Комплексная оценка информационной безопасности компьютерных систем и сетей на основе экспертных суждений

В [1] показано, что в качестве математической модели оценки комплексной безопасности системы (KBS), основанной на экспертных суждениях, может быть принят кортеж

KBS = ,             (1)

где G = <{ F_i };{ D_ij }> – ориентированный граф, отражающий влияние различных факторов на уровень комплексной безопасности, имеющий одну корневую вершину и не содержащий петель и горизонтальных ребер в пределах одного уровня иерархии; { F_i } – множество факторов (вершин графа); { D_ij } – множество дуг, соединяющих i -ю и j -ю вершины; F₀ = K – корневая вершина, отвечающая уровню комплексной безопасности в целом (интегральному критерию безопасности). При этом дуги расположены так, что началу дуги соответствует вершина нижнего уровня иерархии (ранга), а концу дуги – вершина ранга, на единицу меньшего; L – набор качественных оценок уровней каждого фактора в иерархии:

L = {очень низкий уровень (ОН), низкий уровень (Н), средний уровень (С), высокий (2) уровень (В), очень высокий уровень (ОВ)}.

На граф G наложена система отношений предпочтения одних факторов другим по степени их влияния на заданный элемент следующего уровня иерархии:

E = {Fi (e) Fj где Fi и Fj – факторы одного уровня иерархии, > – отношение предпочтения, ≈ – отношение безразличия. Данная система может быть получена, например, изложенным в [1] способом нестрогого ранжирования.

Примером такой модели может служить четырехуровневый граф, в котором на нижнем, третьем уровне расположены обозначенные через N_i негативные факторы, влияющие на безопасность системы и Z_i – «демпфирующие» факторы, связанные с применением превентивных мер защиты и призванные ослабить влияние определенных угроз (негативных факторов). На уровень выше расположены обозначенные через U_i угрозы безопасности системы. На первом, предпоследнем уровне находятся частные критерии безопасности K_i . И, наконец, корневой вершине нулевого уровня соответствует комплексный критерий безопасности K .

Построим теперь показатель уровня комплексной безопасности на базе агрегирования значений со всех уровней иерархии факторов на основе качественных данных об уровнях факторов и их отношениях порядка на одном уровне иерархии.

Метод комплексной оценки безопасности

Чтобы произвести оценку уровня комплексной безопасности количественно и качественно, необходимо произвести агрегирование данных, собранных в рамках иерархии G. При этом агрегирование совершается по направлению дуг графа иерархии.

Агрегированию должно подлежать не отдельное значение выбранной функции принадлежности в структуре лингвистической переменной «Уровень фактора», а вся функция принадлежности целиком.

Сформируем лингвистическую переменную «Уровень фактора» с терммножеством значений L вида (2). В качестве семейства функций принадлежности может выступать стандартный пятиуровневый 01-классификатор [2], где функции принадлежности – трапециевидные нечеткие числа:

⎧ОН: ^1 (х) = ^ 10(0,25-х); 0,15 < х < 0,25; (3.1)0; 0,25 < х < 1.

Н: ^ 2 ^{( x )} =‘

0; 0 <  x <  0,15;

10( x - 0,15); 0,15 <  x <  0,25;

1; 0,25 <  x <  0,35;       (3.2)

10(0,45- x );0,35 <  x <0,45;

0; 0,45 <  x <  1,

С: р. 3 ( x ) = «

0;0 <  x <  0,35;

10( x - 0,35); 0,35 <  x <  0,45;

1; 0,45 <  x <  0,55;       (3.3)

10(0,65 - x );0,55 <  x <  0,65;

0;0,65 <  x <  1,

В: p ₄ (x) = «

0;0 <  x <  0,55;

10(x - 0,55); 0,55 <  x <  0,65;

1;0,65 <  x <  0,75;       (3.4)

10(0,85 - x);0,75 <  x <  0,85;

0;0,85 < x < 1,

0;0 <  x <  0,75;

ОВ: ^ 5 (x) = ] 10(x - 0,75); 0,75 <  x <  0,85 . (3.5); _ 1; 0,85 <  x <  1.

В (3.1)-(3.5) x – это 01-носитель (отрезок [0,1] вещественной оси). Стандартный классификатор осуществляет проекцию нечеткого лингвистического описания на 01-носитель, при этом делает это непротиворечивым способом, симметрично располагая узлы классификации (0,1; 0,3; 0,5; 0,7; 0,9) [3]. В этих узлах значение соответствующей функции принадлежности равно единице, а всех остальных функций – нулю. Неуверенность эксперта в классификации убывает (возрастает) линейно с удалением от узла (с приближением к узлу, соответственно). При этом сумма функций принадлежности во всех точках носителя равна единице.

Построенный классификатор есть разновидность так называемой «серой» шкалы Поспелова [4], представляющей собой полярную (оппозиционную) шкалу, в которой переход от свойства А+ к свойству А- происходит плавно, постепенно.

Подобные шкалы удовлетворяют условиям: а) взаимной компенсации между свойствами А+ и А- (чем в большей степени проявляется А+, тем в меньшей степени проявляется А-, и наоборот); б) наличия нейтральной точки А0, интерпретируемой как точка наибольшего противоречия, в которой оба свойства присутствуют в равной степени.

В случае нашего нечеткого классификатора это абсциссы нейтральных точек: (0,2; 0,4; 0,6; 0,8).

Таким образом, мы переходим от качественного описания уровня параметра к стандартному количественному виду соответствующей функции принадлежности (нечеткое трапециевидное число).

Пусть по каждому показателю ( F_*1 … F_*n ) на выбранном подуровне (*) иерархии G известны лингвистические оценки L = ( L_*1 … L_*n ), а также определена система весов Фишберна P = ( p_*1 … p_*n ) на основе приведенной выше системы предпочтений Е. Тогда показатель подуровня F* характеризуется своей лингвистической оценкой, определяемой функцией принадлежности на 01-носителе x .

В подобных случаях для агрегирования обычно применяется OWA-оператор Ягера [5], причем весами в свертке выступают упомянутые выше коэффициенты Фишберна.

Однако, как было показано в [1], аддитивная свертка и осреднение для оценки уровня безопасности системы неприемлемы и необходимо использовать мультипликативную свертку для нахождения интегральных критериев

n

Д. (x) = П ^«Р(x) ’ где (4)

i = 1

• (3.1),    если L * i - очень низкий;

  	(3.2), если L * i - низкий;
  Д * i ( x ) = ’	(3.3), еслиL * i - средний;

  
  
  
  

• (3.4),    если L * i - высокий;

• (3.5),    если L * i - очень высокий.

Полученную функцию (4) необходимо лингвистически распознать, чтобы выработать суждение о качественном уровне показателя F_* . Для этого необходимо соотнести полученную функцию p * (x) и функции P i (x) вида (3). Если

(Vxе[0,1]) sup min (M*(x), Mi(x)) = 0, (6)

то уровень показателя F_* однозначно не распознается как уровень, которому отвечает i -ая «эталонная» функция принадлежности. Стопроцентное распознавание наступает, если выполняется

(Vxe [0,1]) min (m*(x), Mi(x)) = Mi(x). (7)

Во всех промежуточных случаях необходимо задаться мерой уровня распознавания, то есть ввести, так называемый индекс схожести (ИС) [6]. Для этого нужно определить понятие расстояния между двумя нечеткими числами A и B . В качестве такой величины может выступать линейное (хемингово)

р ( A ; ^{B )} = J |а a ⁽ x ) - а в ⁽ x )| dx ,     (8)

или квадратичное (евклидово) расстояние

p ⁽ A ; ^{B )} = J^ m a ⁽ x ) - m в ⁽ x ))² dx ■ (9)

Для определения ИС необходимо вычислить расстояние в точках, где выполняется условие

Mx ) <  ^ i ( x )) ■              (10)

С целью повышения информативности, удобно перейти к относительному расстоянию:

^~ρ = ρ / M (11) где M – «мощность» эталонного нечеткого числа, равная площади фигуры, описываемой его функцией принадлежности. В нашем случае это площадь трапеции и M = (0,3 + 0,1)*1/2 = 0,2.

Для того, чтобы избежать лингвистического несоответствия (чем выше степень близости, тем больше должен быть индекс схожести) и учитывая, что p ( A; B) < 1 , вкачествеИСможнопринятьве-личину:

ИС = 1 - p ( A; B) ■

Тем самым, ИС, изменяясь в диапазоне от 0 до 1, будет характеризовать близость найденной мультипликативной свертки к той или иной эталонной функции принадлежности вида (3).

Следует заметить, что при нахождении сверток значения некоторых показателей для сохранения лингвистического соответствия необходимо предварительно инвертировать. Например, при переходе от уровня негативных факторов N_i и превентивных мер защиты Z_i на уровень угроз безопасности U_i перед нахождением свертки необходимо инвертировать значения показателя Z_i , а при переходе с уровня U_i к уровню частных критериев безопасности K_i , инвертировать значения U_i согласно таблицы 1.

Таблица 1. Инверсия лингвистических переменных

№ терм-множества	Уровень показателя F	Инвертированное значение F
1	ОН	ОВ
2	Н	В
3	С	С
4	В	Н
5	ОВ	ОН

Таким образом, пройдя последовательно снизу вверх по всем уровням иерархии G и применяя соотношения (1 )-(12), мы не только можем путем комплексного агрегирования данных выработать суждение о качественном уровне показателя на каждой ступени иерархии (вплоть до F₀ = K ), но и оценить степень обоснованности данного суждения с помощью ИС.

Таблица 2. Факторы и их уровни («*» — предстоит определить)

	Наименование фактора	Уровень фактора	На какие факторы влияет
К	Комплексная оценка информационной безопасности	*	–
К 1	Критерий защищенности от атак на целостность информации	*	K
К 2	Критерий защищенности от атак на доступность информации	*	K
К 3	Критерий защищенности от информационных атак	*	K
U 1	Уровень «программных» угроз информации	*	K 1 K 2 , K 3
U 2	Уровень физических угроз информации	*	K 1 K 2 , K 3
U 3	Уровень «внутренних» угроз информации	*	K 1 K 2 , K 3
N 1	Уровень вирусной активности	Средний	U 1
N 2	Уровень техногенных угроз информационной безопасности	Низкий	U 2
N 3	Уровень угроз физического проникновения на объект	Высокий	U 2
N 4	Уровень «агрессивности» персонала организации	Средний	U 3

Таблица 2. (окончание)

ад	Наименование фактора	Уровень фактора	На какие факторы влияет
Z 1	Уровень использования программных средств антивирусной защиты	Средний	U 1
Z 2	Уровень физической защиты объекта	Низкий	U 2
Z 3	Уровень контроля за деятельностью персонала	Средний	U 3
Z 4	Уровень настроек политик безопасности	Высокий	U 1 , U 3

Если кроме качественных значений пока зателей имеются и количественные данные, то простейшим способом для их совместного учета при комплексной оценке является загруб-ление полученных количественных оценок до качественного их описания, и последующий переход к изложенной выше модели оценки.

Расчетный пример

Оценим комплексную информационную безопасность компьютерной системы по критериям защищенности от атак на целостность, конфиденциальность и доступность информации. Исходные данные для расчетов приведены в таблице 2.

При этом существует следующая система отношения предпочтений факторов:

для K : K 1 ⎬ K 2 ≈ K 3 для K 1 : U 1 ≈ U 2 ⎬ U 3 для K 2 : U 1 ⎬ U 2 ⎬ U 3 для K 3 : U 1 ≈ U 3 ⎬ U 2 для U 1 : N 1 ≈ Z 1 ⎬ Z 4 для U 2 : N 3 ≈ Z 2 ⎬ N 2 для U 3 : N 4 ⎬ Z 3 ≈ Z 4

В скобках указаны соответствующие систе ме предпочтений веса Фишберна, найденные описанным выше способом нестрогого ранжирования.

Необходимо оценить уровень комплексной информационной безопасности.

Таблица 3. Результаты расчетов

Показа тель	Наименование фактора	Уровень фактора
K	Комплексная оценка информационной безопасности	низкий (0.95)
К 1	Критерий защищенности от атак на целостность информации	низкий (0,82) / средний (0,78)
К 2	Критерий защищенности от атак на доступность информации	средний (0,90) / низкий (0,80)
К 3	Критерий защищенности от информационных атак	средний (0,94) / низкий (0,79)
U1	Уровень «программных» угроз информации	средний (0,96)
U2	Уровень физических угроз информации	В.(0,65) / С.(0,55)
U3	Уровень «внутренних» угроз информации (инсайдинг)	средний (0,95)

Результаты расчетов приведены в таблице 3 (в скобках рядом с уровнем фактора указано значение индикатора схожести с эталонной функцией распределения).

Видно, что, несмотря на близость показателей К₂ и К₃ к уровню «средний», показатель комплексной безопасности К имеет значение «низкий». Это обусловлено тем, что показатель К₁ , имеющий значение «низкий», оказывает по оценкам экспертов большее влияние на уровень комплексной безопасности компьютерной системы, чем К₂ и К₃ .

Выводы

Предложенный метод на основе экспертных суждений может быть применен для оценки комплексной безопасности различных систем. При этом элементы, характеризующие систему, образуют иерархию, а факторы одного подуровня иерархии состоят в отношениях предпочтения/ безразличия друг к другу. В качестве интегрированного критерия при оценке безопасности используется мультипликативная свертка.

Применение модифицированного метода нестрогого ранжирования позволяет определить веса Фишберна для факторов одного уровня иерархии и получить обобщение данных весов на общий случай предпочтения/безразличия факторов по отношению друг к другу.

Разработанный алгоритм проиллюстрирован на примере оценки уровня комплексной информационной безопасности компьютерной системы.