- •Модели риск-анализа социотехнических систем
- •1. Исследование и разработка вербальных и логико-лингвистических моделей социотехнических систем
- •1.1. Определение понятий «информационное пространство» и «социотехническая система»
- •1.2. Анализ взаимосвязи социотехнической системы и информационного пространства
- •1.3. Техническая и социальная подсистемы социотехнической системы
- •1.4. Информационные операции и атаки
- •1.5. Обоснование необходимости управления региональной информационной безопасностью
- •1.6. Опасности социотехнических систем
- •1.6.1. Аксиомы о потенциальной опасности социотехнических систем
- •1.6.2. Опасности в информационно-психологическом пространстве
- •1.6.3. Опасности в информационно-кибернетическом пространстве
- •1.6.4. «Опасности» регионального информационного пространства
- •1.6.5. Способы реализации информационных операций и атак
- •1.6.6. Основные задачи обеспечения противодействия информационным операциям и атакам на уровне региона
- •1.6.7. Основные направления деятельности по обеспечению информационной безопасности в регионе
- •1.6.8. Классификация опасностей в социотехнической системе
- •1.6.8.1. Квантификация опасностей
- •1.6.8.2. Обобщенная модель опасности социотехнической системы
- •1.6.9. Ранжирование степени опасности источников угроз безопасности социотехнической системы
- •1.7. Безопасность социотехнических систем
- •1.8. Информационные конфликты в социотехнических системах
- •1.9. Информационная защищенность социотехнической системы
- •1.9.1. Информационная защищенность технической подсистемы социотехнической системы
- •1.9.2. Информационная защищенность социальной подсистемы социотехнической системы
- •1.10. Классификация угроз
- •1.11. Оценка вероятностей реализации угроз безопасности информации в социотехнических системах на основе лингвистических переменных
- •1.12. Ущерб в в социотехнической системе при реализации информационных операций и атак
- •1.12.1. Совокупный ущерб
- •1.12.2. Классификация ущерба
- •1.12.3. Обобщенная модель ущерба
- •1.13. Риск в в социотехнической системе при реализации информационных операций и атак
- •1.13.1. Развитие риска
- •1.13.2. Классификация риска
- •1.13.3. Моделирование риска
- •2. Методическое обеспечение риск-анализа региональных социотехнических систем
- •2.1. Понятийный аппарат
- •2.2. Ущербы и риски систем
- •2.3. Качественный подход к оценке рисков в социотехнической системе
- •2.4. Оценка рисков в в социотехнической системе экспертными методами оценки субъективной вероятности
- •2.5. Подходы к определению мер риска для различных распределений вероятности ущерба
- •2.6. Методика оценки риска и защищенности для непрерывного и дискретного видов распределения вероятности ущерба
- •2.7. Применение аппарата теории нечетких множеств при оценке риска и защищенности для множества угроз
- •2.8. Статистические методы оценки закона распределения ущерба от реализации угрозы безопасности информации
- •2.8.1. Оценка рисков безопасности систем сотовой связи
- •2.8.2. Оценка рисков безопасности компьютерных систем
- •2.9. Риск – анализ поражения компьютерных систем
- •2.10. Оценка рисков и защищенности систем сотовой связи с позиции доступности информации
- •2.10.1. Анализ статистических данных функционирования системы сотовой связи и выявление функции распределения случайной величины значения ущерба
- •2.10.2. Расчет интегральных и усредненных значений рисков на соответствующих интервалах и защищенности системы
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
2.8.1. Оценка рисков безопасности систем сотовой связи
В случае исследования случайной величины значения ущерба от реализации угроз безопасности информации в системах сотовой связи целесообразно сделать акцент на непрерывных распределениях, так как ущерб, в случае успешной реализации угроз в системах сотовой связи нарастает лавинообразно и прямо зависит от времени необходимого для восстановления нормального функционирования системы. Так как сотовые системы относительно времени реализации угрозы являются статическими, т.е. функциональная, физическая и логическая структура кардинально не меняются, тогда предполагается, что условия эксперимента не меняются от наблюдения к наблюдению, и каждый последующий эксперимент, организован таким образом, что результаты наблюдения на каждом шаге никак не зависит от предыдущих и не влияют на будущие значения наблюдений. Целесообразно и формировать статистическую выборку из экспериментальных данных в соответствии с таблицей 2.13 и осуществлять отбор, исходя из условия попадания ущерба реализованной угрозы в один и тот же временной интервал времени. Исходя из характеристик законов распределения случайных величин, оптимальным вариантом будет проверка в первую очередь гипотез о соответствии нормальному, экспоненциальному, равномерно непрерывно непрерывному закону распределения ущерба от реализации угроз безопасности СТИС [1,2,22,23].
2.8.2. Оценка рисков безопасности компьютерных систем
В случае исследования случайной величины значения ущерба от реализации угроз безопасности информации в компьютерных системах целесообразно сделать акцент на дискретных распределениях. Ущерб, в случае успешной реализации угроз в данной системе распределен между различными элементами и подсистемами. Компьютерные системы являются динамическими относительно времени реализации угрозы, т.е. функциональная, физическая и логическая структура может изменяться в процессе реализации, как правило в результате функционирования соответствующих подсистем защиты информации, и систем обнаружения атак. Поэтому предполагается, что условия эксперимента могут изменяться от наблюдения к наблюдению. Однако эти изменения не носят хаотичный характер, а обусловлены определёнными закономерностями функционирования компьютерной системы, которые, как правило распределены по дискретным законам распределения. Целесообразно формировать статистическую выборку из экспериментальных данных, а также осуществлять отбор, по множеству элементов и подсистем компьютерной системы, на которые реализуются угрозы безопасности информации. Исходя из характеристик законов распределения случайных величин, оптимальным вариантом будет проверка в первую очередь гипотез о соответствии гипергеометрическому, биномиальному, пуассоновскому, геометрическому и мультиномиальному дискретному закону распределения ущерба от реализации угроз безопасности СТИС[1,2,22,23, 33].
2.9. Риск – анализ поражения компьютерных систем
Масштабные и локальные информационные операции и атаки (ИОА) неизбежно носят стохастический характер, что естественно обуславливает необходимость использования соответствующих математических моделей. Дискретность компьютерных систем как объектов ИОА очевидно требует применения одномерных дискретных распределений вероятности.
Допустим, что для системы из n объектов при деструктивном управляющем воздействии (ДУВ) успех данного воздействия для каждого объекта наступает с вероятностью p0. Тогда в первом приближении (p0>0,1) вероятность успеха данного ДУВ в k объектах группы будет равна (биномиальный закон распределения)
P=Cknpk0(1-p0)n-k, (2.153)
а матожидание случайной величины составит np0, т.е. в среднем [np0] объектов группы будут подвержены воздействию.
Соответственно для нескольких групп ДУВ ni, i=1(1)N имеются свои элементарные вероятности p0i. Такой разбивкой множества объектов управления можно существенно повысить точность описания процесса ДУВ. Матожидание (фактически интегральный риск) при таком разбиении будет равно сумме
Risk=M= (2.154)
при мощности множества объектов воздействия
N= . (2.155)
Эффективность ДУВ или нормированный риск в этом случае можно оценить следующим отношением
ЭДУВ= = isk, (2.156)
которое заведомо меньше единицы. Защищенность системы в данном случае будет равен
З = 1 - isk = 1 – ЭДУВ. (2.157)
Нетрудно заметить, что эффективность будет почти пропорционально зависеть от элементарной вероятности p0i, которая, в свою очередь, складывается из интенсивности ДУВ и подверженности ДУВ объектов системы.
Вышеприведенные выкладки описывают первичный эффект ДУВ. Однако структура регионального информационного пространства зачастую носит иерархический характер, когда объекты, в которых достигнут успех ДУВ на первичном уровне, становятся вторичными источниками ДУВ по отношению к вторичным объектам их взаимодействия. В этом случае вышерассмотренную модель следует далее также применить для стохастического анализа процесса ДУВ на вторичном уровне. Если на первичном уровне матожидание составит M1, а для каждого вторичного ДУВ матожидание успеха составит Mj, j=1(1)M1, то суммарное матожидание или риск с учетом вторичного эффекта будет равно
Risk2 = М1 + . (2.158)
По аналогии, эффект s-порядка принесет следующий риск
Risk s = Risk s-1 + . (2.159)
Таким образом, формируется соответствующий ряд, описывающий цепную реакцию системы на ДУВ.
Критерием успеха ДУВ очевидно является рост риска и здесь просматриваются по крайней мере две ситуации.
В первой из них делается ставка на первичный эффект, за счет использования некой мощной компьютерной инфраструктуры региона (N весьма велико) и высокой интенсивности воздействия, значительно повышающей p0. Ярким примером тому является стремление обеспечить деструктивное информационное управление серверами, контроль над которыми становится весьма опасным из-за величины N и существенной уязвимости клиентов (p0 может превышать значение 0,5). Имея в своих руках такое мощное информационное оружие, вторичному эффекту можно уделять гораздо меньшее внимание.
Вторая стратегия ориентирована на многоуровневую цепную реакцию эффектов высших порядков. Здесь рост риска обеспечивается за счет наращивания s. Зачастую такую технологию используют производители компьютерных вирусов, лишенные доступа к серверам. В этом случае они выискивают в сети плохо защищенные объекты, превращая их с помощью ДУВ в своих адептов, вторично распространяющих вирус. Вероятностно эту ситуацию можно описать гипергеометрическим распределением
P= , (2.160)
где рассматривается вероятность выявления k проблемных объектов в выборке объема m, взятой из сети объема n, которая содержит l проблемных объектов. Матожидание зараженных ообъектов составит в данном случае
МБ= . (2.161)
Для увеличения риска злоумышленник стремится обратиться к группам с высоким l, что соответственно повышает шансы на дальнейшее ДУВ и получение желаемого М1.
Как при первой, так для второй стратегии для злоумышленника интерес представляет успешность ДУВ, которое зачастую представляет собой последовательность элементарных (единичных) информационных ДУВ. Здесь вероятность успеха после k-ой атаки будет равна
P=p0(1-p0)k, (2.162)
а матожидание (1-p0)/p0 естественно определяется элементарной вероятностью успеха от единичного ДУВ p0. При этом вероятность появления k успешных ДУВ после n элементарных ДУВ на объект может быть оценена следующим образом
P = Ck-1n+k-1pk0(1-p0)k. (2.163)
Матожидание и риск k(1-p0)/p0 также зависит от p0.
Задачу возможно детализировать далее, имея ввиду, что объекты располагают ограниченными коммуникационными возможностями. Допустим, что в пространстве из N объектов каждый из них имеет возможность передавать ДУВ в среднем к N0 иным объектам данного пространства. Вброс ДУВ на первой итерации даст матожидание успеха в следующем количестве объектов
M1=pBN0 (2.164)
а с учетом частичной нейтрализации успеха ДУВ риск составит
Risk1 = M1=pBN0(1-pH), (2.165)
где: pB – вероятность восприятия ДУВ единичным объектом пространства;
pH – вероятность нейтрализации успеха ДУВ в единичном объекте пространства.
Вторая итерация, когда объекты М1 выступают вторичными источниками распространения ДУВ, очевидно даст матожидание
Risk2 = M2=M1[pBN0(1-pH)](1-pH) (2.166)
Или с учетом того факта, что коммуникации могут быть как с уже подверженными ДУВ объектами, так и с пока свободными от него, имеем
Risk2 = M2=M12 (1-pH)(1- ) (2.167)
с поправкой на вероятность первичных контактов с ДУВ.
Рассмотрим вторую стратегию в приложении к компьютерным вирусам. Число адептов первичного уровня воздействия (первая итерация) равно
, (2.168)
где - количество адептов, утративших влияние ДУВ в результате антивирусных мер (противодействия) и некой естественной убыли.
При этом только N12 из них способны выполнять роль вторичных источников ДУВ на вторичном уровне (вторая итерация)
N12 = k12N1, (2.169)
где k12 – некий коэффициент активности адептов множества N1. Вероятность успеха их воздействия p02 зачастую бывает ниже, чем у первичного источника p01, где M1=p01N.
Вторичный эффект дает нам матожидание и риск
Risk2 = M2=p02(N-N1)N12. (2.170)
В результате имеем
N2=N1+p02(N-N1)N12 (2.171)
или
,(2.172)
где - результат противодействия на вторичном уровне.
Очевидно, что в данном случае мы имеем уже уравнение второго порядка относительно N – базовой численности компьютеров, подверженных ДУВ, т.е.
.
(2.173)
Полагая = =0 (без учета потерь в результатах ИУВ), получаем несколько упрощенную модель
N2=p01N+p01p02k12N2. (2.174)
Рассмотрим систему с учетом ДУВ и мер его нейтрализации, для чего введем следующие обозначения:
pB – вероятность успеха ДУВ на единичный объект системы;
pН – вероятность успешного противодействия (нейтрализации) ДУВ в единичном объекте системы;
N – количество элементов системы, подверженных ДУВ и соответствующим мерам противодействия.
Отсюда количество адептов на первом уровне будет равно
N1=pBN–pH(pBN)=pBN(1-pH) (2.175)
на втором уровне имеем
N2=[N1+N1pB(N-N1)](1-pH)=(N1+pBN1N-pBN12)(1-pH)=
=NpB(1-pH)2(1+NpBpH). (2.176)
По аналогии на уровне (k+1)
Nk+1=[Nk+NkpB(N-Nk)](1-pH), (2.177)
где Nk – количество адептов, полученных в результате ДУВ на уровне k.
По аналогии для k-ой итерации можно записать следующее выражение матожидания и риска
Risk k = , (2.178)
где Mk-1 – матожидание (k-1)-ой итерации. Пользуясь вышеприведенными рекурсивными выражениями, можно найти матожидание успеха ДУВ на любом последующем этапе его распространения.
В связи с вышеизложенным уместно сделать следующие выводы:
При жесткой иерархии пространства и передаче ДУВ от вышестоящего объекта к нижестоящему (отсутствии перекрестных ДУВ) поправочный коэффициент может быть исключен из рассмотрения.
Устанавливая соотношения между Mk и N, скажем, Mk=mN, задавая тем самым степень их близости и успеха ДУВ в пространстве N, можно получить уравнения, которые уместно разрешить из относительно pB или pH при заданных остальных параметрах. Параметры m и k фактически определяют эффективность ДУВ, которая может управляться через pB и pH.
Развивая средства ДУВ и меры противодействия, мы фактически наращиваем pB и pH, а рост коммуникабельности пространства (увеличение N0) открывает перспективу для успеха ДУВ.