Введение к работе
Актуальность темы. Широкое внедрение новых информационных технологий (ИТ) в процесс управления государством и бизнесом определяет особую актуальность создания подходов к надежному комплексному обеспечению информационной безопасности (ИБ) автоматизированных систем (АС) органов государственной власти и коммерческих структур. Если качество защиты информации рассматривается с точки зрения рисков, то реализация таких подходов в настоящее время возможна путем создания систем защиты информации (СЗИ), важнейшим признаком которых является наличие управления рисками ИБ АС. Необходимость управления рисками ИБ АС обусловлена, прежде всего, тем, что угрозы, вызванные постоянным развитием ИТ во всем мире, появляются и изменяются так быстро, что специалисты по ИБ не успевают адекватно реагировать на них, создавая и применяя новые методы и средства защиты информации (СрЗИ).
Целью процесса управления рисками является принятие и реализация таких управленческих решений, чтобы в течение заданного времени функционирования АС уровень остаточного риска соответствовал бы требуемому, а выделенные для этих целей ресурсы расходовались бы наиболее рациональным способом. Однако принятие решений на различных этапах процесса управления рисками ИБ АС характеризуется неполнотой и нечеткостью исходной информации, обусловленной, прежде всего, тем, что, с одной стороны, цели и поступки злоумышленника, от возможных действий которого и строится защита, точно неизвестны, а с другой стороны - противоположны действиям защищающейся стороны.
Управление рисками - типично оптимизационная задача, сводящаяся, по своей сути, к задаче оптимального выбора комплекса мер и СрЗИ. Существует довольно много попыток решать ее классическими методами математического программирования. Принципиальная трудность в реализации такого подхода состоит в неточности исходных данных, множественности требований к СЗИ и АС, неопределенности условий функционирования и сложности СЗИ и АС, наличии человеческого фактора. Совокупность указанных и многих других факторов обусловливает необходимость математической формализации задачи синтеза СЗИ для управления рисками ИБ АС в виде многокритериальной задачи нечеткого математического программирования.
Актуальность темы выполненного исследования обусловлена необходимостью разработки многокритериальных моделей и алгоритмов управления рисками ИБ АС, проводимого с учетом неполноты и неопределенности исходных данных, а также необходимости использования качественных оценок, обеспечивая тем самым повышение обоснованности и эффективности принимаемых решений.
Работа выполнена в соответствии с одним из научных направлений ГОУВПО «Воронежский государственный технический университет» «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема обработки и защиты информации».
Объект исследований. Процесс управления рисками ИБ АС.
Предмет исследований. Математические модели и алгоритмы управления рисками ИБ АС.
Целью работы является разработка многокритериальных моделей и алгоритмов управления рисками ИБ, обеспечивающих в течение заданного времени функционирования АС требуемый уровень остаточного риска при рациональном расходовании выделенных для этих целей ресурсов.
Основные задачи исследования:
- математическая формализация задачи многокритериального
синтеза СЗИ, позволяющая проводить априорную оценку эффективности
стратегий управления рисками ИБ АС в условиях нестатистической
неопределенности;
разработка комплекса динамических моделей оценки и управления рисками ИБ АС в условиях нестатистической неопределенности;
разработка нечетких моделей многокритериального выбора мер и СрЗИ в случае допустимости «люфта» в числовых и лингвистических оценках критериального соответствия заданным требованиям;
разработка комплекса алгоритмов синтеза СЗИ и рационального распределения ресурсов, обеспечивающих априорную оценку и выбор эффективных стратегий управления рисками ИБ АС.
Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в диссертации, обеспечивается: строгим обоснованием основных теоретических положений и утверждений; проверкой непротиворечивости отдельных результатов диссертации результатам, полученных другими методами и подтвержденных практикой; апробацией результатов в печати, в государственных и коммерческих организациях.
Методы исследования. В работе использованы методы системного анализа, теории нечетких множеств и нечеткой логики, теории информационной безопасности, теории многокритериальной оптимизации и принятия решений.
Научная новизна результатов исследования заключается в следующем:
- впервые задача синтеза СЗИ математически формализована в виде
многокритериальной задачи нечеткого математического
программирования, отличающейся учетом влияния частных показателей
СЗИ на частные показатели функционирования АС и обобщающей
известные в литературе постановки аналогичных задач;
разработан комплекс динамических моделей оценки и управления рисками ИБ АС, отличающийся тем, что предполагает обработку нечетких данных, а не повышение точности исходных данных, и позволяет использовать оценки в форме нечетких чисел или качественные лингвистические оценки;
разработаны нечеткие модели многокритериального выбора мер и СрЗИ в случае допустимости «люфта» в числовых и лингвистических оценках критериального соответствия заданным требованиям, отличающиеся использованием новой операции - геометрической проекции (ГП) нечетких множеств;
разработан комплекс алгоритмов синтеза СЗИ и рационального распределения ресурсов на обеспечение ИБ АС, повышающий обоснованность принятия решений по априорному выбору эффективных стратегий управления рисками в условиях неопределенности.
Практическая значимость работы. Полученные результаты исследования использованы в процессе разработки, внедрения и эксплуатации СЗИ для ряда АС информационного обслуживания ЗАО «Воронежстальмост». Практическая апробация и использование в рамках конкретных АС полученных в ходе исследования результатов подтверждено соответствующим документом. Кроме того, разработанное методическое обеспечение внедрено в учебный процесс ГОУВПО «Воронежский государственный технический университет», что подтверждено соответствующим актом. Программное обеспечение для решения задач управления рисками ИБ АС зарегистрировано в Государственном фонде алгоритмов и программ.
Основные положения, выносимые на защиту:
- нечеткая многокритериальная математическая модель задачи
синтеза СЗИ, позволяющая проводить оценку и выбор эффективных
стратегий управления рисками ИБ АС, а также учитывающая
одновременно качественные показатели СЗИ и качественные показатели
АС и обобщающая известные в литературе постановки аналогичных задач;
- комплекс динамических моделей оценки и управления рисками ИБ
АС, построенный на основе метода парных сравнений, нечеткой модели
идентификации нелинейных зависимостей нечеткими базами знаний (НБЗ),
модели ситуационного управления;
- нечеткие модели многокритериального выбора мер и СрЗИ в
случае допустимости «люфта» в числовых и лингвистических оценках
критериального соответствия, использующие операцию ГП нечетких
множеств;
- комплекс алгоритмов синтеза СЗИ и рационального распределения
ресурсов на обеспечение ИБ АС, повышающий обоснованность принятия
решений по выбору эффективных стратегий управления рисками.
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях: Международных научно-технических конференциях «Кибернетика и технологии XXI века» (Воронеж, 2003 - 2008); Региональной научной конференции молодых ученых «Юниор Инфо-Софети» (Воронеж, 2004); Всероссийских конференциях «Информационные технологии» (Воронеж, 2005), «Интеллектуальные информационные системы» (Воронеж, 2006).
Публикации. Основные результаты диссертационной работы опубликованы в 28 научных работах, в том числе 2 - в изданиях, рекомендованных ВАК РФ. В работах, опубликованньк в соавторстве и приведенных в конце автореферата, лично соискателю принадлежат: [1] -модели и алгоритмы ранжирования рисков, [3,4] - модели оценки и выбора СрЗИ и СЗИ, [7] - методика использования аппарата нечеткой логики для оценки рисков, [8] - алгоритм оценки относительных весов опасностей рисков, [15 -19] - разработка соответствующих алгоритмов и программ, [20] - модель и алгоритм выбора мер и СрЗИ, [22] - методика построения нечетких моделей.
Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы из 144 наименований и двух приложений. Основная часть работы изложена на 160 страницах, содержит 23 рисунка и 11 таблиц.