2.3. Развитие неформальных методов анализа процессов защиты информации
Из предыдущего изложения следует, что в задачах оценки состояния и прогнозирования уровня безопасности информации стратегия поиска решения, а также большинство этапов интерпретации результатов на сегодняшний день должны строиться в основном на неформальных знаниях эксперта и применяемых им интуитивных методах. При этом рассматриваемые неформальные алгоритмы будут существенно различаться не только от одной задачи к другой, но и в рамках одной задачи у разных экспертов-аналитиков.
В исследовательских процедурах такого уровня сложности единственным реальным способом создания моделей исследуемой ситуации на основе формализации алгоритмов аналитической деятельности может быть только автоформализация знаний эксперта. Таким образом, возникает проблема разработки технологии формализации экспертом своих профессиональных знаний.
В ряде работ Г.Р.Громова, опубликованных им более 20 лет назад (см., например, [30]), предлагается форма автоформализации знаний, основанная на проведении вычислительного эксперимента с моделями, описывающими конкретные объекты предметной области и построенными самими экспертами. Результатом автоформализации в этом случае являются как те новые сведения, которые эксперт получил в ходе эксперимента, так и сами модели, отражающие его глубинные представления о структуре исследуемого объекта и присущих ему качественных и количественных зависимостях. Последовательность и взаимосвязь этапов автоформализации знаний при таком подходе к проблеме показана на структурной схеме, приведенной на рис.2.2.
Рис. 2.2. Последовательность этапов автоформализации знаний
Если распространить этот подход на задачу анализа процессов защиты информации и оценки уровня безопасности информации, то ее постановку можно формализовать в виде четверки:
Z = ‹Ro, Rп, K, U›, (2.1)
где Ro - исходное состояние защищаемой системы, определяемое имеющимися в наличии данными;
Rп - прогнозируемое состояние системы, соответствующее ее потенциальным возможностям противостоять угрозам безопасности информации;
K - знания о системе (элементарные и сложные модели, взаимосвязь между ними, ограничения на отдельные параметры и т.п.);
U - функция полезности системы, соразмеряющая эффективность функционирования и затраты на его обеспечение.
Таким образом, проблему защиты информации можно рассматривать как формальную систему, представляемую выражением (2.1). Функциональная структура процесса принятия решения, отвечающая этому представлению, имеет вид, приведенный на рис.2.3.
Рис. 2.3. Функциональная структура процесса принятия решения
Дадим формализованное описание процесса принятия решения, опирающееся на приведенную функциональную структуру. Установим, что принятие решений сводится к определению эффективных точек в пространстве состояний системы обеспечения безопасности информации.
Данные точки, как следует из предыдущих рассуждений, соответствуют потенциальным возможностям системы и могут быть определены на базе вычислительного эксперимента с имитационной моделью. Таким образом, выходом процесса является набор параметров системы при максимизации ее функции полезности. Процесс принятия решения включает этапы конкретизации параметров и имитационного моделирования.
Конкретизация параметров представляет собой формирование их исходных значений. Основой конкретизации являются знания К, неявно задающие ориентированный граф без циклов G=<X, Г(X)>, где Х - множество вершин G, а Г(X) Х•Х. Среди вершин Х выделяются множества объективных Р и функциональных F вершин (FP=0 и FP=X).
Объективные вершины Р соответствуют множеству априорно заданных и вычисляемых параметров, а функциональные F - способам расчета одних параметров через другие. Конкретизация параметров заключается в поиске пути на графе G от определяемого параметра к априорно заданным параметрам и проведении расчетов по полученной схеме. Каждая функциональная вершина fF определяет макропроцедурный механизм, реализуемый через ряд процедур с заданными приоритетами их применения.
Имитационное моделирование осуществляется на основе исходного состояния системы Ro, целевой функции полезности U и моделей элементов QK. В результате моделирования строится решение Rп, соответствующее потенциальным возможностям системы. Формирование Rп осуществляется на основе построения дерева вывода, каждая новая вершина (Rt,j) которого порождается применением к предыдущему состоянию (Rt-1,j) некоторого преобразования, определяемого моделью QjQ.
Генерация моделей является ключевой в реализации процесса автоформализации знаний. С ее помощью эксперт формализует свои представления о структуре исследуемого объекта и взаимосвязях отдельных элементов в виде системы динамических моделей K, позволяющей ему в дальнейшем проводить с ее помощью вычислительный эксперимент (имитационное моделирование).
Наиболее сложными проблемами в реализации описываемых процедур, связанными со спецификой задач оценки состояния и прогнозирования уровня обеспечения безопасности информации, являются проблемы формирования базы данных и базы моделей.
При формировании базы данных необходимо учитывать, что вся работа по исследованию состояний безопасности информации априори опирается на систему неполных и неточных исходных данных. Во-первых, достоверность их в сильной степени зависит от точности и надежности источника информации и методики ее получения. Во многих случаях достоверность “окрашивается” интуитивным представлением эксперта об объекте и его субъективным отношением к источнику. Во-вторых, не исключена возможность проведения потенциальными злоумышленниками целенаправленной дезинформации с задачей усложнения адекватной оценки их конкретных намерений при проведении тех или иных мероприятий по осуществлению несанкционированного доступа к защищаемой информации.
Перечисленные моменты вынуждают осуществлять разработку методов, которые позволяли бы корректировать в зависимости от поступающих новых сведений достоверность исходных данных, используемых для прогнозных оценок уровня безопасности информации, а также оценивать степень достоверности получаемых на основе этих данных прогнозов.
В постановочном плане проблема учета недоопределенностей в системах математического моделирования неоднократно рассматривалась в различных работах, посвященных построению моделей тех или иных систем. Однако предлагаемые в них подходы требуют для получения необходимых практических результатов предварительного решения фундаментальной проблемы создания аппарата функций от недоопределенных переменных и аппарата многозначных логик. В то же время продвижение в этой области возможно и при использовании для оценки достоверности некоторых эвристических методов и приемов, опирающихся на известную теорему Байеса. Такой подход представляется даже более целесообразным и перспективным с точки зрения построения практических человеко-машинных систем анализа и прогнозирования. При этом следует иметь в виду принципиальную невозможность получения в полном объеме всей объективной информации, необходимой для успешного применения тех или иных математических моделей. Поэтому в такие модели неминуемо вносятся субъективные допущения и догадки их создателей, а эксперт должен иметь возможность конструировать собственные модели, создавая базы моделей и проигрывая на них воображаемые ситуации в интерактивном режиме.
Сложность формирования базы моделей для оценки состояния и прогнозирования уровня безопасности информации заключается в структуризации и формализации самого этого понятия. В терминах системного анализа оптимальный уровень безопасности информации может быть отождествлен с глобально не улучшаемым эффективным вариантом построения системы защиты информации, нацеленным на максимальное удовлетворение потребностей защиты при естественных бюджетных ограничениях, накладываемых на ресурсы. Точки в многомерном пространстве состояний системы, отвечающие критерию эффективности при такой постановке проблемы, можно формально выявить, решая задачу максимизации функции полезности системы защиты информации, которая определяется на множестве частных функций полезности отдельных ее подсистем. При этом формирование математических моделей отдельных подсистем обычно не представляет большого труда, тогда как установление связи между функциями полезности отдельных подсистем и системы в целом оказывается задачей не формальной. Речь здесь может идти лишь о некоторых гипотезах, на основе которых удается построить формальную модель такой связи. Одна из них приводит к функции полезности типа энтропии физической системы. В такой постановке задача оценки уровня безопасности информации рассматривается нами в следующем разделе данной главы.