книги / Проектирование и эксплуатация автоматизированных систем диспетчерского управления объектами критической инфраструктуры современного города
..pdfт.е. гипотеза Н1 имеет место с вероятностью 0,3, гипотеза Н2 – с вероятностью 0,31, гипотеза Н3 – с вероятностью 0,189 и гипотеза Н4 – с вероятностью 0,201.
Теперь рассмотрим на примере, как определить, достаточно ли данного количества шагов для того, чтобы считать экспертную систему обученной.
Пусть для нашей экспертной системы заданная вероятность правильного ответа – 0,7 с 85%-ным доверительным интервалом. Предположим, что было произведено 200 шагов обучения экспертной системы. На последних шагах новые примеры перестали сказываться на точности классификации. Следовательно, процесс обучения закончен. Подсчитаем, какова вероятность правильного ответа экспертной системы. Экспертная система дала правильный ответ в 68 случаях из 200. Тогда p* = 0,34. Определим 85%-ный доверительный интервал. Просчитаем по формулам (4.13) и (4.14) (так как n больше 100) p1 и p2:
p1 = 0,292; p2 = 0,388; Iβ = (0,292, 0,388).
Таким образом, с вероятностью 0,85 вероятность правильного ответа экспертной системы будет находиться в границах от 0,292 до 0,388. Полученная вероятность правильного ответа нас не удовлетворяет, следовательно, нужно вернуться на этап выбора параметров, проанализировать полученную таблицу функций неисправностей и добавить недостающие параметры, после чего заново провести обучение системы. Этот процесс придется повторять до тех пор, пока нижняя граница вероятности правильного ответа экспертной системы p1 не станет выше заданной.
5.6. ПОВЫШЕНИЕ ДОСТОВЕРНОСТИ РЕШЕНИЙ ЭКСПЕРТНОЙ СИСТЕМЫ
Как видно из пп. 4.4.2–4.4.7, обучение экспертной системы заканчивается по достижении заданной вероятности правильного ответа. Однако это не означает, что нам удалось добиться диагностирования с точностью до однократной неисправности. Пусть, например, при неисправности водосчетчика 1 (гипотеза Н1) экспертная система иногда выносит решение о неисправности датчика температуры 2 (гипотеза Н2), но никогда не выносит решения о неисправности водосчетчика 3 (гипотеза Н3) или датчика температуры 4 (гипотеза Н4). Тогда гипотезы Н1 и Н2
141
можно сгруппировать, и, как следствие, появляется множество подозреваемых неисправностей, состоящее из неисправности водосчетчика 1 и датчика температуры 2. Тогда можно пересчитать вероятность правильного ответа, поскольку правильным мы теперь будем считать определение неисправности с точностью до множества подозреваемых неисправностей. Все шаги обучения, на которых неисправность определялась внутри своего множества, будут объявлены успешными, следовательно, может увеличиться p*.
Рассмотрим предыдущий пример, когда было произведено 200 шагов обучения экспертной системы. Процесс обучения был закончен вследствие того, что новые примеры перестали сказываться на точности классификации. Вероятность правильного ответа экспертной системы с вероятностью 0,85 находилась в границах от0,292 до0,388.
Подсчитаем, какова уточненная вероятность правильного ответа экспертной системы. Рассматривая классификацию с точностью до одной подозреваемой неисправности, мы считали, что экспертная система дала правильный ответ в 68 случаях из 200. Теперь, рассматривая классификацию с точностью до множества подозреваемых неисправностей, мы увидели, что экспертная системы давала правильный ответ в 121 случае из 200. Тогда p* = 0,605. Определим 85%-ный доверительный интервал. Просчитаем по формулам (4.13) и (4.14) (так как n больше 100) p1 и p2:
p1 = 0,573; p2 = 0,782; Iβ = (0,573, 0,782).
Таким образом, с вероятностью 0,85 вероятность правильного ответа экспертной системы будет находиться в границах от 0,573 до 0,782.
5.7.ПРОГНОЗИРОВАНИЕ ТЕХНИЧЕСКОГО СОСТОЯНИЯ УЗЛОВ
Всамом начале примера построения экспертной системы мы приняли допущение, что каждый узел системы может находиться в двух состояниях – исправен и неисправен.
Однако узел, к примеру датчик или исполнительный механизм,
взависимости от значений параметров, характеризующих его состояние, может находиться не только в двух состояниях. Можно выделить 3 состояния:
α – исправен, β – неисправен, ноработоспособен, γ – неработоспособен. Представим переход из состояния исправности (α ) в состояние не-
работоспособности (γ ) на диаграмме (рис. 5.12).
142
Рис. 5.12. Диаграмма перехода узла из исправного в неисправное состояние
Количество состояний можно увеличивать и дальше, выделяя из состояния β более работоспособные и менее работоспособные состояния, что позволит прогнозировать техническое состояние системы в зависимости от приближения значений параметров изделия к критической области, в которой изделие неработоспособно. Методика построения обучаемой экспертной системы при этом не изменится, однако значительно увеличатся количество гипотез и, следовательно, объем расчетов. В заключение следует отметить, что рассмотренный в настоящем разделе подход позволяет решить не только задачу технического диагностирования системы, но и задачу прогнозирования поведения АСУ ТП.
КОНТРОЛЬНЫЕ ВОПРОСЫ ПО ГЛАВЕ 5
Для самопроверки степени усвоения материала данной главы постарайтесь ответить на следующие контрольные вопросы:
1.Что такое «экспертная система»? Как функционируют экспертные системы?
2.В чем заключаются основные аспекты и задачи технической диагностики сложных автоматизированных систем?
3.Как повысить достоверность решений, принимаемых экспертной системой?
4.Перечислите известные вам основные модели обучения экспертных систем. В чем заключаются их различия?
5.Опишите алгоритм выработки правил для системы, принимающей решения по наименьшему расстоянию.
143
Глава 6. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АСДУ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ
Из-за повсеместного распространения, а также увеличения роли ин- формационно-управляющих систем в различных отраслях, последнее время все чаще возникает проблема обеспечения информационной безопасности подобных сложных распределенных инфраструктур. Не секрет, что успешное проведение злоумышленником атаки на такие системы зачастую может привести к критическим последствиям. Одним из основных видов злоумышленных воздействий при проведении хакерских атак является несанкционированный доступ (НСД). Для организации несанкционированного доступа злоумышленник может прибегать к весьма широкому спектру инструментов, таких как вирусные атаки, сниффинг, методы социальной инженерии и др. Наличие подобной угрозы делает необходимым освещение вопросов информационной безопасности в процессе подготовки любого современного специалиста, занимающегося проблемами промышленных автоматизированных систем в целом и АСДУ объектов критический инфраструктуры в частности. Далее в этой главе рассматриваются основные стандарты информационной безопасности, получившие наиболее широкоемировое распространение.
6.1. ОБЗОР ОСНОВНЫХ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
На верхнем уровне можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:
–оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
–спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.
Эти группы, разумеется, не конфликтуют, а дополняют друг друга. Оценочные стандарты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Другие спецификации опреде-
144
ляют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.
Из числа оценочных необходимо выделить стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» и его интерпретацию для сетевых конфигураций, «Гармонизированные критерии европейских стран», международный стандарт «Критерии оценки безопасности информационных технологий» и, конечно, Руководящие документы Гостехкомиссии России. К этой же группе относится и федеральный стандарт США «Требования безопасности для криптографических модулей», регламентирующий конкретный, но очень важный и сложный аспект информационной безопасности.
Технические спецификации, применимые к современным распределенным ИС, создаются главным образом «Тематической группой по технологии Internet» (Internet Engineering Task Force, IETF) и ее под-
разделением – рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IP-уровне (IPsec). Кроме этого, анализируется защита на транс-
портном уровне (Transport Layer Security, TLS), а также на уровне приложений (спецификации GSS-API, Kerberos). Необходимо отметить, что интернет-сообщество уделяет должное внимание административному и процедурному уровням безопасности («Руководство по информационной безопасности предприятия», «Как выбирать поставщика интернет-услуг», «Как реагировать на нарушения информационной безопасности»).
Ввопросах сетевой безопасности невозможно разобраться без освоения спецификаций X.800 «Архитектура безопасности для взаимодействия открытых систем», X.500 «Служба директорий: обзор концепций, моделей и сервисов» и X.509 «Служба директорий: каркасы сертификатов открытых ключей и атрибутов».
Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила», полезный для руководителей организаций и лиц, отвечающих за информационную безопасность, без сколько-нибудь существенных изменений воспроизведен в международном стандарте ISO/IEC 17799.
ВРоссийской Федерации информационная безопасность обеспечивается соблюдением указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.
145
Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».
Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».
За время своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:
♦Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25.11.1994 г.).
♦Руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997 г.).
♦Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД
кинформации» (Гостехкомиссия России, 1992 г.).
♦Руководящий документ «Концепция защиты средств вычислительной техники отНСД к информации» (Гостехкомиссия России, 1992 г.).
♦Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.).
♦Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.).
♦Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.).
♦Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001 г.).
146
Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизированных систем.
Руководящий документ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации на базе перечня показателей защищенности
исовокупности описывающих их требований. Основой для разработки этого документа явилась «Оранжевая книга». Этот оценочный стандарт устанавливает семь классов защищенности СВТ отНСД к информации.
Самый низкий класс – седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
♦первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
♦вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
♦третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
♦четвертая группа характеризуется верифицированной защитой
ивключает только первый класс.
Руководящий документ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
♦наличие в АС информации различного уровня конфиденциальности;
♦уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
♦режим обработки данных в АС – коллективный или индивидуальный.
В документе определены девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
147
Впределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
Втабл. 6.1 приведены классы защищенности АС и требования для их обеспечения.
Таблица 6.1 Требования к защищенности автоматизированных систем
Подсистемыитребования |
|
|
|
Классы |
|
|
|
|||
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
Б |
1А |
||
|
||||||||||
Подсистема управлениядоступом |
|
|
|
|
|
|
|
|
|
|
Идентификация, проверкаподлинностиикон- |
|
|
|
|
|
|
|
|
|
|
троль доступасубъектов: |
|
|
|
|
|
|
|
|
|
|
– всистему |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
– ктерминалам, ЭВМ, узлам сети ЭВМ, каналам |
– |
– |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
связи, внешнимустройствам ЭВМ |
|
|
|
|
|
|
|
|
|
|
– кпрограммам |
– |
– |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
– ктомам, каталогам, файлам, записям, полям |
– |
– |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
записей |
||||||||||
|
|
|
|
|
|
|
|
|
||
Управление потокамиинформации |
– |
– |
– |
+ |
– |
– |
+ |
+ |
+ |
|
Подсистема регистрации иучета |
|
|
|
|
|
|
|
|
|
|
Регистрация иучет: |
|
|
|
|
|
|
|
|
|
|
– входа/выхода субъектов доступа в/из системы |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
(узла сети) |
|
|
|
|
|
|
|
|
|
|
– выдачи печатных (графических) выходных |
– |
+ |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
документов |
||||||||||
|
|
|
|
|
|
|
|
|
||
– запуска/завершения программ и процессов |
– |
– |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
(заданий, задач) |
||||||||||
|
|
|
|
|
|
|
|
|
||
– доступапрограммсубъектовдоступактерми- |
|
|
|
|
|
|
|
|
|
|
налам, ЭВМ, узламсетиЭВМ, каналам связи, |
– |
– |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
внешнимустройствам ЭВМ, программам, то- |
||||||||||
|
|
|
|
|
|
|
|
|
||
мам, каталогам, файлам, записям, полям записей |
|
|
|
|
|
|
|
|
|
|
– изменения полномочий субъектов доступа |
– |
– |
– |
– |
– |
– |
+ |
+ |
+ |
|
– создаваемых защищаемых объектов доступа |
– |
– |
– |
+ |
– |
– |
+ |
+ |
+ |
|
Учет носителей информации |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
Очистка (обнуление, обезличивание) освобождае- |
|
|
|
|
|
|
|
|
|
|
мых областейоперативнойпамятиЭВМ ивнеш- |
– |
+ |
– |
+ |
– |
+ |
+ |
+ |
+ |
|
них накопителей |
|
|
|
|
|
|
|
|
|
|
Сигнализацияпопытокнарушениязащиты |
– |
– |
– |
– |
– |
– |
+ |
+ |
+ |
|
Криптографическая подсистема |
|
|
|
|
|
|
|
|
|
|
Шифрованиеконфиденциальной информации |
– |
– |
– |
+ |
– |
– |
– |
+ |
+ |
|
Шифрованиеинформации, принадлежащей раз- |
|
|
|
|
|
|
|
|
|
|
личным субъектам доступа(группамсубъектов) |
– |
– |
– |
– |
– |
– |
– |
– |
+ |
|
наразныхключах |
|
|
|
|
|
|
|
|
|
|
148
Окончание табл. 6.1
Подсистемыитребования |
|
|
|
Классы |
|
|
|
|||
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
Б |
1А |
||
|
||||||||||
Использование аттестованных (сертифицирован- |
– |
– |
– |
+ |
– |
– |
– |
+ |
+ |
|
ных) криптографических средств |
|
|
|
|
|
|
|
|
|
|
Подсистемаобеспечения целостности |
|
|
|
|
|
|
|
|
|
|
Обеспечениецелостностипрограммных средстви |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
обрабатываемой информации |
|
|
|
|
|
|
|
|
|
|
Физическая охрана средств вычислительнойтех- |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
ники иносителей информации |
|
|
|
|
|
|
|
|
|
|
Наличиеадминистратора(службы защиты) ин- |
– |
– |
– |
+ |
– |
– |
+ |
+ |
+ |
|
формациив АС |
||||||||||
|
|
|
|
|
|
|
|
|
||
Периодическое тестирование СЗИ НСД |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
Наличиесредстввосстановления СЗИ НСД |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
Использование сертифицированных средств |
– |
+ |
– |
+ |
– |
– |
+ |
+ |
+ |
|
защиты |
||||||||||
|
|
|
|
|
|
|
|
|
||
Примечание:
«–» нет требований к данному классу; «+» есть требования к данному классу;
«СЗИ НСД» – система защитыинформацииот несанкционированного доступа.
По существу, в табл. 6.1 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации.
Требования по обеспечению целостности представлены отдельной подсистемой [3].
Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определеннуюобласть функционирования МЭ.
Всего выделются пять показателей защищенности:
–управление доступом;
–идентификация и аутентификация;
–регистрация событий и оповещение;
–контроль целостности;
–восстановление работоспособности.
149
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
–простейшие фильтрующие маршрутизаторы – 5-й класс;
–пакетные фильтры сетевого уровня – 4-й класс;
–простейшие МЭ прикладного уровня – 3-й класс;
–МЭ базового уровня – 2-й класс;
–продвинутые МЭ – 1-й класс.
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п. Согласно первому из них устанавливаются девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдаются иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации АС.
6.2. ОЦЕНОЧНЫЕ СТАНДАРТЫ И ТЕХНИЧЕСКИЕ СПЕЦИФИКАЦИИ. МЕЖДУНАРОДНЫЙ СТАНДАРТ «ОРАНЖЕВАЯ КНИГА»
Мы приступаем к обзору стандартов и спецификаций двух разных видов:
– оценочных стандартов, направленных на классификацию информационных систем и средств защиты по требованиям безопасности;
150