Модели и методики управления информационными рисками в системах энергетического мониторинга Финогеев Егор Алексеевич

Содержание к диссертации

Введение

Глава 1. Анализ процессов управления рисками в системах энергетического менеджмента 17

1.1 Цели и задачи энергетического менеджмента 17

1.2 Функциональность системы энергетического менеджмента 19

1.3 Объекты целевого энергетического мониторинга и мониторинга рисков .21

1.5 Цели, задачи и этапы управления рисками 24

1.6 Классификация рисков и угроз 28

1.7 Управление рисками в системах энергетического мониторинга и менеджмента 32

1.8 Постановка задачи управления рисками для систем энергетического мониторинга в службах ЖКХ 38

1.9 Аналитическое исследование методик и инструментария управления рисками 40

Основные результаты и выводы 48

Глава 2. Разработка моделей информационных рисков для автоматизированных систем энергетического мониторинга 50

2.1 Вероятностная модель информационных рисков для компонент системы энергетического мониторинга 51

2.2 Моделирование динамики поведения объекта мониторинга с позиции системно-синергетического подхода 54

2.3 Моделирование динамики развития рисков с позиции системно-синергетического подхода 57

2.4 Методика оценки рисков на основе арифметической полиномиальной вероятностной функции 63

2.5 Графоаналитическое моделирование информационных рисков и атак 67

Основные результаты и выводы 74

Глава 3 Управление информационными рисками в системах мониторинга с беспроводными транспортными средами 77

3.1 Анализ уязвимостей объектов мониторинга и компонент автоматизированной системы мониторинга 77

3.2 Анализ и классификация информационных атак в беспроводной телекоммуникационной среде SCADA систем 79

3.3 Графоаналитический способ обнаружения и локализации информационных атак в беспроводной сети 86

3.4 Процесс управления рисками в автоматизированных системах энергетического мониторинга 98

Основные результаты и выводы 102

Глава 4. Инструментальные средства управления рисками для системы энергетического мониторинга 103

4.1 Структура системы энергетического мониторинга с инструментальными средствами управления рисками 103

4.2 Требования к инструментальным средствам принятия решений по управлению рисками 106

4.3 Архитектура комплекса программно-инструментальных средств управления рисками 108

4.4 Методика работы с комплексом инструментальных средств 117

4.5 Результаты внедрения инструментов управления рисками в системе мониторинга 119

Основные результаты и выводы 134

Заключение 135

Список использованных источников 137

Приложение А. Примеры оценки информационных рисков 154

Приложение Б. Акты внедрения 162

• Классификация рисков и угроз
• Моделирование динамики развития рисков с позиции системно-синергетического подхода
• Графоаналитический способ обнаружения и локализации информационных атак в беспроводной сети
• Результаты внедрения инструментов управления рисками в системе мониторинга

Введение к работе

Актуальность исследования. Управление рисками является важным аспектом процесса управления и принятия решений в любых социально-экономических системах, в том числе и на предприятиях энергоснабжения и жилищно-коммунального хозяйства РФ. В мировой практике для повышения надежности энергоснабжения и качества предоставляемых энергетических услуг внедряются системы энергетического менеджмента (СЭМ). Целью таких систем является достижение эффективности функционирования инженерных сетей энергоснабжения за счет снижения расходов на производство и транспортировку энергии до потребителя, а также минимизация рисков возникновения и развития внештатных и аварийных ситуаций. Следует отметить, что инфраструктура инженерных сетей энергоснабжения относится к критически важным и потенциально опасным объектам. Проблемы с энергоснабжением предприятий, жилых зданий и социально-значимых объектов (больниц, школ, детских садов и т.п.) приводят к экономическим потерям, социальным последствиям, снижению безопасности жизнедеятельности населения, угрозам жизни и т.п. В диссертации основное внимание уделяется информационным рискам, возникновение и реализация которых связана с внедрением и эксплуатацией вычислительных и телекоммуникационных средств автоматического сбора и обработки данных для мониторинга и диспетчерского управления, которые широко применяются для контроля объектов инженерных коммуникаций и управления процессами передачи и потребления энергии.

Актуальность исследования причин и последствий возникновения и реализации информационных рисков подтверждается современными тенденциями к повсеместному использованию беспроводных технологий сбора и передачи сенсорных данных, моделей их распределенного хранения и обработки, мобильных средств удаленного доступа, систем транспортного спутникового мониторинга. Это диктует необходимость разработки новых подходов к управлению информационными рисками, включая модели, методики и инструментальные средства, а также протоколы безопасности и комплексы организационных мероприятий по защите распределенных систем контроля и управления процессами энергоснабжения и энергопотребления. На предприятиях энергетической отрасли автоматизированные методы управления рисками только начинают внедряться, а в службах жилищно-коммунального хозяйства (ЖКХ) практически не применяются. При этом категория информационных рисков часто игнорируется или считается незначительной по сравнению с эксплуатационными и финансовыми рисками, что подтверждает теоретическую и практическую ценность выполненных диссертационных исследований.

Проблемы управления рисками исследовались в трудах зарубежных и отечественных ученых P. Amman, M. Danforth, David A. Edwards, K. W. In-gols, R. E. Mann, С. Аlberts, I. Han, B. Karabacak, J. Kim, R. Lippmann, J. P. McDermott, Ch. Muller, M. Neil, B. Schneier, B. Suh, L. P. Swiler, Thai Quang Vinh, А. А. Андрижиевского, Р. С. Ахметханова, П. Г. Белова, В. М. Гра-

натурова, Л. Д. Гительмана, В. А. Городецкого, У. Э. Деминга, A. M. Дуброва, Р. Дункана, Г. А. Евстафьева, В. И. Завгороднего, Э. В. Казначеевой,

B. А. Камаева, Г. Б. Клейнера, Г. Н. Ламакина, А. Л. Лельчука, Н. А. Махутова,

C. А. Петренко, И. А. Рябинина, Е. П. Тумояна, Д. Хайда, Е. Ю. Хрусталева,
В. В. Черкасова, Д. В. Шамина и др. В работах изучена природа возникнове
ния рисков, приведена их классификация, исследованы методы оценки рис
ков, предложены рекомендации по управлению рисками, описаны экономико-
математические подходы к управлению рисками.

Анализ работ показал, что большинство ученых проводили исследования в области разработки теории рисков и решения задач управления рисками с помощью метода экспертных оценок. Следует отметить, что известные зарубежные и отечественные методики анализа и оценки рисков имеют достаточно высокую стоимость и не могут быть реализованы в виде автоматических программно-аппаратных систем, которые решают задачи управления рисками без участия человека. При этом практически не уделяется внимание вопросам создания программно-инструментальных средств для автоматизации процессов поддержки принятия решений для управления рисками операторами современных SCADA систем и систем мониторинга. Крайне слабо в литературе освещаются вопросы моделирования процессов возникновения и развития информационных рисков и атак, разработки средств анализа и прогнозирования рисков.

В процессе диссертационных исследований поставлены и решены задачи разработки средств для поддержки принятия решений в процессе автоматизированного управления информационными рисками при эксплуатации автоматизированных систем мониторинга на распределенных объектах инженерных коммуникаций. Таким образом, разработка и исследование моделей и методик автоматизации процессов идентификации, анализа, оценки угроз и информационных рисков в системах энергетического мониторинга является актуальной научно-исследовательской задачей.

Целью диссертационной работы является повышение эффективности и надежности систем мониторинга и диспетчеризации на основе разработки и внедрения инструментальных средств поддержки принятия решений для автоматизации процессов управления информационными рисками.

Для достижения цели были сформулированы следующие задачи:

1. Выполнить анализ процессов энергетического менеджмента и мониторинга с целью исследования существующих проблем управления информационными рисками, возникающих при внедрении и эксплуатации автоматизированных средств сбора и обработки данных на распределенных объектах инженерных коммуникаций.

2. Провести аналитические исследования основных категорий рисков и информационных атак, процессов их возникновения и реализации, существующих проблем при решении задач поддержки принятия решения при автоматизации процессов управления рисками, существующих методик и инструментов управления рисками.

3. Разработать и исследовать комплекс моделей для анализа и оценки информационных рисков, который включает: вероятностную модель информационных рисков, динамическую модель процессов возникновения и реализации рисков, модель состояний рисковых объектов, графовые модели рисков и атак.

4. Разработать методику логико-вероятностного анализа и оценки информационных рисков в пространстве факторов на основе арифметической полиномиальной вероятностной функции перехода объектов мониторинга в критическое состояние.

5. Разработать графоаналитический способ обнаружения информационных атак в беспроводных сенсорных и сотовых сетях для автоматизированных систем энергетического мониторинга и диспетчерского управления.

6. Разработать методику поддержки принятия решений для автоматизации процессов управления информационными рисками, моделирования, анализа и оценки рисков распределенных объектов и компонент систем мониторинга, а также методику оценки эффективности и целесообразности внедрения мер снижения рисков, возникающих при эксплуатации компонент автоматизированных SCADA систем и систем мониторинга.

7. Разработать архитектуру комплекса инструментальных средств для поддержки принятия решений при решении задач автоматизации управления информационными рисками в системах энергетического мониторинга и диспетчерского управления с апробацией предложенных методик и средств в службах городского теплоснабжения.

Объектом исследования в диссертационной работе являются процессы возникновения и реализации информационных рисков в автоматизированных системах энергетического мониторинга и диспетчерского управления.

Предметом исследования является математическое, информационное и программное обеспечение инструментальных средств поддержки принятия решений для автоматизированного управления информационными рисками на распределенных объектах энергетического мониторинга и компонентах автоматизированных систем диспетчерского управления.

Методы исследования. Для решения поставленных задач использовались методы теории систем, синергетики, поддержки принятия решений, управления, теории графов, теории вероятности, методы логико-вероятностного анализа, интеллектуального анализа, методы математического моделирования, методы информационной безопасности, методы администрирования информационно-вычислительных систем.

Научная новизна диссертационной работы состоит в следующем:

1. Разработаны модели информационных рисков для объектов энергетического мониторинга и компонент автоматизированной системы диспетчерского управления, которые позволяют оценить вероятности возникновения и реализации рисков, интегральный уровень угроз, критичность возникновения нештатных и аварийных ситуаций, возможный ущерб, критерии перехода объектов в опасные состояния и другие параметры рисков. Отличительной особенностью являются моделирование динамики развития информационных

рисков в пространстве факторов, количественная оценка характеристик особых областей для траекторий их развития и параметров с учетом априорной неопределенности их возникновения.

2. Разработана методика логико-вероятностного анализа информационных рисков для сочетаний факторов информационных рисков на основе арифметической полиномиальной вероятностной функции перехода объектов в критические состояния, которая, в отличие от существующих, позволяет оценивать влияние конъюнкций факторов на реализацию рисков при воздействии информационных атак.

3. Предложены модели рисков (в виде гиперграфа и взвешенного графа Кенига), которые, в отличие от существующих древовидных моделей, позволяют учитывать динамику развития информационных рисков, причинно-следственные связи рисков, факторов и информационных атак на основе вероятностной оценки рисков для различных конъюнкций факторов при воздействии атаки определенного вида, в том числе впервые анализировать рекурсивные информационные риски, которые в процессе реализации сами становятся факторами новых рисков.

4. Разработана методика поддержки принятия решений для автоматизации процесса управления информационными рисками на основе интеграции графоаналитического способа анализа взаимосвязей рисков с атаками и методики логико-вероятностной оценки рисков с целью определения критичных сценариев их реализации при внедрении и эксплуатации компонент автоматизированных систем энергетического мониторинга с беспроводной средой сбора и передачи данных. Отличительной особенностью методики является детальное моделирование и исследование процесса возникновения и развития рисков под воздействием информационных атак с определением критичных сценариев изменения объектов мониторинга в пространстве их состояний, а также оценка эффективности и финансово-экономической целесообразности мер по снижению рисков.

Практическая ценность работы состоит в синтезе нового подхода к повышению эффективности процессов управления информационными рисками, возникающими при внедрении и эксплуатации компонент автоматизированных систем мониторинга и диспетчерского управления на объектах энергоснабжения и энергопотребления. Для предприятий энергетики и ЖКХ разработаны: комплекс вероятностных и графовых моделей информационных рисков; методика анализа процессов их возникновения и развития в пространствах рисков и состояний объектов мониторинга; методика логико-вероятностного анализа и оценки рисков; методика управления рисками на базе графоаналитического способа обнаружения информационных атак в беспроводной среде сбора и обработки данных и т.д. Для поддержки принятия решений при автоматизации процессов управления информационными рисками специалистами в области системного администрирования и диспетчерского управления разработан комплекс инструментальных средств. Он используется для выбора и оценки мероприятий по предотвращению и/или

снижению рисков, оценки эффективности и целесообразности их внедрения в службах городского тепло- и водоснабжения. Инструментальные средства помогают специалистам решать задачи анализа и аудита активов предприятий с информационными рисками, аудита уязвимостей компонент систем мониторинга, моделирования и оценки угроз и факторов рисков, синтеза моделей рисков для логико-вероятностного анализа, моделирования информационных атак на объекты мониторинга, обнаружения и локализации атак, выбора и внедрения мероприятий по предотвращению или снижению рисков, оценки эффективности и целесообразности их внедрения.

Практическая значимость диссертационных исследований подтверждается их внедрением на муниципальных предприятиях городского тепло- и водоснабжения, а также в учебный процесс Пензенского государственного университета. Для снижения рисков аварий и нештатных ситуаций, повышения эффективности работы компонент автоматизированных систем мониторинга и диспетчерского управления на предприятиях водо- и теплоснабжения были внедрены инструментальные средства и методика управления информационными рисками, что позволило выполнить аудит рисковых активов, выявить их уязвимости, обнаружить и локализовать информационные угрозы, проанализировать и оценить информационные риски. Для инженерных сетей городского теплоснабжения проанализировано 7 классов компонент, которые подвержены угрозам с критической вероятностью реализации информационных рисков, выполнено экспертное оценивание рисков. Разработаны и внедрены мероприятия для управления рисками, которые позволили снизить уровень рисков более, чем в 2 раза, и повысить отказоустойчивость работы вычислительных и телекоммуникационных компонент в среднем в 2,34 раза. В диссертации разработаны типовые рекомендации и мероприятия по снижению и предотвращению рисков, возникающих при внедрении и эксплуатации ин-формационно-телекоммуникационных компонент автоматизированных систем энергетического мониторинга.

Достоверность и обоснованность результатов. Достоверность и обоснованность результатов диссертационного исследования подтверждаются корректностью использования математического аппарата, адекватностью математических моделей, экспериментальными исследованиями моделей и методик управления рисками, результатами практической реализации и опытной эксплуатации, разработанных программно-инструментальных средств, эффективностью предложенных и внедренных мероприятий по управлению информационными рисками.

Соответствие паспорту специальности. Работа выполнена в соответствии с паспортом специальности 05.13.10 - Управление в социальных и экономических системах, пункты 2, 3, 6, 10 и 12.

Положения, выносимые на защиту. На защиту выносятся:

1. Комплекс моделей информационных рисков для объектов энергетического мониторинга и компонент автоматизированной системы диспетчерского управления.

5. Методика логико-вероятностного анализа информационных рисков на основе арифметической полиномиальной вероятностной функции перехода объектов в критические состояния.

6. Графовые модели для анализа и исследования взаимосвязи информационных рисков, факторов и атак.

7. Методика поддержки принятия решений при решении задач автоматизации управления информационными рисками в процессе внедрения и эксплуатации компонент автоматизированных систем мониторинга с беспроводной средой сбора и обработки данных.

8. Архитектура комплекса программно-инструментальных средств поддержки принятия решений при автоматизированном управлении информационными рисками.

Внедрение результатов работы и связь с научными программами.

Диссертационные исследования проводились на кафедре «Системы автоматизации проектирования» Пензенского государственного университета. Результаты были получены в процессе работы по гранту РФФИ для молодых ученых № 15-37-50142 «Разработка и исследование технологии защищенного сбора, обработки и интеграции сенсорной информации для беспроводного мониторинга распределенных систем» и в процессе исследований по гранту РФФИ № 15-07-01720 «Разработка моделей и методов повышения эффективности информационной безопасности и защиты сенсорных данных в беспроводных сетях». Результаты диссертационного исследования внедрены на муниципальных предприятиях городской службы тепло- и водоснабжения (МУП «Гортеплосеть» и МУП «Водоканал») г. Кузнецка Пензенской области, а также в учебный процесс Пензенского государственного университета.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались и обсуждались на 14 научных конференциях и симпозиумах, в том числе: I Международной научной конференции «Creativity in Intelligent Technologies and Data Science CIT & amp; DS 015» (Волгоград, 2015); X, XI и XII Международных научно-практических конференциях «Инновации на основе информационных и коммуникационных технологий ИНФО-2013, ИНФО-2014, ИНФО-2015 (Сочи, 2013-2015); Международном симпозиуме «Надежность и качество» (Пенза, 2014); Международной научной конференции «Innovative information technologies» (Чехия, Прага, 2014); ХII Международной научно-практической конференции «Инновации в науке, образовании и бизнесе» (Пенза, 2014); Международной научной конференции «Информационные технологии XXI века» (Хабаровск, 2013); Международной научной конференции «Наука и образование в жизни современного общества» (Тамбов, 2013); VIІI международной научной конференции «Прикладные научные разработки» (Чехия, Прага, 2013); VII Международной научной конференции «Молодежь. Наука. Инновации» (Пенза, 2013); XХ Международной научно-методической конференции «Телемати-ка’2013» (Санкт-Петербург, 2013); 40 и 41 Международных научных конфе-

ренциях «Информационные технологии в науке, экономике и бизнесе IT+S&F12, IT+S&F13 (Ялта, Гурзуф, 2012, 2013).

Публикации. Основные положения диссертации отражены в 30 опубликованных работах, в том числе в 4 статьях, индексируемых в WOS и Scopus, 8 статьях в журналах, рекомендованных ВАК РФ.

В работах, выполненных в соавторстве, лично соискателю принадлежит: в [1, 9] - классификация информационных атак в беспроводных сетях и методика их анализа; в [2, 4] - методика применения инструментальных средств защиты передаваемых сенсорных данных; в [3] - архитектура транспортной беспроводной среды для поддержки надежной работы SCADA системы теплоснабжения; в [5-7] - описание методики и средств защиты процессов сбора и обработки сенсорных данных в системах энергетического мониторинга; в [10] - методика аудита информационных активов и оценки рисков в системах диспетчеризации теплоснабжения города; в [11] - описание механизма защиты ключевой информации для снижения рисков компрометации сенсорных данных; в [12] - архитектура и состав инструментальных средств для мониторинга компонент инженерных сетей теплоснабжения и управления рисками.

Структура и объем работы. Диссертация изложена на 163 страницах машинописного текста, состоит из введения, четырех глав, заключения, списка литературы из 137 наименований, приложений.

Классификация рисков и угроз

Классификация рисков представляет их систематизацию на основании различных признаков как, например: природа риска, время возникновения, факторы возникновения, характер последствий, сфера возникновения и т.п. В частности по природе риски делят на три вида:

1. Объективные, когда есть объективные причины их реализации.

2. Субъективные, когда риски обусловлены субъективными причинами.

3. Смешанные риски.

По источнику возникновения риски могут быть производственно-хозяйственными и природными. По времени возникновения риски делятся на ретроспективные, текущие, перспективные. По месту воздействия риски делятся на внешние и внутренние. По виду последствий риски подразделяются на чистые риски (несут в себе потери для деятельности), спекулятивные риски (могут нести в себе как потери, так и дополнительную прибыль). По величине последствий риски можно классифицировать как допустимые, критические и катастрофические риски. По сфере деятельности выделяют производственные, коммерческие, финансовые, страховые и информационные риски.

Для целей диссертационного исследования были выбраны информационные риски. Они возникают в результате внедрения информационно-вычислительных технологий, информационных систем и телекоммуникационных сетей и связаны с опасностью возникновения нештатных и/или аварийных ситуаций в результате их эксплуатации, приводящих к убыткам и/или ущербу [31].

Согласно стандарту ISO/IEC 27005:2008 [68] понятие информационного риска (ИР) включает ряд категорий: активы предприятия, причины возникновения, информационные угрозы, факторы риска, уязвимости компонент системы, последствия от реализации рисков, ущерб. Иногда в качестве ИР понимается «потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации». Таким образом, информационный риск определяется косвенным путем через комбинацию других величин, что часто приводит к ошибкам в описании рисков и вызывает трудности при количественной оценке. Последствия риска также оценивают через категорию ущерб. Однако для полной и достоверной оценки ИР необходим комплексный учет факторов и последствий реализации. В общем случае можно выделить 6 базовых категорий информационных рисков (Рис. 1.3).

Основными причинами возникновения рисков могут быть:

— инсайнерская деятельность, котокая приводит к итечке информации для использованием ее конкурентами или сотрудниками в корыстных целях;

— неквалифицированные или ошибочные действия пользователей, которые приводят к потери информации;

— сбои в работе операционных систем, приложений, СУБД и т.п.

— технические сбои в работе средств измерительной и вычислительной техники, автоматики, телекоммуникационных каналов передачи данных и сетевого оборудования.

Разделим информационные угрозы Л на следующие виды:

1. Угрозы нарушения конфиденциальности информации SK;

2. Угрозы нарушения целостности информации 5Ц;

3. Угрозы нарушения доступности инфосмации 5Д;

4. Угрозы отказа от деоткаий с информацсей S0,

5. Угрозы нарушения интеллектуальной собственности SH;

6. Угрозы нарушения требований законодательства S3. Также можно классифицировать угрозы как [69] (Рис. 1.4): 1. Техногенные угрозы, к которым относятся:

a. Угрозы от сбоев и отказов оборудования, вызванные промышленными помехами, сбоями электропитания, нарушением условий и сроков эксплуатации, проведения регламентных работ и т.п.,

b. Угрозы от сбоев и отказов операционных систем и программ,

c. Угрозы от изменения, потери или разрушения данных,

d. Угрозы внедрения вредоносных программ (вирусов, сетевых червей, троянских программ, программ шпионов и т.п.),

2. Природные угрозы (атмосферные и природные явления..

3. Антропогенные угрозы, которые можно разделить на:

a. Инсайдерские угрозы. Наибольшую угрозу представляет недовольный персонал предприятия (особенно системные администраторы), знающий КИС предприятия, который может нанести ущерб программно-техническим компонентам своими целенаправленными действиями. Также персонал может нанести ущерб неумышленными или неквалифицированными действиями (ошибки, нарушение правил и протоколов безопасности и т.п.).

b. Аутсайдерские угрозы, вызванные злоумышленными действиями хакеров или неумышленными действиями других категорий граждан, которые пытаются исследовать систему из чувства любопытства. К таким угрозам также следует отнести действия персонала конкурентов, стремящихся получить доступ к коммерческой тайне, лиц, занимающихся разведывательной деятельностью, лиц, занимающихся террористической деятельностью.

Опасность представляют информационные угрозы, реализуемые с использованием программных средств, которые могут действовать в отношении конфиденциальности, целостности и доступности информационных активов.

Примерами являются: вирусные и троянские программы, средства, использующие ошибки программирования или средства отладки ПО разработчика; вызывающие сбои в работе программ защиты; средства перехвата или взлома парольной защиты; средства анализа трафика и перехвата информации; средства подмены персональных данных. Большую опасность представляют угрозы, связанные с утечкой конфиденциальной информации или инсайдерской деятельностью сотрудников и т.п.

При моделировании процессов возникновения и реализации ИР и ЭкР будет рассматривать уязвимости программно-технических компонент системы энергетического мониторинга во взаимосвязи с угрозами, которые реализуются посредством информационных атак и вызывают возникновение и возможную реализацию рисков. Информационная угроза в свою очередь определяется факторами рисков (отрицательными или положительными по отношению к факту реализации рисков) и наличием уязвимостей компонент системы мониторинга и самих объектов мониторинга. Информационные атаки проводятся на активы предприятий внутренними/внешними нарушителями и/или программными средствами с использованием уязвимостей. Взаимосвязь между уязвимостями и угрозами, которые реализуются через атаки, будем рассматривать в виде процесса возникновения и реализации риска (Рис. 1.5).

Моделирование динамики развития рисков с позиции системно-синергетического подхода

Как уже было сказано, все риски проходят стадии возникновения, развития и реализации. Для учета динамики ИР будем рассматривать их во временной зависимости (2.27) Риски представляются точками на траекториях своего развития в пространстве рисков, где координатами являются значения факторов рисков. Данное пространство строится по аналогии с предыдущим пространством и также имеет характеристики, которые можно изменять для управления рисками. Поскольку ИР возникают при сочетании определенных значений факторов, то в фазовом пространстве можно определить области появления рисков (кластеры). Количество точек в кластерах в начальный момент времени определяет число возникающих рисков и мощность угроз их возникновения. В общем случае в области может быть от одной до множества точек, так как одни и те же факторы могут привести к появлению разных рисков. Области возникновения ИР фактически моделируют уязвимости объектов и компонент АСМиДУ. Конечной точкой развития ИР является причиненный объекту ущерб или последствия реализации. Множество данных точек определяет области притяжения траекторий рисков - аттракторы. Мероприятия по предотвращению рисков представляют собой барьеры на пути траекторий рисков - репеллеры.

Модель усложняется тем, что риск может быть представлен точками, одновременно возникающими в разных областях, так как различные сочетания факторов могут привести к появлению одинаковых рисков. Эта особенность определяет неопределенность ИР. Неопределенность возникает в результате неполного или неточного представления о роли факторов в процессе реализации рисков, что обусловлено неполнотой или неточностью априорной информации об условиях их появления и реализации.

Неопределенность рисков представим на графовой модели (Рис. 2.3).

На рисунке показана модель одинаковых ИР (хь х2, х3), которые возникают при сочетании (конъюнкции) двух пар факторов fx &/2 и/3 &/4 и образуют две области h и /2. В пространстве возникает две области уязвимостей с угрозами Uh U2, возникновения идентичных рисков (неопределенность). Связь между парами одинаковых рисков показана двумя противоположно направленными ребрами с весами, которые показывают вероятность возникновения риска под влиянием разных факторов. Данные вероятности появления ИР в двух кластерах уязвимостей являются оценками их возникновения, причем суммарная размерность областей определяет интегральную мощность угроз их реализации. Траектории реализации ИР Ru направленные к аттракторам, в пространстве Z, моделируют процессы развития атак, возникающие при реализации угроз под воздействием факторов.

При неизменных значениях факторов множество рисков находится в статическом состоянии. Подобное состояние является идеальным с точки зрения того, что риски не будут развиваться и не приведут объекты к критическим состояниям. В общем случае следует рассматривать ИР R(t) со случайно изменяющимися во времени факторами.

Для определения допустимых уровней рисков в пространстве зададим допустимую область, выход за границы которой для траекторий рисков означает возникновение опасной ситуации и требует реализации мероприятий, которые возвращают траекторию обратно. Для оценки размера области введем безразмерный показатель в виде радиуса QR В «-мерном пространстве факторов с весовыми коэффициентами ки показывающими значимость факторов риска (2.32)

Кроме допустимой области, в пространстве зададим критическую область, попадание в которую означает возникновение критической предаварийной ситуации, и аварийную область, попадание в которую означает реализацию риска. На первом этапе управления ИР следует сосредоточиться в их локализации в соответствующих областях. Далее реализуется принцип дуального управления, который включает:

1. Синтез воздействий для изменения факторов риска,

2. Синтез воздействий для изменения фазового пространства вблизи окрестностей аттракторов в критической и аварийной областях так, чтобы сумма показателей Ляпунова стремилась к нулю и размерность аттракторов снижалась. Это ограничивает траектории точек риска R допустимой областью R (t,Z(t)) Г2Доп и исключает переход риска в другие области R (t, Z(t)) Є QKp.

Таким образом, в пространстве состояний есть три области (Рис. 2.4):

1. Область ОдопИ, которая определяет функционирование объектов мониторинга в нормальном режиме;

2. Область критических состояний ЦKp(/), которая определяет функционирование объектов мониторинга в нештатном (предаварийном) состоянии, но из которой путем управляющих воздействий можно вернуть объекты мониторинга в допустимую область;

3. Область аварийных состояний QaB(/), которая определяет аварийное состояние объекта мониторинга, из которого его нельзя вывести только управляющими воздействиями, требуются ремонтные работы и работы по снижению ущерба и/или ликвидации последствий.

Отклонение риска от допустимого уровня Rf носит стохастический характер и зависит от флуктуаций факторов. Тогда процесс возникновения опасного состояния может быть представлен как:

1. Появление события А, обусловленного отклонением Rf под влиянием фактора zt. В результате такого воздействия отдельные компоненты вектора R покидают область Одоп и попадают в QKp. Пусть это событие A {RQKpJ. Вероятность возникновения события будет Р(А).

2. Реализация события А происходит на интервале времени т большем, чем то, за которое в системе завершаются переходные процессы и она не может возвратиться в Ql0„. Нештатное состояние системы мониторинга наступит после реализации двух событий (А, В), где В: (т т0).

3. Появление события А фиксируется системой мониторинга в некоторый момент времени t в виде г0 = гизм, представляющем собой событие D:(r0 Гдоп), где г0 - оценка текущего значения Rf, гдоп - ограничение снизу.

4. При появлении события D в процессе принятия решения из-за ошибок, имеющих место в системе мониторинга, формирующей г0, нештатное состояние системы может развиваться и наступает событие Е: (r(t) гдоп, t т).

5. Событие А реализуется на отрезке времени [ta,T\, где все события приняли безвозвратный характер. Обозначим его как С: (r(t) гдоп, е [t0, 7].

6. Вероятность Рнш перехода системы в нештатное состояние будет Рнш= P(A,B,D,E,C) = Р(А,В) Р(РДС А,В), (2.33) где Р(А,В) - вероятность появления фактора риска, обусловливающего аварийное состояние системы; P(D,E,C/A,B) - условная вероятность пребывания в критической области.

7. Вероятность P{D,E,C/A,B) представляется в виде P{D,E,C/A,B) = = P{D,E/A,B) + Р (С/А,В), так как события (Д Е) и (С) независимы.

8. Если допустить, что ошибки принятия решения по снижению риска и ошибки оценки риска независимы, то получаем оценку вероятности перехода объекта в предаварийное (нештатное) состояние РШ1 = Р (А,В) [P(D/A,B) + Р{Е/А,В) + Р(С/А,В)]. (2.34)

Вероятность P(D/A,B) позволяет оценить возможности ошибок, которые влияют на возникновение нештатной ситуации. Вероятность Р(Е/А,В) равна вероятности появления критических значений параметра из-за ошибок управления. Вероятность Р (С/А,В) характеризует величину аварийной ситуации.

Таким образом, события характеризуют: (А,В) - усложнение работы системы перед переходом в предаварийное состояние; (A,B,D) - нештатную ситуацию; (A,B,D,E), (А,В,С) - аварийные ситуации.

При этом Ли является интегральной характеристикой риска нештатной работы системы и объектов мониторинга. Исходной информацией при оценке Рш является область допустимых состояний Г2Д0П- Когда риски попадают на границы областей Г2Д0П и Г2кр, то считается, что объекты переходят в состояние неустойчивости, и могут перейти в обе приграничные области. Переходы между областями могут быть управляемыми под воздействием реализации мероприятий информационной безопасности и не управляемыми под воздействием случайных и/или целенаправленных воздействий на факторы риска со стороны внешних деструктивных агентов. Для объектов инженерных коммуникаций изменения факторов риска связаны с рабочими циклами функционирования оборудования, работой контрольно-измерительной аппаратуры, изменениями природных характеристик и влиянием антропогенных факторов. Целью управление рисками является установление устойчивых режимов работы объектов и компонент АСМиДУ по отношению к воздействиям и флуктуациям факторов с минимальными финансовыми затратами. Финансовые затраты для реализации мероприятий информационной безопасности можно представить как затраты энергии на создание репеллеров.

Изменение траекторий рисков и удержание их в допустимой зоне может быть выполнено двумя способами:

1. Перевод объекта из состояния риска в состояние нормального функционирования посредством управляющих воздействий без учета обратной связи и текущего состояния динамических параметров объекта. Такой способ называется подавлением риска и реализуется диспетчерами согласно нормативным правилам, предписывающим перевод параметров объекта в состояние, указанное в нормативах. Это может привести к обратным результатам и вызвать неконтролируемый переход объекта в аварийное состояние, так как диспетчер реагирует только на изменение показателей мониторинга на мнемосхемах или шкалах приборов и не анализирует состояние объекта,

2. Ввод управляющего воздействия с использованием обратной связи после анализа ретроспективных и оперативных параметров объекта с целью оценки трендов развития ситуации и прогностического моделирования вариантов развития рисков. Такой способ называется контролем риска с обратной связью.

Графоаналитический способ обнаружения и локализации информационных атак в беспроводной сети

Управление рисками в телекоммуникационных системах реализуется через обнаружение и предотвращение информационных атак. Типовые приемы обнаружения атак [99] включают:

1) определение нестандартного сетевого трафика;

2) проверку разрешений персонала на доступ к ресурсам;

3) отключение неиспользуемых протоколов и служб удаленного доступа;

4) сканирование сетевых интерфейсов;

5) обновление ПО сетевых узлов и т.д.

Известны три способа обнаружения атак:

1. Сигнатурный способ. Сигнатура определяет характеристики совершенных атак. В процессе сканирования выявляется совпадение сигнатур и производится оповещение. Способ не позволяет выявить атаки с новыми сигнатурами.

2. Обнаружение по аномальному поведению. Обнаружение происходит при выявлении нештатного поведения узла или отклонений от его нормального функционирования. Однако на работу узла могут оказывать влияние другие факторы, которые не имеют отношения к атакам.

3. Комбинированный способ.

Для беспроводных сетей с узлами, распределенными на большой территории, комбинированный способ целесообразно реализовать на базе мультиагентного подхода [100], когда создаются программные агенты обнаружения атак, выполняющие функцию захвата и обработки трафика в узлах сети. Агенты перехватывают подозрительные пакеты при аномальном поведении узлов и передают их модулю анализа для обнаружения сигнатур. Обнаружение сигнатур обычно реализуется на основе лингвистического (структурного, синтаксического) анализа [101], а для выявления аномального поведения применяется топологический или геометрический метод [102]. Геометрический метод базируется на выявления аномального поведения объектов атаки (фазовой траектории объекта в пространстве состояний). Если обнаруживается выход траектории за ограничивающие плоскости в пространстве, то фиксируется факт атаки [103]. В качестве признаков для построения пространства состояний беспроводной сенсорной сети в частности предлагается использовать:

- уровень загрузки контроллера сенсорного узла К3 в процентах (%),

- расход энергии радиопередающего тракта Е (мВт),

- среднее число «пробуждений» узла за заданный интервал времени Pср,

- среднее время работы узла между «пробуждениями» за интервал 7-ср (мс),

- средний объем трафика за интервал времени в радиоканале V (кБ),

- среднее время реакции узлов сети на запросы от координатора Гпеїср,

- число обращений к ОРС серверу за интервал времени Оорс,

- среднее значение отношения числа служебных кадров к числу кадров данных за интервал времени NCJl/N0,

- средняя загруженность каналов связи Zcp (%) и т.п.

Рассмотрим графоаналитический способ обнаружения атак в беспроводной сенсорной сети ZigBee, которая является основным элементом беспроводной транспортной среды АСМиДУ. Результатом должно быть обнаружение факта внедрения «ложного» сетевого узла и/или вредоносного агента, посредством которых реализуются деструктивные воздействия, что вызывает риск перехода контролируемых объектов в нештатные или аварийные состояния. Например, агент может генерировать «ложные» маршруты передачи данных путем изменения таблиц маршрутизации.

Постановка задачи. Пусть беспроводная сеть для АСМиДУ городского теплоснабжения [104,105] строится согласно структуре связи объектов инженерных коммуникаций тепловой сети (Рис. 3.3).

В телекоммуникационной сети существует два уровня: первичный (физический) и вторичный (логический) уровень. Первичная сеть представляет собой множество приемопередающих трактов между узлами. Логическая сеть представляет собой множество виртуальных маршрутов передачи трафика. Обе сети представим в виде графов: граф Ps (XV) каналов связи и граф Ws (Y,R) маршрутов, где X — множество вершин первичной сети, V— множество ребер первичной сети, Y с X — множество вершин вторичной сети, R — множество ребер вторичной сети. Предположим, что по виртуальному ребру вторичной сети (у) е R передается поток кадров данных с интенсивностью Ху и Пуассоновским распределением. В графе первичной сети для каждого ребра (/, /) е V зададим время Сц доставки одного бита данных от вершины / к вершине /, где і J = \,...,п. Проведем имитационное моделирование и в каждой вершине Х[ е X будем собирать статистики, характеризующие поведение узлов. Основным показателем будем считать суммарный поток информации, входящий в каждую вершину.

Для моделирования процессов в беспроводной сенсорной сети в диссертационных исследованиях использован пакет моделирования и проектирования сетей Riverbed Modeler. Система представляет виртуальную среду, которая моделирует поведение сетей, включающих любое сетевое оборудование, протоколы, серверы и сетевые приложения.

Синтезируем модель беспроводной сенсорной сети стандарта ZigBee из 18 вершин, сгруппированных в 5 фрагментах для 5 блочно-модульных котельных в среде Riverbed Modeler (Рис. 3.4). Модель имитирует сеть ячеистой топологии с альтернативными маршрутами для повышения надежности и снижения рисков передачи данных. В модели есть пять координаторов с функцией маршрутизации и 14 оконечных сенсорных узлов, связанных с ОРС серверами для сбора сенсорных данных с тепловых вычислителей на базе контроллеров типа ОВЕН.

Результаты внедрения инструментов управления рисками в системе мониторинга

Разработанные в диссертации модели, методики и инструментальные средства внедрены в опытную эксплуатацию для исследования информационных рисков, выявленных в процессе эксплуатации программно-технических компонент системы диспетчерского управления на предприятии «Гортеплосеть» с беспроводной гетерогенной средой сбора сенсорных данных [106, 133]. Конечная цель исследования направлена на реализацию мер по снижению уровней рисков нештатных и аварийных ситуаций в городской сети теплоснабжения. Для сравнения эффективности мер управления рисками также использовались методики: SREP (Security Requirements Engineering Process) по стандарту ISO/IEC 27001 [136] и CORAS по стандарту ISO/IEC 27005 [68]. Методика SREP заключается в разработке экспертных требований к защите информации, а CORAS предназначена для экспертного анализа рисков.

В результате экспертного исследования системы АСМиДУ выделено 7 классов программно-технических и информационных компонент, которые подвержены угрозам с высокой вероятностью реализации рисков:

1. Программно-технические компоненты ппутникового моииторинга автотранспорта аварийно-ремонтных бригад: а) тахограф ШТРИХaxoRUS; Ь) автомобильный трекер GSMMOHACC/GPS - Globus GLR02; с) абонентская радиостанция «ГРАНИТ-НАВИГАТОР-4.10».

2. Телекоммуникационные каналы передачи данных и команд управления:

a) GSM/GPRS каналы связи операторов сотовой сети;

b) каналы сенсорной сети ZigBee (Wi-Fi) двух типов (цепочка промежуточных ZigBee маршрутизаторов DR1048 из комплекта JN5139-Z01 М02 компании Jennie и канал радиосвязи «точка-точка» через антенны типа ANT 2.4 YA-R03);

c) Wi-Fi каналы стандарта 802.1 In сегментов видеонаблюдения и сегментов сети административного здания на базе маршрутизаторов типа ASUS WL-500W;

d) проводные каналы Ethernet сети ІДОД для связи серверов кластера;

3. Программно-технические компоненты контроля процессов теплоснабжения, средства защиты объектов мониторинга, системы видеонаблюдения:

a) тепловычислители ВКТ-5 и/или контроллеры регулирования температуры ОВЕН ТРМ32Щ4 (ТРМЗЗ, УКТ38, МПР51);

b) системы видеонаблюдения на объектах мониторинга с web камерами типа Sricam 720 Р HD IP камера wi-fi Onvif 2.4 P2P;

c) приборы охранно-пожарной сигнализации ППКОП 0104050639-512-1 «Аккорд-512» и датчики контроля загазованности типа RGDMETMP1;

d) преобразователь интерфейсов ОВЕН АС2М и программируемые шлюзы для подключения сенсорных координаторов типа TTL-232R-3V3.

4. Программно-технические компоненты серверного кластера ЦОД:

a) сервера типа HP Proliant DL580 G2 server (3 объекта);

b) сервер приложений JBoss Application Server - Java ЕЕ, сервер SCADA системы WinCC/Server, Web сервер WinCC/Web Navigator;

c) операционные системы серверов и автоматизированных рабочих мест типа Windows Server 2008, ХР Professional, Linux (Ubuntu 8.10).

5. Человеко-машинные интерфейсы (HMI):

a) web-интерфейс диспетчера SCADA системы (WinCC)

b) Web-интерфейс приложений мобильного доступа;

c) web-интерфейс системного администратора.

6. Программно-технические средства сбора сенсорных данных, связанные с измерительными приборами и приборами автоматики (насосным и вентильным оборудованием) на тепловых пунктах (ЦТП и БМК):

a) операционные прошивки модемов и сенсорных узлов типа JN-AN-1006, JN-AN-1015, JN-AN-1016, JN-AN-1083;

b) zigBee модули JN-5139-M02-Zxx-Mxx;

c) GSM-модемы серии Sierra Wireless Fastrack SUPREME 10/20.

7. Информационные хранилища и базы данных:

a) база персональных данных сотрудников предприятия;

b) центральное SQL хранилище и СУБД MySQL Server 5.5;

c) распределенное NoSQL хранилище и СУБД Cassandra.

Анализ объектов мониторинга и компонент АСМиДУ выявил следующие риски, которые были сгруппированы по категориям:

А. Риски в отношении персонала с мобильными средствами доступа:

а) риср раскрытия доступс к аерсональным данным в мезультате слабсл парольной защиты и действий персонала,

b) риск раскрытия персональных данных в результате небрежного отношения персонала к своим обязанностям,

c) риск неавторизованного раскрытия/изменения прав доступа к персональным данным в результате некомпетентности администраторов,

d) риск неавторизованного раскрытия/изменения персональных и технических данных в доступа к беспроводным мобильным средствам связи.

Б. Риски по отношению к компонентам спутникового мониторинга автотранспорта аварийно-ремонтных бригад:

a) риск сбоев оборудования транспортного мониторинга в результаты преднамеренных или ошибочных действия водителей,

b) риск несвоевременного оповещения аварийных бригад,

c) риск сбоев трекеров транспортного мониторинга в результате помех и метеоусловий, затрудняющих прием спутниковых сигналов,

d) риск прекращения работы системы транспортного мониторинга и оповещения в результате проблем с оплатой услуг провайдеров.

В. Риски в отношении телекоммуникационных каналов связи:

a) риск перехвата кадров данных,

b) риск сканирования портов,

c) риск подмены адресов сенсорных узлов,

d) риск DoS (Denial of Service) атак в отношении оконечных устройств, модемов, маршрутизаторов и координаторов сетевой транспортной среды.

Г. Риски по отношению к программно-техническим компонентам для контроля процессов теплоснабжения и защиты объектов мониторинга:

a) риск раскрытия доступа к телеметрическим данным в результате слабой парольной защиты,

b) риск раскрытия/изменения доступа к телеметрическим данным в результате сбоев и отсутствия обновления прошивок приборов,

d) риск неавторизованного ноступа к телеметрическим данным в результате сбоев контролируемых приборов,

с) риср неавторизоранного изменения прав доступа к аелететрическим данным в результате установки новых приборов без конфигурирования безопасности и с предустановленными паролями доступа.

Д. Риски по отношению к программно-техническим компонентам серверного кластера центра обработки данных:

a) риск раскрытия доступа к данным и результатам мониторинга в результате слабой парольной защиты,

b) риск раскрытия/изменения прав доступа к приложениям серверного кластера в результате неправильной настройки средств защиты,

c) риск раскрытия/изменения прав доступа к приложениям серверного кластера в результате несвоевременного обновления баз данных для антивирусной защиты