Анализ угроз техногенным объектам
Приведено формально-логическое определение угроз системе. Анализируются методы идентификации и оценки реальных и потенциальных угроз техногенным объектам.
Gespeichert in:
| Datum: | 2002 |
|---|---|
| Hauptverfasser: | , , |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Інститут кібернетики ім. В.М. Глушкова НАН України
2002
|
| Online Zugang: | http://dspace.nbuv.gov.ua/handle/123456789/6370 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Анализ угроз техногенным объектам / В.А. Черноморец, С.К. Горбунов, Н.С.Сташкова // Комп’ютерні засоби, мережі та системи. — 2002. — № 1. — С. 119-126. — Бібліогр.: 9 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
irk-123456789-6370 |
|---|---|
| record_format |
dspace |
| spelling |
irk-123456789-63702010-03-02T12:01:35Z Анализ угроз техногенным объектам Черноморец, В.А. Горбунов, С.К. Сташкова, Н.С. Приведено формально-логическое определение угроз системе. Анализируются методы идентификации и оценки реальных и потенциальных угроз техногенным объектам. 2002 Article Анализ угроз техногенным объектам / В.А. Черноморец, С.К. Горбунов, Н.С.Сташкова // Комп’ютерні засоби, мережі та системи. — 2002. — № 1. — С. 119-126. — Бібліогр.: 9 назв. — рос. 1817-9908 http://dspace.nbuv.gov.ua/handle/123456789/6370 612.4 ru Інститут кібернетики ім. В.М. Глушкова НАН України |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| language |
Russian |
| description |
Приведено формально-логическое определение угроз системе. Анализируются методы идентификации и оценки реальных и потенциальных угроз техногенным объектам. |
| format |
Article |
| author |
Черноморец, В.А. Горбунов, С.К. Сташкова, Н.С. |
| spellingShingle |
Черноморец, В.А. Горбунов, С.К. Сташкова, Н.С. Анализ угроз техногенным объектам |
| author_facet |
Черноморец, В.А. Горбунов, С.К. Сташкова, Н.С. |
| author_sort |
Черноморец, В.А. |
| title |
Анализ угроз техногенным объектам |
| title_short |
Анализ угроз техногенным объектам |
| title_full |
Анализ угроз техногенным объектам |
| title_fullStr |
Анализ угроз техногенным объектам |
| title_full_unstemmed |
Анализ угроз техногенным объектам |
| title_sort |
анализ угроз техногенным объектам |
| publisher |
Інститут кібернетики ім. В.М. Глушкова НАН України |
| publishDate |
2002 |
| url |
http://dspace.nbuv.gov.ua/handle/123456789/6370 |
| citation_txt |
Анализ угроз техногенным объектам / В.А. Черноморец, С.К. Горбунов, Н.С.Сташкова // Комп’ютерні засоби, мережі та системи. — 2002. — № 1. — С. 119-126. — Бібліогр.: 9 назв. — рос. |
| work_keys_str_mv |
AT černomorecva analizugroztehnogennymobʺektam AT gorbunovsk analizugroztehnogennymobʺektam AT staškovans analizugroztehnogennymobʺektam |
| first_indexed |
2025-07-02T09:17:05Z |
| last_indexed |
2025-07-02T09:17:05Z |
| _version_ |
1836526155682807808 |
| fulltext |
Комп’ютерні засоби, мережі та системи. 2002, №1 119
Приведено формально-логическое
определение угроз системе. Ана-
лизируются методы идентифи-
кации и оценки реальных и потен-
циальных угроз техногенным объ-
ектам.
В.А. Черноморец, С.К. Горбу -
нов, Н.С.Сташкова , 2002
ÓÄÊ 612.4
Â.À. ×ÅÐÍÎÌÎÐÅÖ, Ñ.Ê. ÃÎÐÁÓÍÎÂ, Í.Ñ. ÑÒÀØÊÎÂÀ
ÀÍÀËÈÇ ÓÃÐÎÇ ÒÅÕÍÎÃÅÍÍÛÌ
ÎÁÚÅÊÒÀÌ
1.1. Определение понятия «угроза»
Сложившиеся определения понятия «угро-
зы» техногенным объектам заключаются в
том, что таковыми считаются любые события
или обстоятельства, которые могут стать
причиной нанесения ему ущерба или вызвать
нарушение нормального функционирования
[1]. Иными словами, содержание понятия
«угроза» (u) соответствуют описанию логи-
ческих условий реализации причинно-
следственных связей в системе «объект–
среда», заданных в форме импликаций типа –
если произойдет определенное событие (s),
то E(Q) – эффективность функционирования
объекта Q уменьшится.
Здесь по умолчанию принимаются сле-
дующие аксиомы.
1. Многообразие ситуаций в системе «объ-
ект–среда» можно соотнести со значениями
логической переменной «угрозы» U, аргу-
ментами которой являются значения пред-
метных переменных «время» t, «события» S
и «объект» Q.
2. Любое событие s ∈ {S} представляет уг-
розу u объекту Q (т.е. s ≈ u) только в тех слу-
чаях, когда:
а) атрибуты события s в момент его реали-
зации t являются адекватными характеристи-
кам объекта X(Q);
в) атрибуты события s ухудшают показа-
тели эффективности функционирования объ-
екта Q, т.е. E(Q) → min.
То есть, констатация факта наличия угроз
объекту основана на логически непротиворе-
чивой согласованности следующих предпо-
сылок снижения эффективности его функци-
В.А. ЧЕРНОМОРЕЦ, С.К. ГОРБУНОВ, Н.С. СТАШКОВА
Комп’ютерні засоби, мережі та системи. 2002, №1 120
онирования: t − момент появления события s ∈ {S}; А – атрибуты события s
(тип физического носителя, амплитудно-частотная характеристика, продолжи-
тельность и т.д.); x ∈ {X} – подмножество характеристик объекта, адекватных
атрибутам события s.
Обобщением этих и подобных неформальных соглашений являются условия
реализации неоднородного, многоместного, многозначного предиката эффек-
тивности функционирования объекта, содержание которого можно сформулиро-
вать следующим образом: «существуют такие события s и такой момент време-
ни t, когда адекватность атрибутов этих событий характеристикам объекта
F(x, s, t), вызывает уменьшение показателей эффективности его функционирова-
ния (E(Q) → min)».
Формальная запись этого предиката имеет вид
(S ≈ U) = ∃s ∃t ( ∀x ((F(x, s, t)) → ( E(Q) → min)). (1)
Отсюда следует, что в зависимости от t момента появления связей вида
F(x, s, t) угрозы можно разграничить на реальные, потенциальные и мнимые.
Реальные угрозы − это достоверные события, атрибуты которых являются
адекватными имеющимся характеристикам объекта в момент времени t = ti ,
F(x, s, ti).
Потенциальные угрозы – события, атрибуты которых могут стать адекват-
ными будущим характеристикам объекта, т.е. F(x, s, ti +k).
Мнимые угрозы – события, для которых эти связи маловероятны или не-
возможны в рамках существующих гипотез о принципах их порождения, т.е.
P(F(x, s, ti +k)) → 0, где P – вероятность.
Современные исследования в области повышения безопасности техноген-
ных объектов фактически направлены на решение различных прикладных задач
связанных с управлением условиями реализации этого предиката. В зависимо-
сти от акцентов в отношении вклада в условия его реализации конкретных
предметных переменных, многообразие существующих в этом отношении под-
ходов базируется на двух методологиях.
Методология необходимости ориентирована на управление условиями адек-
ватности характеристик объекта и событий F(x, s, t) путем совершенствования
характеристик объекта. Это предполагает идентификацию его «уязвимых» мест,
оценку последствий нежелательных воздействий и другие процедуры, направ-
ленные в итоге на сохранение паспортной эффективности функционирования
данного объекта при реализации всех разновидностей ожидаемых угроз.
Методология достаточности ориентирована на управление адекватностью
F(x, s, t) путем парирования атрибутов одиночных угроз. Это связано с иденти-
фикацией причинно-следственных связей в среде порождающих события, кото-
рые представляют угрозу объекту, прогнозированием моментов их появления и
точек приложения, а также других характеристик, параметры которых могут
быть заблаговременно учтены при проектировании объекта или при организа-
ции адресной защиты его подсистем.
АНАЛИЗ УГРОЗ ТЕХНОГЕННЫМ ОБЪЕКТАМ
Комп’ютерні засоби, мережі та системи. 2002, №1 121
В настоящее время преимущественно развиваются методы первого типа,
связанные с идентификацией угроз и анализом последствий их реализации.
1.2. Идентификация событий, представляющих угрозу объекту
В отношении методов идентификации угроз наиболее показательными яв-
ляются подходы, развиваемые в рамках теории потенциальной эффективности
сложных систем, теории катастроф и теории защиты информационных ресурсов
в компьютерных системах.
1. Проблема угроз техногенным объектам впервые начала рассматриваться в
рамках теории потенциальной эффективности сложных систем в контексте
описания взаимодействия двух систем, имеющих различные цели, т.е. в кон-
фликтных ситуациях [2]. Считается, что в этом случае стратегической целью
поведения каждой системы является снижение эффективности функционирова-
ния другой путем захвата ее ресурсов.
В свою очередь, вероятность достижения этой цели определяется вероятно-
стями достижения тактических целей, описанных в терминах различных качест-
венных свойств системы (например, надежность, управляемость, помехо-
устойчивость и пр.).
Эффективность такого противостояния в каждой системе описывается целе-
вым функционалом, экстремум которого определяется формой ее защитного по-
ведения. То есть, взаимные угрозы конфликтующих систем рассматриваются
как разновидность их активной защиты.
2. Теория катастроф и теория устойчивости рассматривают угрозы объ-
екту как неизбежное следствие особенностей характеристик процессов, лежа-
щих в основе его функционирования. По разным причинам в диапазонах вариа-
ций переменных его состояния могут существовать области, в которых при
гладком изменении параметров управлений параметры этих переменных изме-
няются скачком. Для исследования данных областей и соответствующих им
управлений используются аналитические и топологические методы [3].
Проблема угроз в этом случае решается комплексно – путем повышения ус-
тойчивости характеристик объекта вблизи этих областей и ввода ограничений на
соответствующие им параметры управлений.
3. Наиболее полно проблемы угроз проработаны в связи с защитой инфор-
мационных ресурсов.
В этом случае исходят из того, что задачи идентификации угроз и защиты от
них являются взаимосвязанными. Так, согласно стандартам США [4], для орга-
низации «правильной» циркуляции информационных потоков в информацион-
ных системах необходимо предварительно синтезировать формальную модель
системы защиты. Такая модель должна включать полную систему аксиом и
иметь формальные доказательства теорем для свойств необходимости и доста-
точности сохранения состояния защищенности информации при всех переходах
в пространстве состояний. Это позволяет сформировать список запрещенных
В.А. ЧЕРНОМОРЕЦ, С.К. ГОРБУНОВ, Н.С. СТАШКОВА
Комп’ютерні засоби, мережі та системи. 2002, №1 122
каналов доступа к информации ограниченного пользования, относительно кото-
рых и требуется организовать защитные мероприятия.
При практической реализации этой идеи возникают сложности, обусловлен-
ные следующими причинами.
1. При анализе «уязвимых» мест защищаемой системы предполагается, что
угрозы будут возникать на «старых» принципах. Имеется в виду, что теоретиче-
ская модель защиты строится исходя из системы аксиом и допущений, основан-
ных на обобщении существующих принципов проектирования элементной базы
и разработки матобеспечения. На момент создания системы часть этих постулатов
становятся неадекватными новым технологическим и программным возможностям.
2. Реализация теоретической модели защищенной системы предполагает це-
ленаправленное проектирование ее архитектуры и контроль на всех этапах тех-
нологического цикла, связанного с ее изготовлением. В результате , на момент
создания, стоимость такой системы защиты превышает стоимость информации,
которую она призвана защищать. Поиск экономических компромиссов приводит
к тому, что в итоге появляются неучтенные запрещенные каналы.
3. Наибольшие сложности связаны с двойным назначением интерфейса та-
кой системы. С одной стороны, он должен обеспечить дружелюбное взаимодей-
ствие с пользователем, а с другой – ограничить действия нарушителя, притом,
что используются одни и те же каналы связи с системой обработки информации.
Поскольку отсутствуют методы семантического анализа программ, целевую ориен-
тацию их поведения можно разграничить только на последних этапах. Это дает
множество возможностей для организации доступа к информации ограниченного
пользования через служебные программы и недокументированные команды про-
цессора.
В итоге, все это реализуется в многообразии форм проявления угроз, разли-
чиями во внутренней организации, жизненном цикле, среде формирования и пр.
Поэтому современные классификаторы угроз компьютерным системам строятся
путем их группировки по характерным признакам в зарегистрированных преце-
дентах, что скорее обобщает личный опыт исследователя в этой области.
4. Анализ способов идентификации угроз можно продолжить в рамках психо-
логии общения и конфликтологии, где под ними понимаются недружелюбные на-
мерения одного лица в отношении другого.
Общим недостатком этих методов идентификации и классификации угроз
является стремление установить некие закономерности на уровне их первичных
признаков или в лучшем случае сценариев, хотя достаточно очевидно, что на
этом уровне угрозы и «правильные действия» не различимы.
1.3. Методы оценки угроз техногенным объектам
Для оценки угроз в настоящее время существует различные подходы, осно-
ванные на анализе априорных или апостериорных оценок функционирования
объекта в случае их реализации.
АНАЛИЗ УГРОЗ ТЕХНОГЕННЫМ ОБЪЕКТАМ
Комп’ютерні засоби, мережі та системи. 2002, №1 123
Для определения априорных оценок последствий одна из первых методик
была предложена специалистами фирмы IBM относительно оценок угроз ин-
формационным системам и заключалась в определении ожидаемого ущерба Ri
от і-й угрозы:
Ri =10(Si + Vi – 4) , (2)
где Si – частота возникновения і-й угрозы, Vi – ожидаемые потери в случае реа-
лизации этой угрозы. Соответственно, ожидаемый ущерб от всех угроз
R =∑ iR .
Предполагается, что величина Si принимает значения согласно шкале, учи-
тывающей интервалы времени, в пределах которых можно ожидать их появле-
ния. Каждому из этих интервалов присваивается свой вес. Например, если собы-
тие случается один раз в 1000 лет, то оно имеет вес 1, три раза в день – 7.
Аналогично и показатель относительных потерь Vi оценивается по шкале
стоимости ликвидации угроз, границами которой и весами являются 1 дол –
0, 10 000 000 дол. – 7.
Подобный подход с незначительными изменениями используется до на-
стоящего времени и зафиксирован в национальном стандарте США ISO 13335
[5]. В ближайшее время этот же метод предполагается использовать и в нацио-
нальном стандарте Украины ДСТУ «Информационные технологии. − Руково-
дство по управлению безопасностью информационных технологий».
В последние годы для априорных оценок угроз все чаще используются из-
мерения фактора риска. В общем виде эта величина определяется следующим
образом:
F =P⋅RQ , (3)
где F – фактор риска; P − вероятность появления «нежелательного» события
(угрозы); RQ – ожидаемый ущерб от этой угрозы.
На основе (3) были предложения оценивать ожидаемый ущерб по так назы-
ваемым нижним и верхним взвешенным значениям. При этом предполагается,
что известны вероятности появления угроз, а также минимальное и максималь-
ное значения ущерба при их появлении.
Попытка аналитического решения задачи оценки угроз приведена в [6]. Идея
метода заключается в следующем. Пусть λ – средний показатель появления анали-
зируемого типа угроз, причем он рассматривается как случайная переменная λ с
распределением вероятностей f(λ). Данный показатель определяется на основе
фактов, имевших место в процессе функционирования данного объекта, или ему
подобных. Если таких данных нет, то показатели появления угроз могут быть оп-
ределены экспертным путем. Если r – число проявлений угроз в течение года, то
случайной величине r будет соответствовать распределение вероятностей f(r/λ).
Если число проявлений угрозы зависит только от продолжительности периода из-
мерений и среднего коэффициента проявления, то справедливым будет распреде-
ление Пуассона. Имея набор значений r1, r2, …, rn значения λ могут быть определены
на основе формулы гамма-распределения.
В.А. ЧЕРНОМОРЕЦ, С.К. ГОРБУНОВ, Н.С. СТАШКОВА
Комп’ютерні засоби, мережі та системи. 2002, №1 124
Получение полных оценок сопряжено с проведением сложных выкладок
ввиду недостаточной определенности самого понятия ущерба. Тем не менее, это
позволяет на стадии проектирования системы получить ориентировочные оцен-
ки защищенности системы от ожидаемых классов угроз.
Апостериорные оценки последствий используется при классификации
опасных состояний объектов по совокупности конкретных признаков, оговорен-
ных в ведомственных нормативных документах.
Так, при классификации происшествий на АЭС используется шкала МАГАТЭ,
основанная на анализе влияния поврежденных подсистем на весь технологиче-
ский цикл. Для классификации пожаров существует своя шкала, учитывающая
объем возгорания и динамику его развития. Для оценки землетрясений – шкала
Рихтера и т.д.
В технических приложениях для количественных описаний эффективности
функционирования объекта используется соотношение между оценками критериев
качества J его функционирования и затратами ресурсов на их достижение RЕ в виде
Е =J⁄R , (4)
где Е – эффективность функционирования объекта; J − вектор критериев качест-
ва; R – вектор затрат ресурсов, необходимых для достижения J.
Такие оценки величины Е позволяют множество возможных состояний объ-
екта разграничить на три класса
– штатные − Е = F(J, R ) → mаx;
– аварийные − Е (Q) = F(J, R) → min;
– катастрофические − Е(Q) = F(J, R) → 0.
Реальные объекты обладают конечным множеством частных критериев ка-
чества {J} и конечным множеством ресурсов {R}. Поэтому любое событие
ui ∈{U} является угрозой либо для конкретного качества JM ∈ {J}, либо для кон-
кретного ресурса RN ∈ {R}.
Можно доказать, что угрозы компонентам вектора качества вызывают пре-
имущественно обратимые изменения в состояниях объекта (аварии). Соответст-
венно угрозы ресурсам приводят к необратимым изменениям характеристик
объекта (катастрофам).
С этих позиций идентификация угроз заключается в том, что из всего мно-
жества событий в среде требуется выделить два подмножества:
{UX,UR}∈{U}, (5)
где UX – подмножество угроз, вызывающих обратимые изменения характери-
стик объекта Q; UR – подмножество угроз, вызывающих необратимые изменения
характеристик объекта Q.
Если известна модель объекта Q и траектории его переходов в запрещенные
состояния, то, при надлежащем выборе критериев, обратная задача решается с
точностью до классов запрещенных управлений, т.е. до подмножеств угроз UX,
UR. В многоуровневом объекте для любого из его уровней средой являются все
события нижележащего уровня. Поэтому, понижая уровень анализа объекта, на
АНАЛИЗ УГРОЗ ТЕХНОГЕННЫМ ОБЪЕКТАМ
Комп’ютерні засоби, мережі та системи. 2002, №1 125
нижнем из них подобным образом можно определить параметры атрибутов уг-
роз как элементарных событий во внешней среде [7].
Сложности в этом случае связаны с тем, что существует естественный
дрейф характеристик элементной базы объекта, в результате чего могут появ-
ляться новые «уязвимые места» и, соответственно, новые типы угроз.
Поэтому нынешние тенденции в работах данного направления заключаются
в поисках методов идентификации принципов порождения потенциально уязви-
мых характеристик объекта в течение всего его жизненного цикла. Здесь может
быть использован следующий подход.
Будем считать, что основной причиной появления «уязвимых мест» объекта
является конфликт между параметрами его структурных и качественных харак-
теристик или рассогласование их проектных параметров.
Содержательно характеристики структуры объекта относятся к законам
формирования связей между его отдельными подсистемами, которые в итоге
определяют их способность к совместному поддержанию нового качественного
свойства. Поэтому структурные характеристики описываются терминами на-
дежность, живучесть, ресурсопотребление и пр.
Качественные характеристики объекта отражают внешние проявления про-
цесса его функционирования и описываются в терминах отклонения этого про-
цесса от заданных целей в виде точности, быстродействия, безопасности и пр.
Нештатные режимы возникают в тех случаях, когда способы организации
взаимодействия между подсистемами объекта становятся неадекватными про-
ектным требованиям к параметрам его качественных характеристик. Для описа-
ния этих способов представим каждое текущее значение независимой перемен-
ной в виде ее соотношения с границами собственного диапазона вариаций и
своим дополнением до границы этого же диапазона.
Такая нормировка позволяет перейти от описания структур конкретных
объектов к анализу их инвариантов, отражающих общие принципы структуро-
образования систем независимо от природы их материальной основы [8].
Среди множества разновидностей таких инвариантов структур систем суще-
ствует два экстремальных типа. Один из них характеризуется как структурная
гармония и соответствует максимально достижимой согласованности структу-
рообразующих связей подсистем между собой и с диапазонами вариаций пара-
метров управлений. В этом случае обеспечивается достижение наивысших па-
раметров качественных характеристик объекта при заданной элементной базе.
Другой предельный тип – структурная дисгармония – это предельно воз-
можная несогласованность характеристик структурообразующих элементов, в
результате чего все качественные характеристики объекта имеют минимальные
показатели.
В системах естественного происхождения гармонические структуры опре-
деляющие, поскольку являются формой накопления их положительного эволю-
ционного опыта. Дисгармонические структуры появляются как пробные направ-
ления эволюции биообъектов либо как результат их прижизненных повреждений.
В.А. ЧЕРНОМОРЕЦ, С.К. ГОРБУНОВ, Н.С. СТАШКОВА
Комп’ютерні засоби, мережі та системи. 2002, №1 126
В техногенных объектах выраженная дисгармоническая структура возника-
ет при рассогласовании исходных связей подсистем в результате асинхронной
деформации их характеристик, в частности, в связи с дрейфом характеристик
элементной базы. Каждый из этих типов структур можно чисто формальными
методами разграничить на последовательность классов в соответствии с внут-
ренней шкалой их возможных трансформаций [9]. При таком подходе иденти-
фикация потенциальных угроз объекту сводится к определению параметров
шкал эволюции его структуры в течение жизненного цикла
1. Белов В.М., Выходцев В.Р, Гриценко В.И., Кабикин В.Е., Котова А.Б., Кифоренко С.И.,
Волков Ю.И., Пустовойт О.Г. Методология конструирования системно-иерархического
классификатора чрезвычайных ситуаций. – Киев, 1998. – 32 с. – (Препр. / НАН Украины,
Междунар. науч.-уч. центр информ. технологий и систем; 98–1).
2. Флейшман Б.С. Основы системологии. – М.: Сов. радио, 1982. – 368 с.
3. Арнольд В.И. Теория катастроф. – М.: Наука, 1990. – 128 с.
4. CSC–STD – 001 – 83 «Trusted System Evaluation Criteria». National Computer Security Cen-
ter, 1983. – 112 p.
5. ISO/IECTR 13335–1: 1996 (E) «Information technology–Guidelines for the management of it
Security». – ISO/IEC, 1996. – Part 1. – 132 p.
6. Security Prоtection. – 1978. – 10, N 2. – P. 23–40.
7. Галиуллин А.С. Методы решения обратных задач динамики. – М.: Наука, 1986. – 224 с.
8. Сороко Э.М. Структурная гармония систем. – Минск: Наука и техника, 1984. – 263 с.
9. Черноморец В.А. Модель генезиса соразмерных отношений между частями биологиче-
ского целого // Кибернетика и вычисл. техн. – Киев: Наук. думка, 1997. – Вып. 114. –
С. 108–115.
Получено 26.12.2001
|