Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Переход к интенсивным способам защиты информации

В различного рода энциклопедических изданиях понятие «интенсивный» определяется как напряженный, усиленный, имеющий высокую производительность. В соответствии с этим интенсификацию можно определить как усиление, увеличение напряженности, производительности, действенности. В 70-е – 80-е годы прошлого века данный термин активно применялся в СССР по отношению к индустриальному производству. В этом случае интенсификация конкретизируется как развитие производства на основе применения все более эффективных средств и технологических процессов, использования передовых методов организации труда, достижений научно-технического прогресса. Альтернативным интенсивному способу является способ экстенсивный, при котором рост объема производства достигается за счет количественного увеличения вовлекаемых в производство ресурсов без качественных изменений производственных процессов.

Приведенные выше общие положения довольно характерны и для процессов, происходящих в последнее время в области защиты информации. При этом преобладавший до недавнего прошлого подход к защите информации, который условно может быть назван экстенсивным, в его чистом виде означает независимую организацию защиты на каждом объекте информатизации. Интенсивный же подход, являющийся предметом нашего рассмотрения, предполагает организацию защиты информации в соответствии с некоторой единой, научно обоснованной концепцией в масштабах региона и государства в целом.

Короче говоря, в развернутом виде переход к интенсивным способам защиты означает целенаправленную реализацию всех достижений теории и практики, которые в концентрированном виде отражены в унифицированной концепции защиты информации (УКЗИ). Данная концепция достаточно подробно изложена в работах профессора В.А.Герасименко (например, [15]) и развита автором данной монографии в ряде работ [18,19 и др.], выполненных в 2000 – 2005 годах. С сегодняшних позиций можно выделить ряд основных положений УКЗИ, практическая реализация которых и будет означать переход к интенсивным способам защиты информации. Рассмотрим их более подробно.

1) Структурированное описание среды защиты. Такое описание представляет структуру защищаемого объекта или системы и применяемую технологию обработки информации в виде направленного графа, вершины которого отображают структурные компоненты объекта (системы), а дуги – направления циркуляции информации в процессе их функционирования. При этом удобно в целях унификации методов такого представления структуры объекта или системы ввести понятия типового структурного компонента и его типового состояния.

2) Количественный анализ (хотя бы приближенный, оценочный, рамочный) степени уязвимости информации. Такой анализ необходим, прежде всего, для возможно более объективной оценки реальных угроз информации и необходимых усилий и расходов на ее защиту. Представляется, что при нынешних масштабах работ по защите информации суммарный эффект от оптимизации расходов на защиту будет огромным. В основах теории защиты информации (см., например, [20–26]) разработана довольно развитая методология оценки уязвимости информации, состоящая из трех элементов: системы показателей уязвимости, системы угроз информации и системы моделей определения текущих и прогнозирования ожидаемых значений показателей уязвимости. Эта методология создает объективные предпосылки для научно обоснованного решения данной задачи. Однако практическая реализация разработанной методологии сопряжена с преодолением значительных трудностей, связанных с формированием баз исходных данных, необходимых для моделей оценки уязвимости. Подходы к преодолению этих трудностей мы попытаемся осветить ниже.

3) Научно обоснованное определение (причем, желательно в количественном выражении) требуемого уровня защиты. Трудности решения этой задачи связаны с тем, что на уровень защиты информации на конкретных объектах в конкретных условиях их функционирования оказывает влияние большое количество разноплановых факторов. В силу этого в настоящее время требуемый уровень защиты оценивается только качественно. В [4] рассмотрен подход к более объективному определению требуемого уровня защиты, основанный на структуризации влияющих на него факторов, и их количественных оценках, которые определяются экспертным путем. Можно предположить, что опора на эту методику позволит повысить уровень обоснованности требований, предъявляемых к системе защиты информации.

Таким образом, интенсификация процессов защиты информации на основе единой унифицированной методологии, должна, в конечном счете, обеспечить построение оптимальных систем защиты с количественными оценками получаемых решений. При этом оптимизация систем защиты понимается нами в одной из следующих постановок: первая – при имеющихся ресурсах, выделенных на защиту, обеспечить максимально возможный уровень защиты информации; вторая – обеспечить требуемый уровень защиты информации при минимальном расходовании ресурсов. Для достижения указанных целей в упоминавшейся выше УКЗИ предложен кортеж концептуальных решений, представляющий собой следующую последовательность: функции защиты – задачи защиты – средства защиты – система защиты.

Приведем определен6ия этих элементов кортежа.

Функция защиты – совокупность однородных в функциональном отношении мероприятий, регулярно осуществляемых в автоматизированной системе различными способами и методами, с целью создания, поддержания и обеспечения условий, объективно необходимых для надежной защиты информации.

Задача защиты – организованные возможности средств, методов и мероприятий, осуществляемых в автоматизированной системе с целью полной или частичной реализации одной или нескольких функций защиты.

Система зашиты – организованная совокупность всех средств, методов и мероприятий, выделяемых (предусмотриваемых) в автоматизированной системе для решения в ней выбранных задач защиты.

Кортеж концептуальных решений создает основу для синтеза оптимальных систем защиты информации с количественными оценками достигаемого уровня защиты. Детальное рассмотрение взаимодействия компонентов кортежа было проведено в упоминавшейся выше книге [4]. В конспективном виде оно сводится к следующему.

1. По требуемому уровню защиты информации определяется требуемый уровень надежного осуществления каждой из полного множества функций защиты.

2. Из всех потенциально возможных наборов задач защиты выбираются те, которые обеспечивают требуемый уровень надежного осуществления каждой из функций наименьшим числом решаемых задач.

3. Из всех потенциально возможных наборов средств защиты выбираются те, которые обеспечивают решение всех выбранных на предыдущем этапе задач защиты при минимальном расходовании ресурсов.

4. Все выбранные средства защиты информации объединяются в единую систему защиты по всем канонам построения систем организационно-технологического типа.

Рассмотрим теперь более подробно проблемы, связанные с преодолением трудностей, возникающих при практической реализации приведенного кортежа концептуальных решений по защите информации.

Наиболее серьезной проблемой здесь является формирование баз исходных данных, необходимых для реализации моделей систем и процессов защиты информации, используемых в УКЗИ. Задача эта весьма трудоемкая, да к тому же не может быть решена на основе формальных методов.

О трудоемкости задачи можно судить хотя бы по количеству данных, которые надо определять. Так, для реализации самых простых моделей оценки уязвимости информации необходимо знать вероятность доступа нарушителей различных категорий в различные зоны объекта защиты, вероятность проявления в этих зонах различных каналов несанкционированного получения информации (КНПИ) к тому же в различных структурных компонентах защищаемого объекта, вероятность доступа нарушителей различных категорий, находящихся в зоне, к проявившимся там КНПИ, вероятность наличия в проявившемся КНПИ защищаемой информации в момент доступа к нему нарушителя. Если учесть, например, что по расчетам профессора В.А.Герасименко, приведенным в [4], число категорий потенциальных нарушителей может быть ограничено 10, число зон злоумышленных действий при использовании пятирубежной модели защиты составляет соответственно 5, число типовых структурных компонентов в большинстве случаев не превышает 25, а КНПИ – 100, то общее число необходимых исходных данных составит N = 10 × 5 + 100 × 25 + 100 × 10 + 100 × 25 = 6050.

Определение требуемого уровня защиты информации должно также учитывать показатели важности каждого влияющего на него фактора. В [4] было выделено 67 таких факторов, объединенных в 5 групп по характеру их происхождения, характеру обрабатываемой информации, технологии ее обработки, архитектуре объекта защиты, условиям его функционирования и организации работы.

Трудности формирования указанных баз исходных данных помимо большого их объема усугубляются еще и весьма высоким уровнем неопределенности, связанной с непредсказуемостью поведения злоумышленников. Исследования данного аспекта проблемы в процессе формирования теории защиты информации на сегодняшний день привели нас к выводу, что единственным возможным решением задачи формирования исходных данных является применение методов экспертных оценок, мозгового штурма и психоинтеллектуальной генерации. Таким образом, мы приходим к безальтернативному выводу о том, что интенсификация процессов защиты информации предполагает широкое использование неформально-эвристических методов.

Однако эффективность указанных методов существенно зависит от представительности выборок, на которых они реализуются. Кроме того, непрерывное изменение условий защиты, постоянный рост возможностей злоумышленного доступа к защищаемой информации, а также совершенствование методов ее защиты требуют того, чтобы экспертные оценки были не просто перманентными, а практически непрерывными. Этого можно достичь лишь при наличии стройной и целенаправленной организации системы сопровождения работ по защите информации. Наиболее полным и наиболее адекватным решением этой проблемы было бы создание сети специализированных центров защиты информации (ЦЗИ), аккумулирующих все новейшие достижения в области защиты и специализирующихся на формировании научно-методологического и инструментального базиса решения соответствующих задач на интенсивной основе (включая и базы необходимых исходных данных). Концепция создания и организации работы ЦЗИ к настоящему времени разработана нами достаточно полно, наиболее детально она изложена в [27,28]. В соответствии с этой концепцией в настоящее время в системе высшей школы уже созданы 29 региональных учебно-научных центров.

Как ясно из предыдущего изложения, одной из весьма важных функций ЦЗИ должна стать непрерывно проводимая экспертиза в целях формирования баз исходных данных для моделирования процессов защиты информации. Формами экспертизы могут быть:

обследование конкретных объектов, являющихся абонентами соответствующего ЦЗИ;

непрерывное наблюдение за процессами функционирования действующих систем защиты информации;

традиционные экспертные оценки;

организация сеансов мозгового штурма;

организация сеансов психоинтеллектуальной генерации.

В качестве экспертов могут выступать сотрудники ЦЗИ (которые по определению должны быть высококвалифицированными специалистами), компетентные специалисты служб защиты информации на объектах, сотрудники организаций, занимающиеся вопросами защиты, профессорско-преподавательский состав, научные сотрудники и аспиранты вузов, готовящих соответствующих специалистов.

Нетрудно видеть, что при достаточно развитой сети ЦЗИ (а создание именно развитой сети центров является на сегодня, по нашему мнению, объективной необходимостью) будет решена (и весьма эффективно) задача массовой экспертизы, в чем и заключается центральная идея данного мероприятия.

Один из дискуссионных вопросов, поднимаемых в процессе обсуждения проблемы организации массовой экспертизы, заключается в чрезвычайно большом разнообразии условий защиты информации на современных объектах информатизации. При этом практически невозможно выразить единым значением ту или иную характеристику, общую для всех объектов. Ведь, например, при прочих равных условиях вероятность доступа злоумышленника к некоторым КНПИ существенно зависит даже от этажа, на котором расположены средства обработки защищаемых данных. Игнорировать это обстоятельство при решении конкретных практических задач никоим образом нельзя. В этих условиях необходимо четко определить подход к проведению экспертизы. В принципе здесь возможны два метода – метод синтеза и метод анализа.

Экспертиза по методу синтеза заключается в формировании соответствующих данных каждым ЦЗИ для конкретных объектов – абонентов центра. Полученные данные в дальнейшем могут подвергаться всесторонней аналитико-синтетической обработке в целях получения оценок любого уровня обобщения.

Экспертиза по методу анализа осуществляется в два этапа. Сначала формируется возможно более полный перечень факторов, влияющих на защиту информации, выбираются возможные значения каждого из факторов и экспертно определяются относительные веса групп факторов и различных факторов в пределах группы. Затем выбираются возможные значения каждого фактора в их общей совокупности.

На втором этапе по этим данным формируется поле потенциально возможных условий защиты (как всевозможных сочетаний значений всех выбранных факторов) и определяется вес каждого из условий этого поля. Затем методами кластерного анализа поле потенциально возможных условий может быть разделено на некоторое число классов, каждый из которых будет объединять однородные (сходные) в некотором смысле условия. После этого необходимые данные могут определяться отдельно для каждого класса.

Подведем некоторые итоги нашего рассмотрения особенностей проблемы защиты информации в современных условиях формирования информационного общества.

Ретроспективный анализ развития подходов к решению проблем защиты информации показывает, что их история может быть довольно четко разделена на ряд периодов, в течение которых прослеживается постепенный переход от выбора средств защиты на основе опыта к разработке в настоящее время основ теории защиты информации, постановке задачи многоаспектной комплексной защиты и формированию унифицированной концепции защиты. Изменялись и применяемые средства защиты от функционально ориентированных механизмов до системы комплексной защиты и создания изначально защищенных информационных технологий.

Современный взгляд на защиту информации как на комплексную проблему неминуемо приводит к возрастанию значимости системных вопросов, связанных с процессом защиты. Среди них: формирование и обоснование общей политики защиты, оптимизация процессов проектирования и функционирования комплексных систем защиты, подбор, обучение и расстановка соответствующих кадров специалистов, сбор и аналитико-синтетическая обработка данных о функционировании реальных систем защиты информации.

Таким образом, возникают необходимые объективные предпосылки для перехода к новому этапу в решении задач защиты – этапу, который может быть назван интенсификацией процессов защиты информации.

Переход от экстенсивных к интенсивным способам защиты информации означает целенаправленную реализацию всех достижений теории и практики защиты, которые в концентрированном виде отражены в унифицированной концепции защиты информации, а именно: структурированное описание среды защиты, всесторонний количественный анализ степени уязвимости информации на объекте (или в системе), научно обоснованное определение требуемого уровня защиты в конкретных условиях функционирования объектов (систем), построение оптимальных систем защиты на основе единой унифицированной методологии.

Заметим в заключение, что реализация всех этих требований возможна лишь при наличии стройной и целенаправленной организации системы сопровождения работ по защите информации. Наиболее полным и адекватным решением этой проблемы является, на наш взгляд, создание сети специализированных центров информационной безопасности.

Глава вторая

НАУЧНО-МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ИНТЕНСИФИКАЦИИ ПРОЦЕССОВ ЗАЩИТЫ ИНФОРМАЦИИ

2.1. Определение и принципы формирования теории защиты информации

С философской точки зрения наиболее полное и адекватное представление о любом объективном процессе или явлении может быть получено на основе некоторой теории, являющейся совокупностью основных идей и дающей целостную картину закономерностей и существенных связей действительности. Если условно представить защиту информации как некоторый фрагмент объективного мира, то, естественно, сказанное в полной мере относится и к ней. Поэтому задача разработки целостной теории защиты информации была сформулирована в качестве одного из главных направлений работ по формированию научно-методологического базиса обеспечения информационной безопасности.

Можно констатировать, что в процессе исследований по этому направлению на сегодняшний день удалось сформулировать основные положения такой теории защиты. Достаточно подробно они изложены в [29]. Первоначальный вариант основ теории защиты носил сугубо вербальный характер, в последующем частично удалось сформировать ее структуру в аксиоматическом представлении.

На содержание теории существенное влияние оказывает то обстоятельство, что процессы защиты информации носят ярко выраженный стохастический и в значительной мере непредсказуемый характер. В силу этого методология и методы классической теории систем оказались не вполне адекватными для целей описания и моделирования процессов защиты информации. Возникла необходимость широкого привлечения методов, основанных на использовании эвристических способностей человека.

Дадим определение и сформулируем основные понятия теории защиты информации.

Теория защиты информации определяется нами как система основных идей, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связях с другими отраслями знания, формирующаяся и развивающаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации.

Из приведенного определения довольно четко могут быть выведены основные задачи теории защиты, которые в развернутом виде формулируются следующим образом. Теория защиты информации должна:

предоставлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты;

полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний;

аккумулировать опыт предшествующих исследований, разработок и практического решения задач защиты информации;

ориентировать в направлении наиболее эффективного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;

формировать научно обоснованные перспективные направления развития теории и практики защиты информации.

Сформулированные таким образом основные задачи определяют состав и общее содержание теории защиты информации. Составными частями ее, очевидно, должны быть:

полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты;

систематизированные результаты ретроспективного анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты, полно и адекватно отображающие наиболее устойчивые тенденции в этом развитии;

научно обоснованная постановка задачи защиты информации, полно и адекватно учитывающая текущие и перспективные концепции построения информационных технологий, потребности в защите информации и объективные предпосылки их удовлетворения;

общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;

методы, необходимые для наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные приложения;

методологическая и инструментальная база, содержащая необходимые методы и инструментальные средства решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;

научно обоснованные предложения по организации и обеспечению работ по защите информации;

научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.

Приведенный перечень даже при таком очень общем представлении содержания составных частей теории защиты свидетельствует о многоаспектности задачи, что, естественно, порождает значительные трудности ее формирования. Положение усугубляется еще и тем, что по мере развития исследований, разработок и практической их реализации появляются новые аспекты, защита информации представляется все более комплексной и все более масштабной проблемой. Существенное влияние оказывает также неординарность этой проблемы, связанная с повышенным влиянием на процессы защиты случайных трудно предсказуемых событий. Таким образом, изначально предопределяется необходимость предварительного решения задачи выбора и обоснования методологических принципов формирования самой теории защиты.

Анализ истории развития науки и техники показывает, что всю совокупность общеметодологических принципов формирования нового научного направления удобно разделить на две группы: общетеоретические и теоретико-прикладные принципы.

Основные принципы общетеоретического характера могут быть сформулированы следующим образом.

1.Четкая целевая направленность исследований и разработок, причем цели должны быть сформулированы настолько конкретно, чтобы на любом этапе работ можно было предметно оценить степень их достижения. Применительно к теории защиты информации целевой установкой может являться приведенный выше перечень ее составных частей.

2. Неукоснительное следование главной задаче науки, которая заключается в том, чтобы видимое, лишь выступающее в явлении движение свести к действительному внутреннему движению, которое, как правило, скрыто. Данный принцип ориентирует на поиск научно обоснованных решений изучаемой проблемы, которые в общем случае существенно эффективнее эмпирических. Для рассматриваемых нами проблем защиты информации данное обстоятельство особенно важно, поскольку до настоящего времени по-прежнему превалируют эмпирические подходы к их решению.

3. Упреждающая разработка общих концепций, на базе которых могли бы решаться все частные вопросы. Нетрудно видеть, что данный принцип является дальнейшим развитием предыдущего. Его требования заключаются в том, чтобы все получаемые научно обоснованные решения образовывали единую систему. Применительно к защите информации речь в данном случае должна идти о формировании некоторой унифицированной концепции защиты, справедливой для широкого спектра требований и условий организации соответствующих процессов.

4. Формирование концепций на основе реальных фактов, а не абстрактных умозаключений. Сущность этого принципа очевидна и не требует дополнительных пояснений. Следуя ему, в разделе 1.2 первой главы, например, были приведены результаты ретроспективного анализа фактографических данных о развитии подходов к защите информации.

5. Учет всех существенно значимых связей, относящихся к изучаемой проблеме. Практическая очевидность данного принципа в дополнительной аргументации не нуждается и дает достаточно оснований рассматривать его в качестве одного из основных принципов общетеоретического характера.

6. Строгий учет диалектики взаимосвязей количественных и качественных изменений. Для рассматриваемых нами проблем защиты информации данный принцип имеет прямое действие, конкретное содержание которого изложено ниже при обосновании следующего принципа.

7. Своевременное видоизменение постановки изучаемой проблемы или решаемой задачи. Сущность этого принципа заключается в том, что назревшие качественные изменения, подготовленные изменениями количественными в процессе предшествующего развития изучаемого явления должны быть актуализированы путем видоизменения самой постановки решаемой задачи. Если говорить о развитии способов и методов защиты информации, то сегодня мы должны опираться на принципиально новый подход к формулированию соответствующей задачи, о чем уже говорилось в разделах 1.2 и 1.3 первой главы.

Таким образом, с учетом современного этапа развития теории и практики защиты информации, приведенные общетеоретические принципы могут быть интерпретированы так, как представлено в табл.2.1.

Что касается теоретико-прикладных принципов, то их содержание представляет собой требования и рекомендации по организации самого процесса изучения сложных проблем. Представляется, что в их число должны быть включены следующие четыре принципа.

Таблица 2.1. Интерпретация общеметодологических принципов развития науки применительно к современным проблемам защиты информации

1. Построение адекватных моделей изучаемых систем и процессов. В постановочном плане данный принцип понятен и общепризнан. Однако следует иметь в виду, что решение задачи построения моделей, адекватных моделируемым системам и процессам не вызывает особых трудностей только для технических (т.е. строго формальных) систем. Для систем же организационно-технологического типа, к числу которых относятся и системы защиты информации, подверженных серьезному влиянию случайных и даже трудно предсказуемых факторов, построение адекватных моделей наталкивается на трудности принципиального характера. В этом случае методы классической теории систем оказываются недостаточно приспособленными для систем указанного класса. Попытки построения моделей указанных систем с использованием традиционных методов чаще всего приводят к серьезной трансформации постановки задачи, уменьшающей, а то и полностью исключающей влияние случайных факторов. В итоге создаваемые модели оказываются неадекватными моделируемым системам. Таким образом, методы моделирования, ориентированные на формальные системы, нуждаются в существенном расширении и дополнении.

2. Унификация разрабатываемых решений. Содержание данного принципа очевидно. Фактически он детализирует в известной мере один из аспектов общеметодологического принципа упреждающей разработки общих концепций, поскольку любое унифицированное решение есть своего рода концепция.

3. Максимальная структуризация изучаемых систем и вырабатываемых решений. Под структуризацией здесь понимается процесс формирования архитектуры разрабатываемых систем и технологических схем их функционирования, наилучшим образом удовлетворяющих всей совокупности условий эксплуатации и дальнейшего совершенствования. В более общей постановке структуризация может рассматриваться как одно из направлений расширения научно-методологического базиса классической теории систем.

4. Радикальная эволюция в реализации разработанных концепций. Результатом изучения сложных проблем, как правило, являются предложения и решения (концепции) по более или менее кардинальному совершенствованию архитектуры соответствующих систем или процессов организации и обеспечения функционирования. Естественно, при этом возникает вопрос о способах практического претворения в жизнь разработанных концепций. Крайними вариантами будут: слева – выбросить (убрать, демонтировать) прежние решения и заново построить систему в строгом соответствии с новыми концепциями, справа – отказаться от новых концепций во имя сохранения прежних решений. В реальной жизни эти крайние варианты если и будут разумными, то лишь в каких-то неординарных ситуациях, в подавляющем же большинстве ситуаций рациональным будет какой-то промежуточный вариант. Для ориентации в подобных ситуациях академик В.М.Глушков еще в 70-х годах XX века сформулировал принцип так называемой радикальной эволюции, суть которого, как следует из самого названия, сводится к тому, что надо стремиться к радикальным совершенствованиям, но реализовывать их эволюционным путем.

2.2. Методологический базис теории защиты информации

Под методологическим базисом теории защиты информации будем понимать совокупность методов и моделей, необходимых и достаточных для исследования проблемы защиты и решения тех или иных практических задач в этой области.

При формировании совокупности этих методов принципиальным оказывается сильное влияние на процессы защиты случайных факторов, особенно связанных с предумышленными (а иногда непредсказуемыми) действиями людей-нарушителей защищенности. При этом методы классической теории систем, которые на первый взгляд могли бы быть здесь с успехом использованы, разрабатывались в свое время применительно к потребностям создания, организации и обеспечения функционирования технических, т. е. в основе своей формальных систем. Попытки применения этих методов к анализу и оптимизации систем с высоким уровнем стохастичности, аналогичным системам защиты информации, показали их недостаточность для решения подобных задач. В силу этого возникает актуальная задача расширения комплекса методов классической теории систем, которое позволило бы адекватно моделировать процессы, существенно зависящие от воздействия трудно предсказуемых факторов. Наиболее подходящими для указанных целей могут оказаться методы нечетких множеств, лингвистических переменных (нестрогой математики), неформального оценивания, неформального поиска оптимальных решений.

Методы теории нечетких множеств применяются для описания систем, элементы которых принадлежат тем или иным множествам лишь с некоторой вероятностью. К таким элементам могут, например, относиться те или иные каналы несанкционированного получения информации (КНПИ), те или иные средства защиты, с помощью которых могут быть эффективно перекрыты соответствующие КНПИ и т. п. Указанные элементы принадлежат тем или иным множествам лишь с некоторой вероятностью, что естественно приводит к заключению о возможности использования для описания процессов защиты информации теории нечетких множеств. Основные положения теории нечетких множеств, имеющие принципиальное значение для решения задач защиты информации в современной их постановке, достаточно подробно изложены в монографии В.А.Герасименко [15].

Методы теории лингвистических переменных используются для построения моделей больших систем, основывающихся на неформальных суждениях и умозаключениях эксперта-аналитика, формируемых им, исходя из накопленного опыта решения аналогичных проблем. Интерес к этим методам в последние годы значительно возрос в связи с особой актуальностью задач анализа и синтеза человеко-машинных систем, процессы функционирования которых в решающей степени определяются так называемым человеческим фактором.

Поскольку системы защиты информации относятся именно к таким системам, то целесообразность использования методологии теории лингвистических переменных при решении проблем защиты информации не вызывает никаких сомнений.

Исходным базисом теории лингвистических переменных служит совокупность трех посылок:

- в качестве меры характеристик изучаемых систем вместо числовых переменных (или в дополнение к ним) используются лингвистические переменные;

- простые отношения между переменными в лингвистическом измерении описываются с помощью нечетких высказываний, которые имеют следующую структуру: «из A следует B», где A и B переменные в лингвистическом измерении;

- сложные отношения между переменными в лингвистическом измерении описываются нечеткими алгоритмами.

Аппарат теории лингвистических переменных эффективен в ситуациях, когда строгое описание структуры систем и их функционирования или невозможно, или даже нецелесообразно в силу самого характера решаемой задачи. Совершенно очевидно, что в этих случаях отсутствуют необходимые данные как для строгого определения угроз и уязвимости информации, так и для оценки эффективности применяемых средств и методов ее защиты.

Можно привести и примеры, когда попытки построить строго количественные алгоритмы решения проблемы являются вредными. К их числу на сегодня относится, например, выработка общей стратегии защиты информации. Построение строгого алгоритма в этом случае требует принятия таких допущений, что его адекватность становится весьма сомнительной. Вообще же различного рода нестрогие алгоритмы (на основе теории нечетких множеств или теории лингвистических переменных) целесообразно использовать, когда реализация строгого алгоритма, даже, если такой найден, является трудоемкой, а время на нее крайне ограничено, когда множество анализируемых ситуаций слишком велико по сравнению с возможностью их рассмотрения, или, наконец, когда имеющаяся исходная информация такого качества, что результаты реализации строгого алгоритма неминуемо будут сомнительными.

Неформальные методы оценивания. В процессе исследования больших человеко-машинных систем нередки случаи, когда значения их параметров не удается получить традиционными методами (непосредственно измерить или вычислить по известным аналитическим зависимостям, определить путем статистической обработки их значений, зафиксированных в процессе наблюдения, или по аналогии с уже известными значениями других, схожих параметров). Такое положение особенно характерно для систем с высоким уровнем неопределенности, не имеющих достаточной предыстории функционирования. Именно такими являются рассматриваемые нами системы защиты информации. Зачастую при исследовании этих систем отсутствуют данные, необходимые для определения таких параметров, как вероятности проявления угроз безопасности информации в различных условиях функционирования автоматизированной системы, вероятности успешной реализации этих угроз злоумышленником, показатели эффективности функционирования различных средств защиты и многих других. В таких случаях естественно приходится пользоваться эвристическими методами, основанными на оценках специалистов-экспертов в соответствующей области.

Из таких неформальных методов оценивания наиболее известными являются классические методы экспертных оценок. Достоинства указанных методов общеизвестны. Это, прежде всего, возможность их использования для широкого класса объектов исследования, относительная простота и нетребовательность к качеству исходной информации. Эксперт, будучи опытным специалистом в конкретной предметной области, как бы располагает персональным, уникальным фондом информации, аккумулирующим не только его собственный, но и весь известный ему чужой опыт по данной проблеме. Он широко использует при работе не только простые логические построения и умозаключения, но также интуитивные представления и творческую фантазию.

Вместе с тем, методы экспертных оценок не лишены существенных недостатков. В их числе – субъективность оценок, основанных на интуитивном мнении экспертов, трудная сопоставимость мнений из-за преимущественно качественного характера оценок, а также необходимость постоянного привлечения группы высококвалифицированных специалистов, что делает процесс оценивания достаточно сложным и трудоемким с организационной точки зрения. Как правило, такой процесс поддается лишь очень слабой автоматизации.

Отметим также, что среди множества проблем, присущих методам экспертных оценок, наиболее острой является задача определения и учета компетентности эксперта как в смысле его профессиональной пригодности к оценке и прогнозированию, так и его индивидуальной способности высказывать конкретные, убедительные суждения о текущем и будущем состоянии объекта исследования. Опыт и квалификация эксперта проявляются в его умении критически оценивать имеющуюся информацию. Однако человеческая психика и мышление в значительной степени консервативны и инертны, что зачастую заставляет эксперта скептически относиться к слишком радикальным оценкам и, особенно, к прогнозам, тем самым упуская из поля зрения «парадоксы», дающие, как известно, новые знания об исследуемой системе.

Частично избежать субъективизма суждений помогает применение методов коллективной экспертной оценки с использованием различных процедур и методов обработки мнений экспертов, а также использование в дополнение к экспертной оценке методов математического и имитационного моделирования.

Анализ выполненных на сегодняшний день исследований позволяет выделить две группы математических методов, которые могут применяться для решения рассматриваемых нами задач: метод многофакторного анализа и метод параметрического прогнозирования.

В основе многофакторных статистических методов лежит использование процедур корреляционно-регрессионного анализа. Основным из этой группы методов является метод многошагового регрессионного анализа. Сущность его, как известно, заключается в расчете линейных регрессионных уравнений, описывающих зависимость прогнозируемых характеристик от некоторой совокупности важнейших показателей системы. Другими вариантами использования процедур регрессионного анализа являются метод сегментной регрессии и метод главных компонент.

Параметрические методы прогнозирования дают дополнительные возможности углубленного математико-статистического анализа динамики численных значений изучаемых показателей, а также расширяют возможности моделирования и прогнозирования в условиях достаточно часто наблюдающегося недостатка соответствующей количественной информации по основным показателям ситуации, влияющей на уровень безопасности информации.

Опыт использования приведенных математических методов свидетельствует, что надежность отдельных из них существенно зависит от периода или глубины прогнозирования. Наиболее надежным следует признать метод многошагового регрессионного анализа. При прогнозировании он хорошо сочетается с другими разновидностями методов регрессионного анализа, а также параметрическими методами. Последние имеют ряд чрезвычайно важных преимуществ, главным из которых является невысокая трудоемкость разработки на их базе прогноза и возможность полной автоматизации всего прогностического процесса. Однако, надежные результаты параметрические методы, как показывает опыт, обеспечивают лишь при глубине прогнозирования не более двух шагов, что делает абсолютно нецелесообразным их использование для целей долгосрочного прогнозирования. Основной недостаток методов параметрического типа состоит в их повышенной инертности, вследствие чего базирующиеся на этих методах прогнозы плохо “отрабатывают” вариации временного ряда, содержащие высокочастотные компоненты.

Из сказанного следует, что важнейшим направлением повышения надежности оценивания и прогнозирования уровня безопасности информации является синтез и “взаимопроникновение” методов экспертных оценок и методов математического моделирования. Такой синтез может быть осуществлен в виде некоторой человеко-машинной системы, формализующей знания эксперта (в том числе и интуитивные) в конкретной предметной области путем проведения вычислительного эксперимента с комплексом математических моделей.

Подробнее эти проблемы будут рассмотрены нами ниже.

Неформальные методы поиска оптимальных решений. Завершим изложение методологического базиса теории защиты информации рассмотрением неформальных методов поиска оптимальных решений. Назовем оптимальными такие решения проблем защиты информации, которые при заданных затратах ресурсов обеспечивают максимальную защищенность информации или обеспечивают достижение заданной защищенности при минимальных затратах ресурсов.

Поиск оптимальных решений является наиболее сложной процедурой, осуществляемой при разработке и обеспечении функционирования больших систем. В настоящее время известно достаточно большое число различных методов оптимизации. Если рассматривать их применение для решения проблем защиты информации, то основные трудности здесь связаны с наличием в постановке оптимизационных задач значительных неопределенностей. В связи с этим особый интерес для формирования научно-методологического базиса защиты информации представляют развиваемые в последние годы неформальные методы поиска оптимальных решений, суть которых состоит либо в сведении сложной неформальной задачи к формальной постановке и использовании в дальнейшем уже реализованных формальных методов, либо в изначальной организации неформального поиска оптимального решения, т.е. в непосредственной реализации процедуры поиска.

Классификационная структура этих методов, заимствованная нами из монографии [15], может быть представлена схемой, приведенной на рис.2.1.

Остановимся на важнейших характеристиках неформальных методов оптимизации, которые имеют принципиальное значение для их использования в качестве инструментальных средств решения задач защиты информации.

Сведение неформальной задачи к формальной постановке заключается в формировании строго выраженных исходных условий, т.е. определяемых переменных, ограничений, которым они должны удовлетворять, и целевой функции, экстремальное значение которой и соответствует оптимальному решению. Процедура такого преобразования неформальной задачи может быть реализована с использованием рассмотренных выше методов теории нечетких множеств, эвристического программирования и эволюционного моделирования.

Рис.2.1. Классификационная структура неформальных методов поиска оптимальных решений

В первом случае могут быть получены аналитические выражения для количественных оценок нечетких условий защиты информации с точки зрения проявления тех или иных угроз безопасности информации. Тем самым постановки неопределенных задач сводятся к строго определенным. Далее могут быть использованы соответствующие конечные методы, которые гарантируют получение оптимальных решений.

Эвристическое программирование, основу которого составляют формализованные (т. е. представленные в виде конечного алгоритма) эвристики, требует для своего осуществления последовательной реализации ряда процедур: изучение содержания соответствующего класса слабо структурированных задач; изучение приемов решения задач данного класса человеком; выявление закономерностей в решении человеком задач рассматриваемого класса; формализация выявленных закономерностей, приемов и правил и построение на этой основе модели решения задач данного класса; алгоритмическая реализация построенной модели. Таким образом, с помощью эвристического программирования фактически реализуется задача построения некоторой экспертной системы, формализующей знания эксперта-аналитика в соответствующей предметной области.

Принципиальным моментом, который следует учитывать при решении вопроса об использовании этого метода в составе научно-методологического базиса теории защиты информации, является то, что эвристическое программирование вовсе не гарантирует получение строго оптимальных решений. В данном случае лучше использовать термин «рациональное» решение, поскольку эвристическое программирование позволяет гарантировать, что найденное решение будет лучшим среди известных альтернативных решений.

Следует отметить, что теория построения эвристических моделей находится в стадии постоянного совершенствования. Это понятно, поскольку для формирования такой теории необходимо создать модель продуктивного мышления человека, для которого при решении задач оптимизации характерно, с одной стороны, сужение поля поиска (области допустимых решений) за счет исключения из рассмотрения заведомо непригодных решений, а с другой – расширение поля поиска за счет генерирования новых альтернатив. В отличие от этого при использовании строго формальных методов поле поиска (область допустимых решений) остается неизменным, а сам процесс решения состоит в направленном или случайном переборе возможных решений. Практически на сегодняшний день, говоря об эвристических моделях, имеют в виду так называемые лабиринтные и концептуальные эвристики.

В первой из них задача представляется в виде лабиринта возможных путей поиска решения, ведущих как бы от начальной площадки (условий задачи) к конечной (условиям завершения решения задачи). Естественно при этом предполагается, что эксперт способен достаточно быстро отсечь неперспективные варианты движения по лабиринту и оставить только те, которые с большой вероятностью приведут к конечной площадке.

Механизм реализации концептуальной эвристики состоит в генерировании множества таких путей решения задачи, которое с большой вероятностью содержит и результативный путь. При этом эксперт-аналитик как бы строит структурированную модель проблемной ситуации, формируя на основе анализа исходной информации обобщенные элементы и отношения между ними, которые получили название концептов. Универсальному набору таких концептов очевидно соответствуют присущие человеку механизмы вычисления, трансформации и формирования отношений, а сам процесс реализации концептуальной эвристики представляется в виде мысленного эксперимента с структурированной моделью ситуации. Фактически такой процесс представляет собой не что иное, как автоформализацию знаний эксперта.

Эволюционное моделирование является фактически некоторой модификацией статистического моделирования, в котором статистически совершенствуется (эволюционирует) сам алгоритм имитации процессов функционирования моделируемых систем.

Блок неформальных методов непосредственного поиска оптимальных решений представлен на рис.2.1 в составе методов экспертных оценок, неформально-эвристического программирования, а также методов, основанных на управлении продуктивным мышлением человека в процессе решения задачи.

Методы экспертных оценок были рассмотрены нами выше. Использование их естественным образом может быть распространено и на задачи поиска оптимальных решений, выраженных простой оценкой.

Неформально-эвристическое программирование фактически представляет собой разновидность эвристического программирования, когда роль эксперта расширяется, включая непосредственное участие его не только в процессе составления моделей для поиска решений, но также и в процессе непосредственного решения конкретных задач. К разновидностям неформально-эвристического программирования относятся и так называемые неформальные аналогии, когда поиск решения осуществляется на основе прецедентов решения аналогичных задач.

Последняя группа представленных на рис.2.1 неформально-эвристических методов включает методы, основанные на управлении продуктивным мышлением эксперта в процессе самого поиска оптимальных решений. Наибольшее распространение получили две разновидности такого управления интеллектуальной деятельностью – метод «мозгового штурма» и метод «психоинтеллектуальной генерации».

Первый из них направлен на получение новых решений в результате коллективного творчества группы экспертов, организованного по определенным правилам. Принципиальной особенностью «мозгового штурма» является абсолютное исключение в процессе его проведения критики и вообще какой-либо оценки высказываемых идей. Сущность метода, и это надо особо подчеркнуть, состоит в принципиальном разделении во времени решения двух задач – генерирования новых идей и анализа (оценки) этих идей. Практически при использовании этого метода создаются две разные группы экспертов – генераторов идей и аналитиков.

В отличие от «мозгового штурма» метод «психоинтеллектуальной генерации», напротив, основан на критике суждений, высказываемых экспертом. Он реализуется в виде целенаправленной беседы-дискуссии двух непременных участников – ведущего и решающего. Первый ставит вопросы (проблемы), по которым последний высказывает свои суждения. Таким образом, завязывается дискуссия, направляемая ведущим на возможно более полное и глубокое рассмотрение проблемы. Дополнительно в помощь ведущему могут привлекаться оппонент и эксперты. Оппонент определяет слабые места в суждениях решающего и формирует возражения и критические замечания, побуждающие его к энергичной дискуссии. Задача экспертов – помогать ведущему оценивать высказываемые суждения и определять последовательность и содержание дальнейшего обсуждения проблемы.

2.3. Развитие неформальных методов анализа процессов