Содержание к диссертации
Введение
1 Обоснование необходимости опенки и регулирования рисков для информационно-технологической инфраструктуры критически важных объектов 13
1.1 Критически важные объекты и их информационно-технологические инфраструктуры 13
1.2 Автоматизированные системы управления и информационно- технологическая инфраструктура критически важных объектов 18
1.3 Угрозы, цели и особенности атак на информационно- технологическую инфраструктуру критически важных объектов 22
1.4 Инструментарий риск-анализа и теория экстремальных значений в контексте обеспечения безопасности критически важных объектов 26
1.5 Предельные распределения экстремальных значений переменных состояния как инструмент оценки и регулирования рисков 30
1.6 Выводы по первой главе 31
2 Аналитическая опенка ущерба и риска превышения пороговых значений критичных переменных состояния .. 32
2.1 Пути аналитического развития инструментария оценки рисков для критичных переменных состояния 32
2.2 Параметры и характеристики риска для одной переменной состояния 44
2.3 Оценка риска для множества переменных состояния 47
2.4 Аналитическая оценка функций чувствительности критичных переменных состояния 51
2.5 Выводы по второй главе 65
3 Управление рисками атакуемой информационно-технологическойинфраструктуры критически важных объектов 66
З.ІМеханизм и алгоритм управления 66
3.2 Оценка эффективности защиты 73
3.3 Формализация процесса управления рисками в информационно технологической инфраструктуре критически важного объекта 80
3.4 Выводы по третьей главе 104
Заключение 105
Библиографический список
- Автоматизированные системы управления и информационно- технологическая инфраструктура критически важных объектов
- Инструментарий риск-анализа и теория экстремальных значений в контексте обеспечения безопасности критически важных объектов
- Параметры и характеристики риска для одной переменной состояния
- Формализация процесса управления рисками в информационно технологической инфраструктуре критически важного объекта
Автоматизированные системы управления и информационно- технологическая инфраструктура критически важных объектов
Развитие информационного общества сегодня характеризуется широким внедрением автоматизированных систем управления (АСУ) сложными организационно-техническими комплексами различного назначения. Одним из примеров подобных организационно-технических комплексов являются АСУ ТПКВО.
Управление КВО предполагает получение информации о состоянии ТП, ее обработку, анализ и принятие решения. Первичным в этой схеме является управляемый объект (например, ядерный реактор), так как его вид, структура, организационные и технические особенности принципиально влияют на систему получения информации, ее смысловой анализ, содержание управленческих решений. То есть управляемый объект во многом определяет структурную и функциональную организацию системы управления КВО [6-8].
Отличительной особенностью современных АСУ ТП КВО является их ориентация на управление распределенными объектами. В этих системах объект управления является совокупностью взаимосвязанных объектов, составляющих совместно функционирующее техническое оборудование, производственно-технологическую цепочку, звенья организационно-административной системы.
Компоненты таких систем в КВО весьма разнородны как по виду, так и по объему передаваемой и принимаемой ими информации: датчики, автоматизированные рабочие места, устройства сбора и обработки информации различных подразделений КВО, центры сбора, хранения и обработки информации и прочие комплексы. При этом возможно взаимодействие между подсистемами обработки информации ИТИ разных уровней иерархии, а также между подсистемами терминальных средств ТП с одной стороны и подсистемами обработки данных с другой, включая удаленный доступ различных классов пользователей к вычислительным и информационным ресурсам для выполнения основной целевой функции системы управления. Обязательным является использование функции обмена данными, как основы информационного взаимодействия между территориально распределенными вычислительными средствами различных подсистем, которая предполагает реализацию целой совокупности взаимосвязанных процедур сетевого информационного обмена.
ИТИ КВО представляют собой крупномасштабные системы, характеризующиеся наличием множества процессов, многообразием причинно-следственных взаимосвязей между ними. Основные их свойства обусловлены наличием: - технологических задач, связанных с поддержанием определенной последовательности операций ТП КВО; - коммуникационных задач, связанных с обеспечением достаточного взаимодействия элементов ТП КВО; - задач обработки информации, связанных с анализом, структуризацией и обработкой переменных состояния ТП КВО.
В целом, в ИТИ КВО можно выделить две части: технологическую и функциональную. Технологическую часть ИТИ КВО составляют информационная инфраструктура, программно-аппаратная инфраструктура, общее программное обеспечение, математическое обеспечение, организационное обеспечение и т.д. Это часть предназначена для поддержки всех задач, решаемых ИТИ КВО. Функциональная часть ИТИ КВО состоит из набора взаимосвязанных прикладных функциональных программ для реализации конкретных функций управления (управление ТП, планирование, финансово-бухгалтерскую деятельность и т.д.).
В рамках настоящего исследования при рассмотрении системы управления КВО будем условно выделять три взаимосвязанных уровня: - уровень технологических (функциональных, бизнес) процессов, состояние которых характеризуется значениями некоторых параметров. Будем считать, что для нормального функционирования КВО значения указанных параметров должны находиться в определенных допустимых границах значений, которые определяются нормативными документами, эксплуатационной документацией и т.д.; - уровень информационных процессов (функциональное ПО, модули АСУ и т.д., представляющую собой функциональную часть ЙТИ КВО), которые обеспечивают функционирование уровня технологических процессов, и состояние которых также характеризуется значениями некоторых параметров. Будем считать, что для нормального функционирования технологических процессов (т.е. нахождения их параметров в пределах их допустимых значений) значения параметров информационных процессов также должны находиться в определенных допустимых границах значений, выход за пределы которых приводит к выходу за пределы допустимых значений параметров технологических процессов; уровень информационно-технологической инфраструктуры (программно-аппаратные комплексы, базовое ПО и т.д., которые представляют собой технологическую часть ЙТИ КВО), которые обеспечивают функционирование уровня информационных процессов и состояние которых также характеризуется значениями некоторых параметров. Будем считать, что для нормального функционирования информационных процессов (то есть нахождения их параметров в пределах их допустимых значений) значения параметров технологической части ИТИ также должны находиться в определенных допустимых значениях, выход за пределы которых приводит к выходу за пределы допустимых значений параметров информационных процессов.
Инструментарий риск-анализа и теория экстремальных значений в контексте обеспечения безопасности критически важных объектов
Нелинейные и сложные процессы нарушения работоспособности атакуемых элементов ИТИ КВО, разумеется, требуют использования вероятностных методов анализа. Одна из наиболее опасных атак ориентирована на проникновение в систему и организацию нештатных ситуаций с последующим нарушением ее работоспособности.
Рассмотрим подобную ситуацию на примере DOS-атаки (рис. 2.7). Скачок переменной состояния (запросов), произошедший в момент времени th означает, что их количество превысило допустимый порог Хжап и образовалась очередь, объем которой представляет собой разность между пиковым значение Хп и Хяои. Ликвидировать эту коллизию представляется возмоэюным только в темпе присущей рассматриваемой системе производительности обработки данных. Речь идет о максимально возможном количестве операций по ликвидации инцидента, реализуемом в единицу времени Ud- Отсюда время ликвидации коллизии будет равно:
Когда оценка рисков для отдельных переменных состояний осуществлена, т.е. известны законы распределения риска и найдены его параметры для каждой переменной состояния, представляется возможность рассчитать риск атакуемого объекта в целом. При этом будем исходить из того, что ущербы, возникающие в отдельных переменных состояний, слабо зависят друг от друга. Тогда ожидаемый общий ущерб атакуемого канала можно найти как сумму ущербов в отдельных ее переменных состояний. С другой стороны, относительная независимость этих переменных состояний открывает перспективу соответствующих интегральных вероятностных оценок. В этой связи может быть предложено следующее выражение для оценки риска: плотность вероятности появления экстремальных значений xt; N- количество переменных состояния и (Лх) = minw(Axj).
При расчете рисков возможно использование пиковых и средних оценок риска. Так, при пиковой оценке используются координаты максимума риска (Riskmax; XQ), И общее выражение будет выглядеть следующим образом Rmax І - значение максимума риска в /-ой переменной состояния; иі(хо) ущерб для значения переменной, при котором имеет место быть пик риска в /-ой КПС системы. Для усредненных оценок общий риск системы можно рассчитать с помощью выражения
Экстремумы суммарного риска в общем случае не совпадают с указанными максимумами отдельных переменных состояния. Для их определения необходимо решить следующее уравнение:
Прологарифмировав последнее выражение и проведя его эквивалентные преобразования, можно получить[25] уравнение, имеющее аналитическое решение в радикалах, что важно для оптимизации и управления. 2.4 Аналитическая оценка функций чувствительности критичных переменных состояния
Статические риск-модели не дают полной картины функционирования системы, а также не предоставляют возможности объективно оценить параметры защищаемого объекта на предмет эффективности управления информационным риском. Для исследования информационного риска в динамике используются функции чувствительности, с помощью которых становится возможным определение параметров системы, управляющие воздействия на которые могут существенно повысить ее защищенность [93].
В данном разделе производится исследование информационного риска в динамике при изменении критичных переменных состояния (КПС) информационно-технологической инфраструктуры (ИТИ) критически важных объектов (КВО).
График относительной чувствительности функции риска к настройкам по моде В соответствии с рис. 2.9, можно заключить, что значения относительной чувствительности функции риска к изменению моды її также как и значения дифференциальной чувствительности, возрастают с увеличением параметра положения и уменьшением параметра масштаба.
По результатам, проиллюстрированным на рис. 2.10, очевидно, что дифференциальная чувствительность функции риска к изменению пика /? более существенно зависит от изменения параметра положения и существенно возрастает при малых значениях параметра масштаба.
Параметры и характеристики риска для одной переменной состояния
Исходя из вышеприведенных расчетов очевидно, что интегральная оценка эффективности в кризисном диапазоне (Хдоп,Хс) возрастает при росте островершинности и уменьшении параметра формы распределения КПС.
Полученные выше результаты говорят о возможностях использования предлагаемой методики для анализа рисков и оценки эффективности как для критичных переменных состояния ИТИ КВО, так и для широкого класса других систем.
Формализация процесса управления рисками в информационно-технологической инфраструктуре критически важного объекта Задача обеспечения безопасности КВО во многом сводится к обеспечению информационной безопасности автоматизированной системы управления технологическими процессами КВО. Общей целью защиты информации (ЗИ) в ИТИ КВО является предотвращение или снижение величины ущерба, наносимого владельцу и/или пользователю этой системы, вследствие реализации угроз безопасности информации.
Стратегической задачей защиты ИТИ КВО является управление информационными рисками. Формализацию этого процессаиллюстрирует рис. 3.10, где рассмотрены основные этапы и процедуры управления, включая:
Рисунок 3.14 - Структурная схема процесса реализации мероприятий по управлению рисками в информационно-технологической инфраструктуре критически важного объекта 000 формирование базы данных параметров атак и ущербов для ИТИ КВО (см. п.1.3,п.3.1) формирование перечня информации, подлежащей защите формирование перечня критических переменных состояния (КПС) (см. п.1.3,п.3.1) формирование базы данных для пороговых значений КПС, существенных для обеспечения безопасности КВО (см. п.1.3, п.3.1)
Структурная схема процесса реализации мероприятий по управлению рисками в информационно-технологической инфраструктуре критически важного объекта (продолжение) 000 формирование методического обеспечения управления рисков через коэффициенты чувствительности, параметры формы и положения (см. п.1.3, п.3.1) формирование методического обеспечения для оценки эффективности (см. п.1.3, п.3.1) формирование базы данных инцидентов в ИТИ (см. п. 1.3, п.3.1) класса определение кибербезопасности на основании данных о классе кибербезопасности происходит определение базового набора мер ЗИ оценка (те хнико-экономической, социальной и т.п.) целесообразности создания ИТИ в защищенном исполнении формирование требований пользователя к ИТИ формирование и оформление требований пользователя к ИТИ в части требований безопасности информации определение порядка обработки информации в КВО в целом и в отдельных компонентах
В частности, рассмотренные в работе [5] теоретико-игровые и оптимизационные модели позволяют сформировать и использовать на практике эффективные механизмы управления информационными рисками:
1. Для ИТИ КВО модели [5] информационных угроз и модели противодействия им (модели контрмер), могут быть использованы на базе механизмов управления систем, относящихся к информационному классу.
2. Сформированный [5] полный набор моделей и методов организационного управления информационными рисками может быть успешно использован, чтобы противостоять всем основным типам информационных угроз, реализует все базовые типы контрмер, а также в равной степени подходит для ИТИ с различными структурами. Особый практический интерес представляет выделенная группа основных (базовых) механизмов, которые образуют необходимый и минимально достаточный набор моделей и методов управления информационными рисками.
Для распределения ресурса защиты ИТИ на мероприятия по снижению информационных рисков могут быть использованы: - для случая полной информированности центра управления КВО предложенная [5] арбитражная схема распределения ресурса на обеспечение информационной безопасности, особенно представленная в аналитической форме; - для случая ассиметричной информированности центра управления КВО, когда имеет место манипулирование злоумышленником информацией, уместно [5] нахождение минимального суммарного количества распределяемого для обеспечения информационной безопасности ресурса; - для случая ассиметричной информированности также возможно применение рефлексивного управления и найденных оптимальных информационных воздействий, приводящих к требуемому распределению ресурса на обеспечение информационной безопасности.
Для мониторинга могут быть использованы разработанные [5] алгоритмы контроля выбора эффективного набора контрмер при управлении информационными рисками на основе механизма попарного сравнения с использованием квадратичного функционала и определения значений КПС, базовых для управления информационными рисками.
1. Таким образом, в третьей главе разработан алгоритм управления риском деструктивных воздействий на КПС, включая оценку эффективности. Кроме того, предложена подробная схема формализации процесса управления, учитывающая все полученные в диссертации результаты.
2. Представленный выше алгоритм может являться основанием для построения процедур регулирования информационных рисков, возникающих при компьютерных атаках на ИТИ КВО, относящихся к различных сферам деятельности.
Формализация процесса управления рисками в информационно технологической инфраструктуре критически важного объекта
График коэффициента дифференциальной чувствительности функции риска к изменению параметра /? представлен на рис. 2.10, где параметры заданы следующим образом По результатам, проиллюстрированным на рис. 2.10, очевидно, что дифференциальная чувствительность функции риска к изменению пика /? более существенно зависит от изменения параметра положения и существенно возрастает при малых значениях параметра масштаба. График коэффициента относительной чувствительности функции риска к изменению параметра /? представлен на рис. 2.11, где параметры заданы следующим образом: f = 2, х = 1,25, Xд 0 п = 1, X с = 1,5, X = 1, d 1. Согласно полученному на рис. 2.11 графику, относительная чувствительность функции риска к изменению пика /?, в отличие от дифференциальной чувствительности существенно возрастает при уменьшении значений параметра положения.
Теперь найдем частную производную риска к изменению параметра нелинейности ущерба: График коэффициента дифференциальной чувствительности функции риска к изменению параметра f представлен на рис.2.12, где параметры заданы следующим образом: (3 = 0,1, д = 0,75, Xд 0 п = 1,Х с = 1,5, /1=1, d = l.
Согласно графику, представленному на рис. 2.12, относительная чувствительность функции риска к изменению параметра f более существенно зависит от изменения значений КПС, нежели от изменения параметра нелинейности ущерба.
График относительной чувствительности функции риска к настройкам по нелинейности ущерба Как видно из рис. 2.13, относительная чувствительность функции риска к изменению параметра f убывает при увеличении параметра нелинейности ущерба и значений КПС. На основании полученных результатов, можно построить (в первом приближении) уравнения дополнительного движения риска [93]. Представляется, что (2.7) является удобной формой для последующей оптимизации и управления риском. Практический интерес также могут представлять коэффициенты дифференциальной чувствительности риска второго порядка. Получим значение дифференциальной чувствительности функции риска второго порядка к изменению параметра д, для чего возьмем частную производную второго порядка:
График коэффициента дифференциальной чувствительности функции риска к изменению параметра \i представлен на рис. 2.14, где параметры заданы следующим образом: f = 2, х = 1,25, Xд 0 п = 1, X с = 1,5, X = 1, d = 1. d2Risk(x)
Согласно графику, полученному на рис. 2.14, значения дифференциальной чувствительности функции риска второго порядка к изменению моды [і более существенно возрастают при увеличении параметра положения и уменьшении параметра масштаба по сравнению с дифференциальной чувствительностью риска первого порядка к изменению параметра положения.
Далее получим значение дифференциальной чувствительности функции риска второго порядка к изменению параметра /?:
График коэффициента дифференциальной чувствительности функции риска к изменению параметра /? представлен на рис. 2.15, где параметры заданы следующим образом: f = 2, х = 1,25, Хдоп = 1,Хс= 1,5, X = 1, d = 1.
График дифференциальной чувствительности функции риска второго порядка к настройкам по пику В соответствии с рис. 2.15, дифференциальная чувствительность функции риска второго порядка к изменению пика /?, также как и дифференциальная чувствительность первого порядка по данному параметру, более существенно зависит от параметра положения и наиболее существенно изменяется при малых значениях параметра масштаба.
Теперь получим значение дифференциальной чувствительности функции риска второго порядка к изменению параметра f:
График дифференциальной чувствительности функции риска второго порядка к настройкам по нелинейности ущерба Согласно графику, представленному на рис. 2.16, относительная чувствительность функции риска второго порядка к изменению параметра f, также как и относительная чувствительность первого порядка по параметру f, более существенно зависит от изменения параметра нелинейности ущерба, нежели от изменения значений КПС и имеет более существенные значения в отличие от чувствительности первого порядка. С учетом изложенного, уравнение движения риска выглядит [93] следующим образом:
Полученное уравнение движения риска может служить основой для решения задач управления риском ЙТИ КВО. В частности, с использованием аналитического выражения (2.11) представляется возможным многовариантный численный расчет относительных изменений риска, что является основой для управления защищенностью ИТИ КВО.
В качестве примера для одной из критичных переменных атомной электростанции, характеризующей вибрацию вала, на рис. 2.17 изображены поверхности движения риска в случае изменения настроек по моде (а) и пику (б) КПС.
Анализ поверхностей, представленных на рис. 2.17, показывает картину изменения риска для настроек по различным параметрам и согласуется с выражениями (2.7) и (2.11), которые на границе кризисного диапазона (для повышения точности анализа) может быть расширено с помощью чувствительностей второго порядка (2.8)-(2.10). Поверхность риска
Графики семейства 1,2,3 показывают, что, управляя параметрами положения и формьі/fjcj, удается сократить риски утраты работоспособности объектов из-за компьютерных атак.
Пример, иллюстрирующий успешное применение необходимых управляющих воздействий, направленных на ликвидацию последствий успешной атаки на ИТИ КВО, представлен на рис. 3.4, где Т - период времени, прошедший с начала успешной атаки до полной ликвидации последствий этой атаки.
