Содержание к диссертации
Введение
ГЛАВА 1 Анализ проблемы поддержки принятия решений в задачах разработки и оценки систем физической защиты объектов информатизации
1.1 Актуальность проблемы поддержки принятия решений в задачах 30 разработки и оценки систем физической защиты объектов информатизации на основе экспертных знаний
1.2 Проблемные среды экспертных систем. Тип проблемной среды в 37 задачах разработки и оценки систем физической защиты объектов информатизации
1.3 Анализ содержания проблемы разработки и оценки систем физи- 40 ческой защиты объектов информатизации
1.3.1 Общая методология концепции разработки и оценки систем фи- 40 зической защиты объектов информатизации
1.3.2 Оценка эффективности систем физической защиты объектов 53 информатизации
1.4 Системы поддержки принятия решений в задачах разработки и 60
оценки систем физической защиты объектов информатизации
1.4.1 Концепция и ключевые элементы поддержки принятия решений 60 в задачах разработки и оценки систем физической защиты объектов информатизации
1.4.2 Обзор инструментальных средств поддержки принятия реше- 65 ний при анализе и оценке эффективности систем физической защиты объектов
1.5 Анализ возможностей известных подходов к решению вопросов в 68 задачах разработки и оценки систем физической защиты объектов информатизации
1.6 Интеллектуальное моделирование рассуждений проектировщика 71 для формализации качественной экспертной информации при принятии решений в задачах разработки и оценки систем физической защиты
1.7 Цели и задачи исследования 81
ГЛАВА 2 Формализованное описание процессов разработки и оценки систем физической защиты объектов информатизации. учитываемые факторы и ограничения
2.1 Общая характеристика математических процессов (моделей) функционирования систем физической защиты объектов информатизации
2.2 Обоснование показателя качества (требований) к системам физической защиты объектов информатизации
2.3 Формализованное описание модели объекта информатизации на основе DFD-диаграмм
2.4 Математическая модель системы физической защиты на основе теории множеств
2.4.1 Формализованное описание модели системы физической защиты объектов информатизации (описание множеств модели и их соответствий)
2.4.2 Модель функционирования системы физической защиты на основе нечетких соответствий четких множеств
2.4.3 Модель функционирования системы физической защиты на основе нечетких множеств
2.4.4 Метод обработки экспертной информации на основе нечетких гиперграфов
2.5 Выводы 143
ГЛАВА 3 Комплекс методов поддержки принятия решений в задачах разработки и оценки систем физической защиты объектов информатизации в условиях неопределенности
3.1 Метод оценки степени оснащенности объекта информатизации инженерно-техническими средствами охраны
3.2 Метод определения требуемого уровня защищенности объекта информатизации
3.3 Метод определения требуемого уровня возможностей для средств защиты объектов информатизации
3.4 Метод оценки степени структурной защищенности (уязвимости) объекта информатизации
3.5 Метод оценки защищенности объектов информатизации с ис- 188 пользованием нечеткого логического вывода
3.6 Выводы 201
ГЛАВА 4 Основы комплексного интеллектуаль- 204 ного подхода к поддержке принятия решений в задачах разработки и оценки систем физической защиты объектов информатизации
4.1 Обобщенная модель СФЗ как объект интеллектуальной поддержки принятия решений
4.2 Алгоритм оптимального размещения точек контроля на графе объекта информатизации
4.3 Метод определения оптимального уровня возможностей точек контроля через анализ структурной защищенности объекта информатизации
4.4 Метод определения проектных решений для модернизации СФЗ на основе модели «Ситуация – Стратегия управления – Действие»
4.4.1 Методика построения нечеткой ситуационной сети 235
4.4.2 Построение нечеткой ситуационной сети для объекта физической защиты
4.4.3 Поиск стратегии управления методом сжатия нечеткой ситуационной сети
4.5 Выводы 248
ГЛАВА 5 Автоматизированная информационная интеллектуальная система поддержки принятия решений для оценки инженерно-технической защищенности объекта информатизации
5.1 Концептуальная модель оценки инженерно-технической защищенности объекта информатизации
5.2 Состав и реализация информационной интеллектуальной системы поддержки принятия решений
5.2.1 Функциональная схема выбора варианта построения СФЗ
5.2.2 Архитектура интеллектуальной системы поддержки принятия решений для оценки инженерно-технической защищенности объекта информатизации
5.3 Программная подсистема определения требуемого уровня защищенности критических элементов объекта информатизации
5.4 Программная подсистема определения требуемого уровня возможностей инженерно-технических средств охраны критических элементов объекта информатизации
5.5 Программная подсистема определения степени оснащенности инженерно-технических средств охраны критических элементов объекта информатизации
5.6 Программная подсистема определения меры структурной защищенности критических элементов объекта информатизации
5.7 Программная подсистема определения комплексного показателя инженерно-технической защищенности объекта информатизации
5.8 Программная подсистема оптимального размещения точек контроля на объекте информатизации и моделирования структуры СФЗ
5.9 Программная подсистема определения оптимального уровня возможности точек контроля на объекте информатизации и моделирования структуры СФЗ
5.10 Выводы 265
ГЛАВА 6 Анализ вычислительных экспериментов моделирования системы физической защиты объектов и результатов моделирования разработанной системы поддержки принятия решений
6.1 Анализ результатов оценки адекватности моделей инженерно- технической защищенности объекта
6.2 Анализ результатов размещения точек контроля по графовой структуре объекта
6.3 Эффективность применения разработанной ИИСППР для критически важных объектов
6.4 Выводы 304
Заключение 306
Список сокращений и условных обозначений 311
Список литературы
- Анализ содержания проблемы разработки и оценки систем физи- 40 ческой защиты объектов информатизации
- Обоснование показателя качества (требований) к системам физической защиты объектов информатизации
- Метод определения требуемого уровня возможностей для средств защиты объектов информатизации
- Состав и реализация информационной интеллектуальной системы поддержки принятия решений
Анализ содержания проблемы разработки и оценки систем физи- 40 ческой защиты объектов информатизации
Вопросы безопасности критически важных объектов (КВО) в последнее время активно развиваются во всем мире. В рамках работ, проводимых в этой области в России, появился ряд нормативных документов Совета Безопасности РФ и ФСТЭК РФ, подтверждающих важность и актуальность данной проблемы [1–11]. Согласно ГОСТ Р 22.1.12 – 2005 – «КВО – объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени».
Отличительной чертой структуры современных КВО является наличие ОИ, которые для обеспечения управления производственными и технологическими процессами объекта используют АСУ. Проблема информационной безопасности ОИ КВО определяется, с одной стороны, их сложной многокомпонентной структурой, а с другой – особой важностью решаемых ими задач, когда нарушение безопасности функционирования может привести к невосполнимому ущербу и катастрофическим последствиям, что особенно актуально в связи с нарастающими угрозами международного терроризма. Одной из важнейших составляющих технического обеспечения антитеррористической защищенности ОИ КВО являются технические средства и системы безопасности – СФЗ. Современные КВО являются структурно-сложными, распределенными объектами, имеющими большие площадные размеры и значительное число возможных целей или мест, которые могут быть рассмотрены как места наиболее вероятного устремления нарушителей.
К существенным отличительным чертам КВО можно отнести: – на площади объекта могут быть несколько локальных зон, относящихся к потенциально опасным объектам; – на некотором расстоянии от периметра основного объекта могут находиться периферийные объекты (например, цех товарно-сырьевого производства), вывод из строя которых может повлиять на результаты производственной деятельности основного объекта (например, нефтеперерабатывающий завод); – технологический и производственный процессы очень сложны, многообразны, структурно разбросаны по периметру объекта и за его пределы, что накладывает определенные ограничения на организацию системы безопасности; – периметр объекта может не иметь замкнутой формы или иметь сложную конфигурацию;
– тактика охраны таких объектов является не заградительной (локально-заградительной).
Углубленный анализ статистических данных происшествий, в частности проникновение на охраняемый объект (не обнаружение факта нарушения границы объекта, ложное срабатывание средства обнаружения, причинами которых могло быть неправильная организация физической защиты объекта; несвоевременное и неправильное принятие решений по пресечению проникновения на охраняемый объект или отражению и задержанию лиц, проникших на охраняемую территорию), показал, что этого можно было бы избежать при условии принятия своевременных и правильных управляющих решений на этапе разработки и оценки СФЗ.
В настоящее время накоплен достаточно большой теоретический и практический опыт в разработке СФЗ малых и средних объектов, не нуждающихся в повышенных мерах безопасности: разработка нормативной документации в области обеспечения безопасности; разработка оптимальных структур СФЗ; математических моделей функционирования систем безопасности; математических моделей уязвимости объектов; математических моделей нарушителей и т.д. Однако мало остаются исследованы вопросы ППР при разработке СФЗ в задачах охраны КВО как структурно сложных и наиболее уязвимых по отношению к внешней среде и поэтому требующих повышенных мер безопасности.
В результате системного анализа схем организации охраны объектов различных групп сложности выявлено наличие критической массы противоречий в процессе создания СФЗ объекта (рис. 1.1), ярким проявлением которых может быть огромный ущерб, причиненный, например, вследствие совершения теракта на КВО.
Установлено резкое увеличение значимости процесса ППР в задачах разработки и оценки СФЗ объекта.
В технологической цепи разработки и оценки СФЗ наиболее весомым звеном становится технология принятия решений, включающая в себя мониторинг объекта с целью уточнения задач СФЗ, проектирование СФЗ, оценку СФЗ и выработку решений о достаточности мер по защите объекта.
В результате анализа основных направлений повышения эффективности разработки и оценки СФЗ установлено, что их можно разбить на две глобальные группы: организационное направление, связанное с разработкой законодательных документов, и концептуально-техническое направление, связанное с анализом уязвимости объекта и существующей СФЗ, разработкой принципов физической защиты объекта и технико-экономического обоснования создания СФЗ, наиболее значимой среди которых становится автоматизация процессов ППР.
Заключительным этапом синтеза СФЗ является определение характеристик ее подсистем, которые могут быть сведены к числовым параметрам (например, вероятность обнаружения, число телекамер, численность и время развертывания сил охраны и т.д.). Это позволяет применить известные подходы, основу которых составляют аналитические и вероятностные модели.
Обоснование показателя качества (требований) к системам физической защиты объектов информатизации
Универсальное множество «Зоны объекта» – Y. Содержит все существующие непересекающиеся области объекта. Нечеткое множество Y = {(y, Y(y))}, где y є Y, соответствует нечеткому понятию «Защищаемые зоны объекта». В это множество могут входить нечеткие переменные: материальный склад, административное здание, компрессорная и т.п.
Величина Y(y) означает степень принадлежности зоны множеству защищаемых зон или степень необходимости защищать данную зону объекта.
Множество «Интегральные потери». Универсальное множество «Категории объекта» – Q. Содержит набор категорий по возможным потерям. Нечеткое множество Q = {(q, Q(q))}, где q є Q, соответствует нечеткому понятию «Интегральные потери». В это множество могут входить нечеткие переменные: потери низкие, средние, высокие.
Величина Q(q) означает степень требуемой защиты для зоны объекта с таким уровнем интегральных потерь. Показывает, насколько хорошо надо защищать зону, в которой возможны указанные потери.
Множество «Средства обеспечения физической безопасности объекта». Универсальное множество «Средства обеспечения комплексной безопасности объекта» – Z. Содержит все существующие виды средств защиты, которые выполняют функцию полной или частичной блокировки угроз. Нечеткое множество Z = {(z, Z(z))}, где z є Z, соответствует нечеткому понятию «Средства обеспечения физической безопасности объекта». В это множество могут входить нечеткие переменные: СКД, СТН, СОС, ФБ, СО.
Величина Z(z) означает степень принадлежности к множеству средств обеспечения физической безопасности объекта. Другими словами, насколько предложенное средство защиты предпочтительно для включения в состав СФЗ объекта.
Множество «Степень противодействия».
Универсальное множество «Эффективность средств защиты» – G. Содержит набор уровней противодействия различным типам угроз. Нечеткое множество G = {(g, G(g))}, где g є G, соответствует нечеткому понятию «Степень противодействия». В это множество могут входить нечеткие переменные: степень противодействия низкая, средняя, высокая.
Величина G(g) означает уровень необходимости присутствия в СФЗ средства защиты с выбранной степенью противодействия. Показывает, насколько данная степень противодействия желательна для устанавливаемого на объекте элемента СФЗ.
Множество «Допустимые затраты на приобретение средств защиты». Универсальное множество «Затраты на приобретение средств защиты» – S. Содержит все возможные уровни затрат, требуемые на приобретение и установку различных средств защиты. Нечеткое множество S = {(s, S(s))}, где s є S, соответствует нечеткому понятию «Допустимые затраты на приобретение средств защиты». В это множество могут входить нечеткие переменные: затраты низкие, средние, высокие.
Величина S(s) означает степень необходимости наличия в СФЗ средства защиты с таким уровнем затрат. Показывает, насколько желательно (выгодно) использовать элемент СФЗ с данным уровнем затрат.
Далее опишем соответствия нечетких множеств модели. физической безопасности объекта» X , определяющееся нечетким множеством O1, базовое множество которого Z X.
Функция принадлежности O1(zk, xi) будет указывать уровень необходимости использования каждого средства защиты против каждого вида угрозы. При этом O1(zk, xi) 0 означает, что средство защиты бесполезно против данной угрозы, а O1(zk, xi) 1 – против угрозы необходимо использовать данное средство защиты.
Соответствие множества «Умышленные угрозы физической безопасности объекта» X множеству «Защищаемые зоны объекта»Y , определяющееся нечет- ким множеством O2 , базовое множество которого X Y.
Функция принадлежности O2(xi, yj) будет указывать уровень вероятности возникновения каждой угрозы в каждой зоне: O2(xi, yj) 0 означает, что вероятность низка, следовательно, указанную зону не требуется защищать от данной угрозы; O2(xi, yj) 1 – угроза возникнет практически обязательно, зона должна быть защищена от данной угрозы как можно лучше.
Функция принадлежности O3 (zk, yj) будет указывать, насколько желательно каждую зону объекта защищать выбранным элементом СФЗ: O3(zk, yj) 0 означает, что средство защиты абсолютно не требуется в данной зоне; O3(zk, yj) 1 – средство защиты установить совершенно необходимо.
Следующие соответствия будут являться отображениями, для каждого элемента первого множества должен быть определен только один элемент второго множества.
Соответствие множества «Умышленные угрозы физической безопасности объекта» X множеству «Политическая обстановка в регионе объекта» T , опреде- ляющееся нечетким множеством O4 , базовое множество которого X T.
Функция принадлежности O4(xi, te) будет указывать уровень вероятности каждого вида угрозы при различных уровнях напряженности политической обстановки: O4(xi, te) 0 означает, что угроза практически отсутствует при таком уровне напряженности обстановки; O4(xi, te) 1 – угроза возникнет почти обязательно.
Метод определения требуемого уровня возможностей для средств защиты объектов информатизации
Как было указано выше, под СФЗ понимается совокупность людей, процедур и оборудования (инженерно-технических, сигнализационных, программно-аппаратных и иных средств) для защиты имущества или объектов от хищений, диверсий и других неправомерных действий, позволяющая на заданном уровне осуществлять создание трудностей, ограничение возможностей и увеличение времени проникновения нарушителя на объект охраны [116].
Из определения видно, что СФЗ строится на базе широкого применения инженерно-технических решений, программно-аппаратных средств и, как правило, содержит следующие составные части [132]: вспомогательные системы (освещения, аварийного питания и т.д.). Основу проектирования СФЗ составляет математическая модель объекта, методика построения которой рассматривается в главе 2. Однако для того, чтобы абстрагироваться от физической природы источника событий, которые составляют входную информацию для систем, входящих в СФЗ, необходимо построить так называемую модель технических средств защиты S – модель, в которой определить следующие логические понятия – ТК. ТК – это часть структурно-логической модели комплекса ИТСО объекта, влияющая на защищенность одного КЭ. Физически каждая ТК может включать в себя несколько ИТСО, выполняющих одну общую функцию. Определим типы ТК, разделив их по выполняемым функциям: точка обнаружения (ТО) – это логическая часть модели объекта, которой соответствует один или несколько элементов физической части, описывающих конкретные устройства обнаружения (например, датчики движения сейсмический, инфракрасный и т.п.) как совокупность программно-технических средств, с помощью которых выполняется функция обнаружения нарушителя при несанкционированном проникновении в зону защиты [131; 132]; точка доступа (ТД) – это логическая часть модели объекта, которой соответствует один или несколько элементов физической части, описывающих конкретные устройства контроля доступа (системы контроля и управления доступом (СКУД) различной оснащенности, например турникет или шлюзовая камера) как совокупность программно-технических средств, с помощью которых выполняется функция контроля прохода через зону защиты путем идентификации личности; точка видеонаблюдения (ТВ) – это логическая часть модели объекта, которой соответствует один или несколько элементов физической части, описывающие конкретные устройства видеонаблюдения (например, камеры, мониторы, оборудование для хранения видеозаписей и т.п.) как совокупность программно-технических средств, с помощью которых выполняется функция визуальной оценки обстановки в зоне защиты; точка задержки (ТЗ) – это логическая часть модели объекта, которой соответствует один или несколько элементов физической части, описывающих конкретные устройства задержки (например, различного рода физические барьеры, усиленные двери, в том числе электронные замки, использующие карту-ключ или управляемые дистанционно с пульта охраны, и т.п.) как совокупность программно-технических средств, с помощью которых выполняется функция предотвращения несанкционированного прохода через зону защиты.
Каждое из установленных средств защиты вносит различный вклад в ИТЗ объекта Pитз, которая в свою очередь и определяет своевременность прибытия сил охраны к КЭ объекта.
Следовательно, необходимо использовать понятие значимости для типов средств защиты. Значимость средства защиты должна определяться для базовой модели нарушителя.
Выбор критериев значимости для того или иного средства защиты довольно сложная и трудоемкая процедура, от их качества и полноты зависит правильность будущих решений. Проблема заключается в том, что в настоящее время практически отсутствует систематизация и унификация существующего методического и терминологического аппарата (например, нет единых государственных стандартов) в данной области. Так, выбор конкретного средства обнаружения (его значимость, приоритет над остальными) основывается на соответствии его тактико-технических характеристик особенностям объекта и условиям применения, и это не весь перечень характеристик (критериев). Сюда можно добавить экономические критерии (затраты на изготовление, монтаж, эксплуатацию и т.д.), антропологические (эргономичность, безопасность, экология и т.д.). Ну и, безусловно, нельзя сравнивать средства защиты относящиеся к различным классам и подклассам.
На основании открытых опубликованных данных невозможно провести полный анализ и сравнить все методики в пользу выбора того или иного средства защиты [131; 132]. Но, тем не менее, можно с полной уверенностью сказать, что значимость технических решений по оборудованию периметра техническими средствами охраны важнее системы тревожного освещения [86]. Используем следующие критерии, которые зависят от вида ТК:
1) ТО – типы средств защиты с первого по m1 (k = 1 … m1): – уровень возможностей по обнаружению по сравнению с другими доступными для использования на данном объекте устройствами обнаружения (диапазон значений [0, 1]: 0 – устройство с наименьшими возможностями обнаружения, 1 – с наибольшими); – уровень возможностей по обнаружению с учетом модели нарушителя данного КЭ (диапазон значений [0, 1]: 0 – устройство с наименьшими возможностями обнаружения указанного типа нарушителя, 1 – с наибольшими); – уровень наработки на ложное срабатывание (среднее время работы до момента включения сигнала тревоги при отсутствии несанкционированного проникновения) по сравнению с другими устройствами обнаружения (диапазон значений [0, 1]: 0 – устройство с наименьшей наработкой на ложное срабатывание, 1 – с наибольшей); – уровень противодействия негативному воздействию условий окружающей среды по сравнению с другими устройствами обнаружения (ограничения на область применения, например магнитометрический датчик, подверженный действию электромагнитных помех, неэффективен вблизи электрифицированной железной дороги и т.п., диапазон значений [0,1]: 0 – устройство наименее пригодное для использования в данных условиях, 1 – наиболее пригодное).
Состав и реализация информационной интеллектуальной системы поддержки принятия решений
Используемые части целевой функции противоречат друг другу. Очевидно, что снижение недостатка ТК в защите КЭ влечет за собой повышение общего числа ТК и наоборот. Это нормальное явление для задач оптимизации, но для получения лучшего решения может понадобиться «смещение» в сторону более «тщательного» соблюдения условий одной из частей функций. Поясним на примере текущей задачи. В процессе работы ГА создаются все более и более лучшие решения. В качестве лучших с большей вероятностью выбираются те, у которых обе части целевой функции показывают наибольшую и, как следствие, приблизительно равную эффективность. Но эта эффективность не «равноценна», т. к. даже небольшая нехватка ТК означает, что объект не защищен и решение непригодно, а небольшое превышение общего количества ТК над «оптимальным», влечет только дополнительные материальные затраты. Очевидно, что искомое оптимальное решение должно показывать большую эффективность по первой части целевой функции. Тогда необходимо, чтобы решения, получаемые в процессе работы алгоритма, также обладали этим свойством. Эксперименты показали (глава 6), что оптимальное решение (с нулевой нехваткой ТК) не обладает достаточной эффективностью для «выживания».
Данная проблема устранена введением в задачу понятия «уровень влияния части целевой функции». Два числа (А, В), соотношение которых задает превышение значения одной части целевой функции над другой, участвуют в расчете эффективности хромосомы: {) = ((А,-) А + 2(А,-) В) / (А + В).
Таким образом, уровень влияния первой части функции равен A I (A + B), а второй - B I {A + B). В случае равенства уровней влияния ( A = B), формула вырождается в вышеописанную: (hi) = (i(hi) + i(h$) 12.
Чем больше разница между числами, тем сильнее одна часть целевой функции влияет на эффективность хромосомы (и на получаемые решения). При равенстве одного числа 0 часть целевой функции исключается из задачи, что можно использовать при анализе работоспособности алгоритма (глава 6).
В итоге каждой хромосоме присваивается вероятность воспроизведения Pi для получения следующей популяции, которая зависит от эффективности (hi) данной хромосомы. Используем пропорциональный отбор:
Используем размер родительского пула, равный общему числу хромосом в популяции. Так как для каждой хромосомы пула будет получен один потомок, то количество новых хромосом совпадет с общим размером популяции. В итоге все хромосомы будут заменены на новые.
Далее среди хромосом новой популяции запускается механизм мутации. С заданной вероятностью случайным образом выбираются хромосома, ген и одна из четырех частей гена, отвечающая за количество ТК конкретного типа. Например, в хромосоме выбран четвертый ген XД4, XО4, XВ4, XЗ4 и второй тип ТК: XО4. Число XО4 «мутирует» следующим образом: случайно выбирается операция XО4 = XО4 + 1 или XО4 = XО4 – 1; далее проверяются ограничения XО4 = XО4 min, и XО4 = XО4 max. Если ограничения не нарушены, проведенная мутация сохраняется в хромосоме.
После проведения кроссинговера и мутаций новая популяция полностью заменяет собой старую, и весь процесс повторяется, начиная с оценки хромосом. После оценки необходимо принять решение об остановке работы ГА. В идеале остановка должна производиться после получения оптимального решения, однако доказать оптимальность решения можно только для специально заданных (упрощенных) исходных данных (глава 6). Любые другие критерии остановки также могут подбираться лишь интуитивно, т. к. зависят не только от исходных данных, но и от случайных процессов, использующихся в алгоритме.
Последний шаг – выбор среди хромосом решения с набольшим соответствием целевым функциям. После расшифровки информации в хромосоме получаем окончательное решение задачи в виде наборов ТК в каждом участке объекта защиты.
Пример. Для решения использовалась программа, созданная авторами. Рассматривался модельный объект, описанный в главе 2, рисунок 2.8 и рисунок 3.2, глава 3. Первые десять зон являются КЭ. Точками проникновения нарушителей определили все три КПП и запретную зону защитного периметра – зоны № 11, № 12, № 13, № 17. В таблице 4.5 перечислены зоны объекта (вершины графа), рубежи (ребра графа) и для всех рубежей и зон заданы ограничения на количество ТК. В таблице 4.6 заданы требования по наборам ТК в каждом КЭ.
