K-f-»MK, а множество дуг U0 - соответствует множеству пар элементов из М0, между которыми зафиксированы непосредственные потоки событий угроз, согласно отношению R, определенному в п.3.1.1, с соответствующей ориентацией дуг. Х0 дополняется являющейся образом состояния защищенности объекта вершиной xz, смежной всем и только вершинам из Х0к, выполняющей роль выхода, единственного притом, а множество U0 - заходящими в xz дугами, соответствующими компонентам fT. Кроме того для правильного отображения отношений в модели может возникнуть необходимость дополнения Х0 и U0 некоторыми условными элементами, включаемыми в соответствующие подмножества.
В итоге, с учетом всех дополнений будет иметь место орграф G(X,U), в котором отмечаются основные структурные свойства, следующие из отношения R.
1) (УхєХи)(Р+(х)=0 и Р"(х) 0), a (VxXJ(P+(x) 0) - вершины из Хи являются единственными входами G;
2) ( 3(xjXj)GU)(xiGXH и XjgXy) - вершины из Хи смежны только вершинам из Ху;
3) (VxsXyuXK)(P+(x) 0 и Р"(х) 0) - все вершины из Ху и Хк внутренние для G;
4) ( 3(хіхі)єи)(хієХк и XJGXJ - в Хк не существует вершин, смежных между собой;
5) ( Зх; х2)(Р"(х;)=0) - xz единственный выход G;
6) ( 3(XjXz)eU)(XjgXK) - xz смежна только вершинам из Хк, при этом P+(xz)= I Хк ;
7) если Хк=0, то существует XyzczXy, обладающее свойствами Хк;
8) если G содержит контуры, то вдоль них лежат вершины или только из Ху, или одновременно из Ху и Хк.
Естественно считается, что для каждой вершины из X, имея в виду ее содержательный прообраз, все входящие дуги отображают факт непосредственного причинного участия элементов из М0, соответствующих положительно смежным с ней вершинам, в актуальном существовании данной. Тогда, приписав этим дугам некоторые числовые значения, определяющие меру такого участия, и, полагая его аддитивным и линейным, допустимо произвести взвешивание всех дуг нормированными коэффициентами w :