9.3 Оптимальное построение системы защиты для ас
Оптимальным считается решение, доставляющее экстремум некоторому функционалу. Оптимальность решения достигается за счет наиболее рационального распределения ресурсов, затрачиваемых на решение проблемы защиты.
Свойства параметров исследуемых объектов подразделяются на внутренние и внешние. При проектировании системы ее внешние параметры задаются заказчиком или потребителем, а внутренние выбираются разработчиками в процессе проектирования. Между внешними и внутренними параметрами существует взаимосвязь. Например, под внешними параметрами для АС выступают стоимость, время работы, срок сохранности конфиденциальности информации, объем используемой памяти и т.п. В качестве внутренних параметров: криптографический стандарт, длина ключа, время жизни ключа/пароля, система распределения ключей и другие.
После того как каждый параметр компонентов получил количественную оценку, формулируется задача оптимального проектирования. Когда все параметры оценены количественно, она превращается в задачу многокритериальной оптимизации, которая может быть решена математическими методами (линейное, векторное, динамическое программирование).
Критерий оптимальности In= min L(Y,Yтр) формулируется на основе целевой функции L(Y,Yтр), включающей систему показателей (требований), а также указания по поиску ее экстремума (min, max, min max, max min и др.).
В настоящее время используются следующие основные виды целевых функций:
простая
;модульная
;квадратичная
.
Наличие множества различных и зачастую противоречивых критериев оптимальности порождает проблему многокритериальной (векторной) оптимизации процесса ее функционирования. Основными трудностями на пути ее разрешения являются необходимость сокращения размерности векторного критерия оптимальности (ВКО), нормализации и последующей скаляризации (свертки) его компонент.
Уменьшение размерности системы показателей (критериев оптимальности) значительно упрощает решение задачи ВКО. Одним из наиболее распространенных методов редукции является метод, основанный на оценке степени линейной независимости отдельных компонент векторного критерия.
Вычисление матрицы коэффициентов корреляции ВКО проводится на основе следующего выражения:
M
;
=
(9.7)
где
матричная взаимная корреляционная
функция n-го и
-го
критериев диагональные члены которой
являются дисперсиями n-х критериев, а
остальные члены характеризуют степень
линейной независимости любой пары
критериев;
рn, - номера критериев оптимальности;
l=1,…,M- номера дискретных значений критериев;
среднее
значение критерия;
вероятности принятия n (
)-м
критерием значения l;
совместная вероятность принятия n-м
критерием l-го значения и
м
критерием
го
значения.
Редукция
системы критериев осуществляется путем
удаления из исходной системы тех
критериев
,
которым в матрице коэффициентов
корреляции {
}
соответствуют такие недиагональные
элементы, которые превышают величину
0,95. Следует отметить, что критерии
оптимальности в исходной системе должны
быть предварительно ранжированы по
степени их важности для информационной
безопасности АС. Для случая непрерывнозначных
критериев вероятности в выражении (9.7)
должны быть заменены на плотности
распределения, а суммы на интегралы.
Процесс нормализации включает этапы перехода к единой размерности (безразмерности), сведения к одной точке отсчета и переход к равноценным шкалам (одному масштабу). Достаточно полно все перечисленные этапы могут быть выполнены при использовании следующего линейного преобразования:
(9.8)
где
масштабный
коэффициент;
коэффициент сдвига, корректирующий
начало отсчета;
нормированное, наибольшее и наименьшее
значения критериев.
Задача оптимизации по векторному критерию состоит в отыскании решений, удовлетворяющих экстремуму одновременно всех компонент ВКО. Существует два основных пути решения данной задачи: поиск компромиссных решений, оптимальных по Парето, и поиск решений, оптимальных в смысле обобщенного скалярного критерия, полученного путем свертки (скаляризации) всех компонент ВКО. Первый путь связан с трудностями использования строгих математических методов оптимизации для широкого круга задач, а также отсутствием, как правило, единственности искомого решения. В связи с этим этап поиска компромиссных решений имеет вспомогательное значение и используется лишь для предварительного уменьшения размерности исходного множества решений до этапа свертки ВКО.
Суть второго метода заключается в сведении векторной задачи оптимизации к скалярной. При этом формируется обобщенный критерий, значение которого для различных вариантов управления является проекцией всех компонент ВКО на одну числовую ось, что значительно облегчает окончательный выбор оптимального решения, так как существует множество конструктивных скалярных методов оптимизации. К основным методам свертки ВКО относятся:
методы, основанные на последовательной оптимизации по частным критериям (метод ведущей компоненты, оптимизация по ранжированной последовательности критериев, метод последовательных уступок);
методы, основанные на получении обобщенных скалярных критериев (метод аддитивной свертки компонент ВКО с весовыми коэффициентами, метод идеальной (утопической) точки, метод вероятностной свертки).
Особенностями первой группы методов является последовательный (по всем компонентам ВКО) характер решения задачи оптимизации, что приводит к возможности потери компромиссно- оптимального решения уже на первых шагах оптимизации. Основным недостатком метода взвешенной суммы является субъективный характер выбора весовых коэффициентов определяющих важность различных компонент ВКО и, как следствие, субъективность получаемых решений.
Свободным от большинства указанных недостатков является метод идеальной точки, в котором формирование обобщенного критерия оптимальности осуществляется согласно выражению:
(9.9)
где q = 1,2,…- степень целевой функции;
вектор, оптимизируемых по ВКО параметров.
С
могут выступать либо экстремальные
значения n-х критериев, либо требования
к их значениям со стороны заказчика АС.
После решения задач сокращения размерности векторного критерия оптимальности (ВКО), нормализации и последующей скаляризации (свертки) его компонент можно приступать к решению задачи многокритериальной оптимизации. Рассмотрим наиболее распространенные подходы к ее решению.
Вначале необходимо выделить область компромиссов. Каждому из вариантов проекта системы соответствует набор значений q или точка в m-мерном пространстве. Все множество возможных вариантов проектов системы Q можно разделить на два непересекающихся подмножества:
Q = Qk U Qs, (9.10)
, (9.11)
где Qk – область компромиссов, а Qs – область согласия.
Область согласия – подмножество множества вариантов возможных проектов системы, обладающее тем свойством, что любой вариант данного множества может быть улучшен либо одновременно по всем критериям, либо по одному или нескольким из них без ухудшения по остальным критериям.
Область компромиссов – подмножество решений, каждый вариант которого не может быть улучшен по одному или нескольким критериям без ухудшения по одному или более из оставшихся критериев. Еще данную область обозначают следующие термины: «область Парето», «переговорное множество», «область эффективных планов». Оптимальный вариант проекта системы может принадлежать только области компромиссов. Это следует из того, что любой вариант из области согласия может быть улучшен, и оба подмножества не пересекаются.
Выделение области компромиссов важный шаг при выборе варианта проекта системы. Область Парето инварианта к масштабу и шкале измерений локальных параметров и к их приоритету – это характеризует корректность разработанного проекта. Область компромиссов существенно сужает область поиска оптимального варианта.
Часто выделение данной области недостаточно для полного решения задачи, так как область Парето может содержать довольно большое число вариантов. Практически все варианты из этой области равнозначны (и равноправны), выбор сделать крайне сложно. Выделение варианта внутри области компромиссов может осуществляться на основе принятой схемы компромиссов (некоторая аксиоматика). В ряде случаев целесообразно предоставить выбор варианта проекта системы внутри области компромиссов заказчику или пользователю системы, который может учесть характеристики вариантов проекта, не нашедших свое отражение в векторном критерии. Каждое решение будет различаться в некотором или в некоторых параметрах, в этом случае заказчик может сформулировать: какие из параметров являются наиболее важными для него (произвести коррекцию критериев) и, исходя из этого, принимать решение о выборе.
Приведем наиболее распространенные методы поиска решений внутри области компромиссов.
1. Принцип равномерности. Пусть критерии нормализованы и имеют одинаковую важность. Считается целесообразным выбор такого варианта решения, при котором достигается некоторая равномерность показателей по всем критериям. Выделим три принципа реализации принципа равномерности: принцип равенства, квазиравенства и принцип максимина.
Формально принцип равенства описывается следующим образом:
qopt= {q1 = q2
= q3 = … qm }
Qk.
(9.12)
Не всегда существует такой вариант решения, при котором все критерии равны (или он не принадлежит области компромиссов). Тогда применяется метод квазиравенства.
2. При методе квазиравенства требуется достичь приближенного равенства, приближенность задается диапазоном, характеризующимся некоторым значением δ.
3. В принципе максимина из области Парето выбираются варианты проекта с минимальными значениями локальных параметров и среди них ищется вариант, имеющий максимальное значение. В этом случае происходит постепенное увеличение критерия с наименьшим уровнем, пока все значения не окажутся приблизительно равны.
4. Проектировщик должен проверить: не дает ли небольшое отклонение от равномерных критериев значительное улучшение по одному или нескольким критериям. В этом случае целесообразно применять принцип справедливой уступки. Ниже на рисунке 9.3 приведен пример области Парето.
Рис. 9.3. Пример области Парето
На рисунке кружочками изображены возможные варианты решения задачи оптимизации в плоскости «стоимость-уровень защищенности». Номерами обозначены варианты, принадлежащие области компромиссов. Прямые линии показывают ограничения на возможность достижения определенных значений рассматриваемых параметров многокритериальной задачи оптимизации.
При совместном анализе трех параметров, например время-стоимость-защищенность, на графике появляется дополнительная ось. В общем случае, мы имеем дело с n-мерным графиком, где n – число параметров многокритериальной задачи оптимизации.
Если небольшой проигрыш по одному из факторов ведет к значительному выигрышу другого параметра, то это и называется точкой справедливой уступки. Приведенный рисунок демонстрирует, что при очень высоком диапазоне весов, 3-ая точка всегда попадает в лучшую точку уступки. Если множество Парето не содержит в себе характерных точек, то найти точку справедливой уступки крайне затруднительно.
Переход от одного варианта из области компромиссов к другому из этой же области всегда сопровождается улучшением по одному из критериев и ухудшением по другому (другим) критерию. Принцип справедливой уступки основан на оценке и сопоставлении прироста и убыли локальных факторов. Оценка может производиться по абсолютному значению прироста или убыли критериев, либо по относительному (абсолютная и относительная уступка).
5. Метод главной компоненты. Один из критериев объявляется оптимизируемым и выбирается тот вариант решения, при котором значение данного критерия достигает экстремума. На остальные критерии накладываются ограничения.
Так как во многих практических случаях шкалы измерения критериев различны, для поиска решения в области компромиссов производится нормализация пространства критериев. После нормализации можно проводить ранжирование критериев по их важности. Численно это формализуется приписыванием весов каждому из рассматриваемых критериев. Далее в качестве целевой функции выбирается линейная или степенная модель важности и производится поиск оптимального решения подобно выбора наилучшего объекта из списка предложенных.
6. Случайное и неопределенное свертывание показателей. Целевой функцией системы объявляется тот или иной показатель функционирования (внешний параметр). В общем случае частные показатели могут зависеть от случайных или неопределенных факторов. Допустимый вариант проекта системы также может зависеть от случайных или неопределенных факторов. Неопределенность требований к системе, некомпетентность или неуверенность разработчика и заказчика приводят к тому, что выбранная целевая функция (в частности, весовые коэффициенты) случайна. Приведенные методы позволяют производить свертку многокритериальной задачи.
При составлении целевой функции используется математическая модель, где в качестве независимых переменных будут выступать внутренние параметры системы, а значению функции будут соответствовать внешние (искомые) параметры системы. Решение задачи оптимального проектирования СЗИ АС заключается в выборе такого варианта проекта, который при удовлетворении заданных ограничений определяет экстремальное значение некоторой величины, характеризующей безопасность системы. Целевая функция безопасности зависит от каждого из выбранных методов реализации по каждому из требований модели. Выбор оптимального варианта системы осуществляется следующим образом: экспертная комиссия обрабатывает требования заказчика и определяет возможные варианты декомпозиции системы защиты, а также составляет технические задания на варианты реализации подсистем. Далее для каждого варианта декомпозиции отдельно решается задача оптимизации для подсистем.
Оценка и анализ предложенного варианта осуществляется заказчиком системы. Результатом работы приведенного сценария будет оптимальный вариант системы защиты информации АС.