Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Совершенствование организации функционирования информационных систем на основе реконфигурации в условиях воздействия деструктивных факторов Усцелемов Вячеслав Николаевич

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Усцелемов Вячеслав Николаевич. Совершенствование организации функционирования информационных систем на основе реконфигурации в условиях воздействия деструктивных факторов: диссертация ... кандидата Технических наук: 05.25.05 / Усцелемов Вячеслав Николаевич;[Место защиты: ФГУП Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия Ростехрегулирования Стандартинформ], 2017.- 142 с.

Содержание к диссертации

Введение

Глава 1. Анализ методов оценки информационного взаимодействия конкурирующих организационно технических систем 13

1.1. Роль и место подсистемы защиты информации в организации функционирования информационных систем 13

1.2. Анализ существующих систем обнаружения сетевых вторжений и угроз информационной безопасности 18

1.3. Анализ угроз и информационной устойчивости к деструктивным воздействиям 24

1.4. Процесс анализа деструктивных информационных факторов 30

1.5. Анализ методов и средств оценки устойчивости систем информационной безопасности 41

1.6. Постановка задачи исследования и выводы по главе 1 49

Глава 2. Разработка гибридных методов оценки уровня информационныхрисков 54

2.1. Концептуальная схема решения задачи исследования 54

2.2. Модель функционирования информационной системы при воздействии атак и угроз 61

2.3. Метод оценки информационных рисков на основе рассуждений по прецедентам 66

2.4. Метод оценки информационных рисков на основе рассуждений по прецедентам и нейро-нечеткого вывода 89 Выводы по главе 2 106

Глава 3. Экспериментальные исследования работоспособности и показателей эффективности разработанного программного комплекса 108

3.1. Анализ показателей эффективности модели оценки информационных рисков и настройки подсистемы информационной безопасности на основе рассуждений по прецедентам и нейро-нечеткого вывода 108

3.2. Структура и функционирование разработанного программного комплекса 110

Выводы по главе 3 123

Заключение 124

Список сокращений 126

Бибилиографический список

Введение к работе

Актуальность темы диссертационной работы. За последнее время информационные технологии получили большое развитие и нашли широкое применение во многих отраслях техники, медицины, образования. Все больше компаний различного масштаба, независимо от их принадлежности к государственному или частному сектору экономики, используют в своей деятельности информационные технологии. На сегодняшний день тренды рынка таковы, что в компаниях вынуждены иметь дело с большими объемами информации. Обрабатываемая информация может быть различного характера, начиная от информации о продуктах компании, ее сотрудниках до личных данных ее клиентов. Разумеется, что утрата, искажение или разглашение подобного рода информации является недопустимым и может нанести серьезный ущерб компании. В настоящее время статистика, публикуемая ведущими компаниями в сфере обеспечения безопасности информации, показывает тенденцию к росту числа воздействий на информационные ресурсы компаний и ущерба от них. Так, в 2015 году было зафиксировано 52 крупных ха-керских атаки, а всего зафиксировано 43 тыс. кибератак. По данным Сбербанка России, в 2015 году было зафиксировано около 32,5 тысяч попыток незаконного списания денежных средств на общую сумму более 5 млрд. руб. Поэтому своевременное выявление информационных воздействий крайне важно. Проблема обеспечения устойчивости информационных систем от деструктивных факторов является актуальной задачей, особенно в современных условиях жесткой конкуренции и промышленного шпионажа в технико-экономической сфере современного общества. В этой связи целесообразным является построение комплексной защиты информации в условиях возрастания рисков деструктивных воздействий на информационную систему.

Известно, что затраты на обеспечение устойчивости (функциональной, информационной) не должны превышать стоимости самой информации. В этой связи широкое применение нашел подход, основанный на концепции приемлемых рисков. Концепция приемлемых рисков позволяет найти оптимальное соотношение затрат на построение подсистемы защиты и стоимости защищаемой информации, однако существующие методики имеют ряд недостатков: отсутствие адаптивности, масштабируемости, учета предыдущего опыта, длительности воздействия. Наличие указанных недостатков существенно снижает эффективность устойчивого функционирования ИС, что может привести к серьезным последствиям.

Степень разработанности темы. Современные информационные системы имеют сложные структуры, определяемые, как классом решаемых задач, так и технологическими особенностями управляемых ими процессов и задействованных ресурсов. В научно-технической литературе вопросам организации функционирования информационных систем в реальных условиях при действии мешающих факторов внутреннего и внешнего характера посвящено немало работ. Методология выбора вариантов создания и развития организационно-технических систем (ОТС) информационных систем (ИС) (в том числе и в составе автоматизиро-

ванных систем управления (АСУ) сложными объектами и процессами) исследовалась в трудах Е.П. Балашова, В.В. Бетанова, А.С. Бурого, В.Н. Волковой, Г.В. Дружинина, Л.Е. Мистрова, Б.А. Резникова, А.Д. Цвиркуна, А.А. Яковлева, Дж. Касти, Р. Кини, Дж. Клира и др. Отдельные вопросы развития информационного обеспечения процессов и технологий, методов оценки и оптимизации структур данных информационных систем рассмотрены в работах В.А. Герасименко, А.В. Докукина, В.Н. Квасницкого, В.В. Кульбы, Д.А. Ловцова, М.И. Ломакина, А.Г. Мамиконова, А.И. Полоуса, Б.В. Соколова, А.В. Сухова, Р.М. Юсупова и др. Организационные аспекты построения информационных систем и комплексов, их функциональной реконфигурации, в том числе и за счет обеспечения информационной безопасности, посвящено большое количество работ, среди которых можно выделить публикации А.В. Бабаш, С.В. Гайковича, Д.Ю. Гамаюнова, А.В. Душкина, Л.Е. Карпова, И.Р. Конева, В.П. Лося, Ю.Н. Максимова, Н.Г. Милославской, Ю.Б. Михайлова, В.Г. Проскурина, А.А. Тарасова, М.В. Тарасюка, А.Ю. Щеглова и др.

Ряд ученых, такие, как, например, В.И. Васильев, В.А. Герасименко, В.И. Комашинский, С.А. Петренко, Н.Г. Ярушкина и др. решали задачи управления рисками информационной безопасности с использованием теории нечетких множеств. Однако существующие механизмы в подсистемах информационной безопасности не всегда обеспечивают эффективное функционирование, в том числе в связи с тем, что не позволяют динамически перенастраивать механизмы информационной безопасности с учетом воздействия внешних и внутренних факторов.

Исходя из этого, актуальной диссертационного исследования определяется, с одной стороны, объективной необходимостью разработки усовершенствованного подхода к организации функционирования сложных информационно-вычислительных комплексов, учитывающего их недостатки и позволяющего проводить оценку информационной устойчивости с учетом внешних и внутренних воздействий на информационную систему, а, с другой стороны, большой практической значимостью применения такого подхода для обеспечения устойчивости информационной системы в конфликтной среде, что в комплексе и обусловило выбор темы диссертационного исследования и предопределило объект, предмет, цель и задачи работы.

Объект диссертационного исследования – государственные и корпоративные территориально-распределенные информационные системы и комплексы, сетевые структуры в динамике конфликтного взаимодействия.

Предметом исследования являются методы, модели описания и оценки информационных процессов и ресурсов в ходе организации устойчивого функционирования информационных систем, на основе применения информационных технологий в процессах принятия решений в динамике конфликтного взаимодействия организационно-технических систем.

Целью диссертационной работы является разработка научно-методического обеспечения совершенствования организации функционирования информационных систем и комплексов, компьютерных сетей на основе оценки информацион-

ной устойчивости к внешним дестабилизирующим факторам, позволяющего выполнить рациональную настройку подсистемы информационного обмена в ходе реконфигурации информационной системы.

Для достижения поставленной цели в работе поставлены и решены следующие задачи диссертационного исследования, определившие логику исследования и структуру работы в целом:

  1. провести анализ существующих основных факторов конфликтного взаимодействия организационно-технических систем в ходе переработки информации, циркулирующей в контурах принятия решений;

  2. проанализировать существующие методы и средства оценки информационной устойчивости автоматизированных систем в условиях действия дестабилизирующих факторов;

  3. разработать методы и алгоритмы, дающие возможность выработать практические рекомендации по настройке подсистемы информационного обмена на основе адаптивной оценки информационной устойчивости;

4) разработать программные компоненты подсистемы адаптивной оценки
возможности несанкционированного доступа, позволяющие выработать обосно
ванные рекомендации по оптимизации настроек и составу подсистемы информа
ционного обмена в конфликтном взаимодействии организационно-технических
систем;

5) предложить научно-обоснованные рекомендации по совершенствованию
организации функционирования устойчивых информационных систем.

Теоретическую и методологическую основу исследования составляют труды отечественных и зарубежных авторов, посвященные вопросам исследования распределенных информационных систем, направленных на повышение эффективности функционирования информационных технологий, за счет предлагаемых теоретических подходов, разработанных модельно-алгоритмических приложений.

Методы исследования. При решении поставленной задачи были использованы следующие теоретические методы: общенаучные методы познания (анализ, синтез, аналогия, сравнение, сопоставление, обобщение, классификация, систематизация, типизация, моделирование, проектирование и др.); статистические методы (статистический анализ связи между переменными, табличный и графический методы представления исследуемых данных); прогностико-верификационные методы (метод экспертных оценок, публикационный метод, обсуждение в форме конференций и семинаров); элементы теории систем искусственного интеллекта и теории нечетких множеств.

Научная новизна работы заключается в разработке нового подхода комплексной оценки эффективности организации функционирования информационных систем, на основе механизмов адаптивной настройки информационного обмена, устойчивого к деструктивным воздействиям.

В диссертации получены и выносятся на защиту следующие основные результаты, содержащие элементы научной новизны.

1. Предложена концептуальная схема решения задачи оценки эффективности организации функционирования информационных систем, на основе ком-

плексного использования технологий экспертных систем, нейронных сетей, нечеткой логики, рассуждений по методу прецедентов и оценки информационных рисков, позволяющая получать новые сведения об информационной системе с учетом ограничений и требований к отдельным ее подсистемам.

  1. Предложен метод адаптивной настройки механизмов подсистемы информационного обмена в ОТС на основе метода вывода по прецедентам и нейро-нечеткого вывода, а также оценки динамики конфликтного взаимодействия, отличающийся возможностью выработки управляющего воздействия для настройки (перенастройки) механизмов подсистемы информационного обмена, за счет оценки возможности сохранения целостности информационных ресурсов.

  2. Разработан гибридный алгоритм оценки уровня устойчивости и безопасности от несанкционированных действий конфликтующих сторон в ходе их информационного взаимодействия, на основе абдуктивного и нейро-нечеткого вывода и полученных вероятностных оценок его эффективности.

  3. Разработан метод классификации воздействий и инцидентов, оценки информационной устойчивости и выработки управляющих решений при формировании рационального набора средств, для сокращения возможного информационного ущерба, отличительной особенностью которого является организация динамической реконфигурации подсистемы информационного обмена в соответствии с текущими деструктивными воздействиями.

5. Предложена модельно-алгоритмическая процедура на базе комплекса
программ, позволяющая оценивать текущий уровень информационной устойчи
вости в ходе конфликтного взаимодействия и формировать обоснованные реко
мендации для человеко-машинного обмена данными и принятия решений в орга
низационно-технических структурах информационных систем.

Совокупность полученных результатов исследования является решением актуальной научной задачи, направленной на совершенствование механизмов защиты как существующих, так и разрабатываемых компьютерных сетей.

Достоверность полученных результатов подтверждается применением широко известных частных научных результатов, корректностью математического обоснования впервые полученных результатов, сходимостью результатов моделирования с имеющимися экспериментальными данными, ясной физической интерпретацией полученных результатов.

Практическая значимость работы заключается в том, что полученные результаты могут быть использованы для решения задачи повышения эффективности защиты компьютерных сетей с учетом особенностей объекта информатизации. На основе разработанного программного комплекса возможно построение устойчивых компьютерных сетей с учетом изменчивости характера внешних и внутренних деструктивных воздействий.

Апробация работы. Результаты исследования реализованы в АО «Концерн «Системпром» и ФГУП «СТАНДАРТИНФОРМ», а также в научно-исследовательских работах, проводимых на кафедре «Автоматизированные системы обработки информации и управления» ОНЦ «Кибернетика» ФГБОУ ВО «Российский экономический университет имени Г.В. Плеханова» (ФГБОУ ВО

«РЭУ имени Г.В. Плеханова»), используются в учебном процессе при проведении занятий по дисциплине «Методы и алгоритмы поддержки интеллектуальных решений в организационно-технических и экономических информационных системах» указанного университета. Разработанные научно-методические рекомендации могут быть использованы для оценки как уже существующих, так и для построения перспективных подсистем защиты информации.

Основные научные выводы и результаты работы докладывались и получили одобрительную оценку на III-ей научно-практической конференции «Инновационное развитие российской экономики» в 2012 г., IV-ой научно-практической конференции молодых ученых «Инновационное развитие российской экономики» в 2013 г., International Scientific-Practical Conference «Innovative Information Technologies» в 2013 г., International Scientific-Practical Conference «Innovative Information Technologies» в 2014 г., V-ой научно-практической конференции «Интеллектуальные системы в информационном противоборстве в бизнесе» в 2014 г., VIII-ой Международной научно-практической конференции «Информационные и коммуникационные технологии в образовании, науке и производстве» в 2014 г., а также постоянно-действующих научно-технических семинарах Института компьютерных технологий МЭСИ (ныне – ОНЦ «Кибернетика» ФГБОУ ВО «Российский экономический университет имени Г.В. Плеханова») в 2012-2016 гг.

Публикации. Материалы исследований опубликованы в 11 печатных работах общим объемом 8,5 п.л., из которых 6,9 п.л. принадлежат автору, при этом 4 статьи опубликованы в изданиях, рекомендованных ВАК Минобрнауки РФ для опубликования основных результатов диссертационных исследований на соискание ученых степеней доктора и кандидата наук. ФГБУ «Федеральный институт промышленной собственности» (ФГБУ «ФИПС») выдано свидетельство о государственной регистрации программы для ЭВМ № 2014616772 от 3 июля 2014 г.

Структура диссертации. Диссертационная работа состоит из введения, трех глав, заключения и библиографического списка. Общий объем диссертационной работы составил 142 страницы, включает 29 рисунков, 28 таблиц.

Анализ существующих систем обнаружения сетевых вторжений и угроз информационной безопасности

Развитие современного общества характеризуется постоянным ростом использования информационных технологий и систем. К основным тенденциям рынка IT-технологий можно отнести: рост автоматизации и оптимизации бизнес процессов; рост технологий на основе процедур искусственного интеллекта; «расширение линеек мобильных информационных устройств; рост инвестиций в системы информационной безопасности» [163]; расширение серверного обслужи вания организаций, реализованного на облачных технологиях. Важно понимать, что «информационная сфера, как совокупность информации, объектов информа тизации, информационных систем, сайтов информационно телекоммуникационной сети Интернет, сетей связи, информационных техноло гий, субъектов, деятельность которых связана с обработкой информации, ее раз витием и использованием» [2], все чаще становится местом конфронтации поли тических, технологических и экономических интересов, как государств, так и от дельных компаний.

Под информационной системой (ИС) будем понимать [0, 7] «совокупность содержащейся в базах данных информации и обеспечивающей ее обработку информационных технологий и технических средств». Соответственно, «обработка информации – это выполнение любого действия или совокупности действий (операций) с информацией (сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение), совершаемых с заданной целью» [7]. Основной целью информационной технологии (ИТ) является получение необходимой для пользователя выходной информации за счет целенаправленной переработки некоторой первичной информации. Понятие ИТ конкретизировано в [3], это – «процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов».

Наиболее полно представление о видах информационных процессов, технологий, видах обеспечения информационных систем можно получить на примере автоматизированных систем управления. Разработке и внедрению автоматизированных систем управления технологическими процессами (АСУ ТП) посвящено огромное число работ [25, 37, 65, 80, 83, 88, 96, 122, 140, 127, 145 и др.]. АСУ ТП нашли применение и активно используются и развиваются, начиная с 70-х годов ХХ века в промышленности, экономике, обороне страны, системе образования и в других областях народного хозяйства. С появлением сетевых структур, внедрением Интернет-технологий, когда возможными причинами отказов и сбоев в работе оборудования стали не только его техническое состояние, но и действия другой стороны с целью несанкционированного получения информации или ее уничтожения, изменения и т.д. С этим связано обеспечение информационной безопасности как механизма «защиты конфиденциальности, целостности и доступности информации» [14]. Организационные и технические меры защиты информации, реализованные в рамках системы (подсистемы) защиты информации (ПЗИ), например, АСУ ТП, должны быть направлены на: [16]: - исключение неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации); - исключение неправомерного уничтожения или модифицирования информации (обеспечение целостности информации); - исключение неправомерного блокирования информации (обеспечение доступности информации); - обеспечение конфликтной устойчивости (КУ) применения информационных систем к действиям конкурирующей стороны, реализуемой методами и средствами информационной безопасности [112, 113].

В ходе конфликтного взаимодействия может решаться либо задача контроля над определенным типом ресурса (например, информационным), либо задача защиты этого ресурса за счет проведения специальных мероприятий при обеспечении заданной эффективности функционирования защищаемой информационной системы [113]. ИС может быть представлена в виде организационно-технической системы (ОТС), как класса автоматизированных систем, обеспечивающих выработку управляющих решений на основе автоматизированных информационных процессов в различных сферах управления, проектирования, контроля и измерения параметров, предоставления услуг или иной деятельности, осуществляемой человеком [128].

На рис. 1.1 представлена структурная схема взаимодействия основных подсистем (п/с) в АСУ технологическим процессом, выделено место подсистемы защиты информации, включающей несколько уровней безопасности (на рис. 1.1 условно показаны два уровня (цифры 1 и 2)). Применяемые средства защиты информации функционируют таким образом, что «разрешаемые ими виды доступа к ИС должны переводить ее только в безопасное состояние» [65].

Анализ методов и средств оценки устойчивости систем информационной безопасности

Как известно, обнаружение сетевых воздействий связано с анализом большого числа признаков, проведением иерархической и параметрической классификации. Все признаки информационно неравнозначны, могут характеризоваться различными весовыми коэффициентами, причем для уточнения их истинных значений необходимы дополнительные исследования.

Решение современных информационных задач зачастую связано с необходимостью применения различных математических методов оценивания, идентификации, принятия решений и т.д. Для задач синтеза систем информационной безопасности за счет метода иерархической аппроксимации (декомпозиции), который есть суть определенная комбинация математических методов исследования различных процессов [37, 112, 127], целесообразно построить рациональную последовательность взаимоувязанных методов в соответствии с этапами (уровнями) решения задачи обеспечения информационной безопасности системы.

В условиях реального функционирования информационная система должна автоматически выделять признаки и использовать их для решения задачи обнаружения атаки и определения ее типа. В настоящее время существует достаточно большое количество различных технологий защиты компьютерных сетей, основанных на искусственных нейронных сетях (ИНС) и статистическом анализе. К их недостаткам можно отнести уязвимость к новым типам атак, низкую точность и скорость обнаружения (фиксации) дестабилизирующих факторов. В этой связи целесообразно использовать ЦРНС в системе обнаружения атак. ЦРНС является нейросетевым аналогом метода главных компонент (МГК), обеспечивающего эффективное разделение объектов на классы [85].

Главными компонентами выступают «собственные числа , которые пропорциональны величинам дисперсии признаков» [64]. Пространство признаков можно сжать путем любого отбора т собственных чисел, имеющих наибольшее значение. Естественно, всякое сжатие (уменьшение количества собственных чисел) сказывается на точности метода.

МГК состоит в «линейном ортогональном преобразовании» некоторого входного вектора XGR" в выходной вектор уєК" меньшей размерности, т.е. п т [135]. Результирующий вектор у характеризуется наличием некоррелированных компонент, число которых определяется из решения матричного уравнения: Л = ФТ2Ф, (2.1) где Ф - матрица собственных векторов; - ковариационная матрица вектора х; Л - матрица собственных чисел [135]. Требуется сформировать из матрицы Ф подматрицу Фт, состоящую из т наибольших собственных чисел, отражающих наиболее существенные признаки при переходе Rm - і?", что важно для задач классификации, распознавания и др. Выходной вектор описывается выражением [135]: У = Ф» , (2.2) где х = х - х - нормализованный вектор с «математическим ожиданием тх = 0 характеризующий большую часть общей дисперсии и отражающий наиболее существенные изменения (признаки) х» [135].

За счет выбора т первых главных компонент «исходное векторное пространство разбивается на главное» (собственное) «пространство», соответствующее матрице Л из выражения (2.1), которое можно представить в виде кортежа «матриц собственных векторов» [135]: = {Фк};=1 , (2.3) в котором содержатся главные компоненты, и его «ортогональное дополнение»: F = {kL +i «Новая система ортонормированных векторов, полученная на основе нормализации», соответствует новым значениям признаков [64]. МГК может быть эффективно реализован на основе ЦРНС, включающей два слоя нейронов. Первый слой, состоящий из к нейронов, позволяет управлять, например, числом информационных признаков, а второй, содержащий / нейронов, производит селекцию данных. Обучение можно производить любым доступным способом, например, алгоритмами «самоадаптации по правилу Хебба, процедурами обучения Розенблатта» и другим [54].

Для всего множества объектов Р создается единственная нейронная сеть, на которую в случайном порядке подаются описания объектов этого множества. Обучение происходит до тех пор, пока для каждого Ра - образа объекта Р не будет получена его приближенная копия на выходном слое нейронов.

Настройки первого слоя нейронов позволяют получать сжатую до к признаков форму представления любого входного «-мерного объекта.

ЦРНС функционирует следующим образом.

1. Происходит синхронное срабатывание групп нейронов, образующих ансамбль в ходе реализации ассоциативных связей, в результате чего «вероятность дальнейшего одновременного срабатывания нейронов повышается», что объясняется энергетической синхронизацией между нейронами [81].

2. В ходе циклической работы после завершения переходного процесса часть нейронов НС начинают срабатывать последовательно друг за другом в определенной последовательности, переводя НС в устойчивый режим.

3. Параметр потока входных воздействий определяет последовательность срабатывания нейронов в НС.

4. Результатом решения задачи классификации является «факт синхронной работы нейронов», образующих сформированный «нейронный ансамбль» [81].

Аналогичным образом функционирует ЦРНС для классификации угроз и состояний информационной системы. Зачастую выбор адекватных мер противодействия текущим угрозам на информационную систему зависит от квалификации, опыта администратора безопасности и оперативности принятых контрмер. Посредством контроля состояния системы, просмотра специализированных журналов безопасности, администратором ИС формируется заключение о надежности работы подсистемы защиты. Риск несвоевременных или некорректных действий со стороны обслуживающего персонала или администраторов является недопустимым в крупных компаниях и может привести к большим финансовым потерям.

Анализ угроз информационной безопасности показал, что зачастую воздействие угроз изменяет состояние информационной системы, которое может проявляться в изменении ее количественных или качественных показателей.

Процесс изменения состояния информационной системы S может быть представлен кортежем: S = R, Р, К\п, Кш , (2 4) где: R - ресурсы ИС; Р - подсистема защиты ИС; Kf - внутренние связи ИС; К ut - внешние связи ИС. Состояние информационной системы в каждый момент времени может быть представлено вектором переменных x(t). Разделим все множество состояний ИС на множество безопасных состояний D(t) и множество небезопасных состояний N(t) (рис 2.5).

Метод оценки информационных рисков на основе рассуждений по прецедентам

Однако при отсутствии достаточно близкого прецедента в базе знаний эффективность рассуждений на основе прецедентов снижается и приводит к появлению ошибок первого и второго рода.

Для устранения указанных недостатков используют гибридные модели, основанные на применении различных методов искусственного интеллекта. Применение гибридных интеллектуальных систем дает возможность эффективно использовать неформализуемые знания посредством внедрения средств искусственного интеллекта. «Гибридные интеллектуальные системы (ГИС) подразделяются на комбинированные, интегрированные, объединенные, ассоциативные и распределенные» [49, 77, 85, 147]. Главенствующую роль в работе ГИС занимает модуль – интегратор, так как именно он в зависимости от поставленных целей и условий функционирования информационной системы воздействует на те или иные модули ГИС. На рис. 2.13 представлены типы архитектур ГИС. Сочетание подходов на основе нейронных сетей, генетических алгоритмов и других интеллектуальных технологий, позволяет строить более эффективные модели. В настоящее время применение находят следующие виды моделей на основе ГИС [49, 76, 147]: Аналитические модели. Аналитическое моделирование характеризуется описанием функционирования системы алгебраическими, интегродифференци-альными, разностными и другими соотношениями.

Имитационные статистические модели. Направлены на расчет вероятностей возникновениях одних событий по известным вероятностям других. Использование математической статистики позволяет на основе статистических данных принимать решения о характере событий.

Модели на основе экспертных систем. Система искусственного интеллекта – это система, в которой накапливаются знания экспертов в конкретной предметной области в частично формализованном виде. Извлечение знаний и формирование на основе их заключений производится посредством набора правил из БЗ и их обработки в устройстве логического вывода. Особенностью экспертных систем является их способность пояснять, каким образом получено решение.

Модели на основе искусственных нейронных сетей. Это совокупность процессорных элементов, имитирующих работу человеческого нейрона, объединенных взвешенными связями (синапсами). Функционирование нейронной сети происходит по принципу подачи сигнала на входы сети, подстройки матрицы синапсов под требуемый выход и формирование результирующего выходного сигнала.

Модели на основе эволюционных алгоритмов. Данные модели основаны на системах искусственного интеллекта, заимствованных у природы, механизме естественного отбора «выживает сильнейший» и нашли широкое применение при решении сложных комбинаторных задач. Модели на основе нечетких систем. Нечеткие системы оперируют нечеткими множествами и лингвистическими переменными. Отличительной особенностью нечетких систем является использование при выводе нечетких решений, многозадачных функций принадлежности.

Каждый из рассмотренных методов моделирования искусственного интеллекта имеют свои достоинства и недостатки. Применение их гибридизации позволяет получить новые результаты улучшения качества получаемых результатов.

Проведенный анализ систем искусственного интеллекта показал, что для повышения эффективности принятия решений по настройке подсистемы информационной безопасности целесообразно использовать гибридную модель на основе «рассуждений по прецедентам и нейро-нечеткого вывода» [40, 91, 98].

«Достоинством системы нейро-нечеткого вывода является возможность использования нечетких переменных, характеризующих исходные данные» [40] (в нашем случае - параметры, описывающие состояние информационной системы) для решения задачи их классификации.

На основе проведенного анализа разработанной модели оценки информационных рисков методом абдукции предложен гибридный модуль оценки уровня риска и настройки ПИБ (рис. 2.14).

Модель гибридной оценки уровня риска обеспечивает настройку механизмов информационной безопасности в условиях воздействий угроз. Указанный модуль состоит из двух блоков: блок прецедентного вывода, блок нейро-нечеткого вывода. Определение алгоритма Л; (t) для выработки управляющего воздействия по настройке механизмов подсистемы информационной безопасности осуществляется следующим образом. Значения параметров информационной системы с учетом воздействия угроз поступает на вход модуля гибридной оценки уровня риска и настройки ПИБ, результатом функционирования которого является формирование управляющего алгоритма Aj(t).

Структура и функционирование разработанного программного комплекса

На этапах разработки модели производилось тестирование алгоритмов ее работы, как для отдельных блоков вывода по прецедентам и нейро-нечеткого вывода, так и в рамках всей модели в целом. Был произведен отбор пула эвристик для обучения и дальнейшего тестирования разработанной модели. Для этого были использован нейросетевой классификатор компьютерных атак и угроз на основе рециркуляционных нейронных сетей, а также эвристики, отражающие требуемое деление угроз на классы и прецеденты классов для тестирования и отработки алгоритмов оценки рисков с использованием блока вывода по прецедентам.

Кроме того, использованы эвристики, подразделяющие угрозы на классы и используемые для формирования базы правил и дальнейшего обучения нейронной сети. В рамках тестирования на вход разработанной модели подавались тестовые запросы для определения риска воздействия угрозы на информационную систему и дальнейшего поиска мер противодействия.

При тестировании разработанного программного комплекса в реальных условиях программные модули были установлены на рабочие станции одной из подсетей распределенной информационной системы кампании, и проводилось сравнение тестируемых показателей с аналогичной подсетью распределенной информационной системы кампании без предустановленных программных модулей.

Задачей проведенного тестирования было получение количественных показателей эффективности использования разработанного программного комплекса оценки информационных рисков. Результаты тестирования представлены в таблицах 3.2 – 3.4.

На следующем этапе была проведена оценка таких показателей как: коэффициент точности оценки риска воздействия угроз; коэффициент неидентифици-рованных угроз; коэффициент эффективности мер противодействия угрозам.

Результаты испытания № Локальная вычислительная сеть в офисе частного предприятия(1 сервер, 5 рабочих станций) Инструмент 5 типов угроз ИБ 7 угроз ИБ 10 угроз ИБ nth t , с nth t , с nth t , с Разработанный программный комплекс оценки рисков 5 4 7 5 9 5,64 Другие средства оценки рисков 3 6 4 8 7 9,2 Таблица 3.3. Результаты испытания № Локальная вычислительная сеть с выходом в глобальную сеть Интернет(2 сервер, 10 рабочих станций) Инструмент 5 угроз ИБ 7 угроз ИБ 10 угроз ИБ nth t , с nth t , с nth t , с Разработанныйпрограммныйкомплекс оценкирисков 5 8 7 8 10 14 Другие средства оценки рисков 5 10 5 8 7 18 Оценка оперативности функционирования разработанного программного комплекса проведена по следующим показателям: временные затраты на обработку запросов, временные затраты на оценку риска, временные затраты на поиск решения для оптимизации настроек подсистемы защиты, средняя продолжительность обработки запроса.

Инструмент 5 угроз ИБ 7 угроз ИБ 10 угроз ИБ nth t , с nth t , с nth t , с Разработанныйпрограммныйкомплекс оценкирисков 5 8 7 8 10 14 Другие средства оценки рисков 5 10 5 8 7 18 Результаты оценки представленных выше показателей отражены на рис. 3.7. Рис. 3.7. Результаты оценки показателей эффективности разработанной модели Оценка надежности функционирования программного комплекса.

В процессе проведения тестовых испытаний программного комплекса в реальных условиях программных сбоев зафиксировано не было. Длительность проведения тестовых испытаний составила 4 недели (672 часа).

Таким образом, полученные результаты позволяют сделать вывод о том, что разработанный программный комплекс оценки информационных рисков и выра 122 ботки решений по настройке подсистемы защиты обеспечивает требуемые значения отказа устойчивости.

Оценка эффективности разработанного программного средства.

Для оценки эффективности разработанного программного средства по сравнению с существующими средствами оценки информационных рисков использован набор показателей качества и обоснован критерий сравнения. С учетом особенности функционирования программных средств, введен следующий набор их пользовательских характеристик: - nth - число выявленных угроз; - nwr - число выявленных ложных угроз; - t - затраченное время (необходимое время для рассмотрения запроса от ввода исходных данных до вывода результатов оценки).

Для проведения сравнительной оценки эффективности разработанного программного комплекса по сравнению с имеющимися аналогами проведена оценка в различных условиях функционирования (разные типы информационных систем, различные типы угроз и их количество). Результаты сравнения приведены в таблицах 3.2 - 3.4.

Сравнительный анализ разработанного программного комплекса с существующими показал его преимущества.

Для каждого проведенного испытания был проведен расчет обобщенного показателя эффективности соответствующего средства оценки информационных рисков, отражающего среднее значение числа выявленных угроз в единицу времени, по формуле: nsj t(S,i) Проведенные расчеты показали, что количество воздействующих угроз на информационную систему, выявленных разработанным программным средством, превышает количество угроз, выявленных существующими программными средствами на 15-20% для все трех проведенных опытов.

Таким образом, оценка эффективности результатов исследования показала, что применение разработанного подхода позволяет повысить защищенность информационных систем за счет увеличения количества идентифицированных угроз и уменьшения временных затрат на реализацию контрмер.