ПРОЦЕДУРА ОЦЕНКИ ПОКАЗАТЕЛЕЙ ЗЛОУМЫШЛЕННОГО ПРОНИКНОВЕНИЯ В СОСТАВЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ КОНТРОЛЯ ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ
Аннотация и ключевые слова
Аннотация (русский):
Предлагается состояние физической защищенности объекта отобразить в виде ориентированного взвешенного графа, отображающего возможные маршруты злоумышленного проникновения к защищаемым на объекте ценностям. На основе указанного графического представления решаются задачи оценки среднего ожидаемого времени до ближайшего момента возможного проникновения на объект защиты и выявления наиболее незащищенных маршрутов проникновения злоумышленника к защищаемым ценностям. Предлагаемые формализованные методы анализа характеристик, описывающих уровень обеспечения безопасности, позволяют более объективно и более точно оценить состояние безопасности на объекте защиты. В частности, разработан алгоритм выявления наиболее уязвимых путей и объектов, который позволяет реализовать эффективные варианты повышения уровня безопасности объекта. Данный алгоритм используется как отдельный модуль в рамках автоматизированной системы контроля физической безопасности. Оценки моментов наиболее возможного повышения злоумышленной активности по отношению к объекту защиты дают возможность повысить уровень защищенности объекта путем задействования дополнительных средств защиты на интервалах возможного повышения активности злоумышленников

Ключевые слова:
физическая защищенность, объект защиты, время проникновения, маршрут проникновения, автоматизированная система контроля защищенности
Текст
Введение Задача обеспечения физической защищенности объекта, имеющего ценностей даже на самую минимальную стоимость, являлась и является актуальной. На обеспечение физической защищенности объекта затрачиваются огромные средства, причем масштабы этих затрат часто бывают сравнимы с совокупной ценностью объекта. В последнее десятилетие возможности злоумышленного нарушения физической безопасности значительно расширились ввиду существенного расширения арсенала технических и информационных средств злоумышленного проникновения, поэтому задача повышения эффективности использования различных средств для физической защиты объекта является актуальной. Поскольку процессы нарушения физической безопасности объектов со стороны злоумышленников обычно готовятся заранее и часто опираются на структурные и текущие слабости в системе защиты, то разработка методов оценки состояния защищенности в автоматизированном режиме объекта, содержащего ценности, крайне важна для оперативного реагирования системы защиты на нарушение режима безопасности с целью автоматического анализа ситуации и немедленного реагирования. В настоящее время публикаций по моделированию процессов и систем физической безопасности крайне мало. Для целей нашего исследования наибольший интерес представляют модель EASI [1] и работа Ю. А. Оленина [2]. Модель EASI разрабатывалась как компьютерная модель, но в ней большое место занимают некоторые аспекты, связанные с физической защищенностью объекта - в модели рассмотрены методы оценки эффективности использования технических средств охраны, а также оценки времени прихода охранных групп на объект защиты. При этом предлагаемые методы в решающей степени опираются на экспертные процедуры. В работе Ю. А. Оленина представлена теоретическая модель объекта защиты, описание которой в значительной степени носит семантический характер, поэтому ее сложно автоматизировать. Нами ставится задача построения формализованного представления объекта защиты и оценки двух групп показателей защищенности на основе аналитических и алгоритмических методов: первая группа связана с оценкой времени до ближайшего момента попытки злоумышленного проникновения на объект защиты, вторая - с вероятностью достижения злоумышленником защищаемых ценностей, где под ценностями понимается все, что может представлять интерес как для владельца, так и для злоумышленника (закрытая информация, коммерческие и финансовые документы и ресурсы, драгоценности и т. п.). Данная работа продолжает идеи и методологии, описанные в [3-5]. 1. Формализованное представление объекта защиты Для более наглядного описания идей, используемых для представления объекта защиты, рассмотрим частный пример. Пусть объект защиты (рис. 1) состоит из одного одноэтажного здания с внутренними помещениями и прилегающей территории (Z1), огражденной обычным забором, для въезда автомобилей используются автоматически открываемые ворота, а пропуск людей осуществляется с использованием домофона. Передняя часть территории, а также внутренняя часть помещения просматриваются камерами видеонаблюдения. Объектами защиты являются два автономных рабочих места. Для простоты введем следующие сокращения: Di - дверь между помещениями, Wi - окна, Zi - номер зоны (внешняя территория, периметр, здание, комната, хранилище ценностей), причем Z0 - внешняя зона (начальная точка маршрута движения злоумышленника), а Z5 - цель проникновения (конечная точка маршрута движения злоумышленника). Тогда возможные пути проникновения злоумышленника к защищаемым ценностям (они находятся в трех конечных точках маршрутов) можно отобразить в виде взвешенного графа, наложенного на план объекта (рис. 2), т. е. объект защиты можно представить в виде графа G = (Z, R, P, T), где в качестве вершин Z выступают зоны, а ребра R представляют собой соединения соответствующих зон (окна, двери, стены, любые другие преграждения). Рис. 1. План объекта защиты Рис. 2. Сетевое представление объекта защиты - граф возможного проникновения Граф является взвешенным, каждая вершина имеет два веса: вероятность обнаружения нарушителя в данной зоне (множество весов P) и среднее время, необходимое для преодоления данной зоны (множество весов T). Для получения наиболее точных результатов каждую зону можно разбить на локальные подзоны (т. е. элементарные участки территории с одинаковым Pобн). Аналогичным образом можно составить данный граф для любого реального объекта защиты. При этом, возможно, граф будет не плоским, а пространственным (при наличии, например, многоэтажных помещений). Полученное графическое представление объекта защиты позволяет поставить и решить ряд задач по оценке характеристик физической защищенности объекта. 2. Оценка времени защищенности объекта защиты Постановка задачи. Пусть задан граф G, состоящий из N локальных зон, связанных между собой. Локальные зоны пронумерованы числами от 1 до N, и Fj(t) (j = 1 ... N) есть функция распределения вероятности того, что за t будет пройдена j-я зона. Ставится задача: получить оценки снизу для среднего времени, за которое не будет ни одного проникновения на объект защиты. Обозначим через случайную величину промежутка времени, начинающегося в начальный момент времени и заканчивающегося моментом проникновения нарушителя на объект защиты. Ниже оценивается , где М - знак математического ожидания. Обозначим через G1, G2 … Gn множество всех допустимых маршрутов с возможных начальных точек (находящихся обычно во внешней зоне) до конечных точек, являющихся возможной целью злоумышленного действия (хранилища ценностей, информации, опасные технологические участки и узлы и т. п.). Данные маршруты можно объединять в деревья. В настоящее время в теории графов есть много алгоритмов для нахождения множества всех описанных путей проникновения. Поскольку размерность графа обычно не превосходит 300-400 и данная задача решается в пакетном режиме, то для нахождения указанного множество вполне приемлемо использование переборного алгоритма. Пусть R(i) - множество вершин графа G, входящих в маршрут Gi (). Тогда вероятность того, что за время на объект защиты будет предпринято проникновение, можно записать как [6, 7]: . (1) Докажем приведенную формулу. Пусть pi есть случайное время, в течение которого по i-му пути не будет предпринято вторжение. Имеем где для любого множества A полагаем , если событие A имеет место, и в противном случае. Раскрыв произведение в правой части, получаем . (2) Пусть есть случайная величина времени, в течение которого j-я вершина не будет взломана нарушителем начиная с начального момента времени. Очевидно, что , откуда, воспользовавшись независимостью случайной величины , имеем . Последнее соотношение вкупе с (2) дает (1). На основе (1) можно выписать следующую оценку для среднего времени до первого проникновения на объект защиты: . (3) 3. Исходные распределения характеристик Для практического использования формул (1) и (3) необходимо прежде всего иметь выражения (точные или приближенные) для функции распределения Fj(t). В общем случае это достаточно трудоемкая и сложная задача. Однако во многих ситуациях можно считать, что Fj(t) имеют показательное распределение. Имеются следующие основания общего характера, позволяющие считать, что предположение о показательном распределении функции распределения F(t) (для простоты ниже индекс j опускается) является приемлемым во многих прикладных задачах. Пусть для того, чтобы осуществить злоумышленное действие для проникновения на объект защиты, нарушителю необходимо получить некоторую информацию объема V, и в некоторый момент времени t он уже имеет информацию об объекте объемом Vt. Поскольку действия носят активный характер, то злоумышленник осуществляет сбор информации только об оставшейся информации объемом V - Vt . Считая, что интенсивность сбора информации злоумышленником постоянна и равна c, получаем следующее соотношение для приращения добываемой информации: , откуда следует дифференциальное уравнение . Решая данное уравнение, получаем показательное распределение . При t0 = 0 получаем V0 = V - k. Тогда k = V - V0, подставляя значение k в формулу, получаем . Часто V0 = 0, поэтому . Предположим: вероятность того, что взлом произойдет за время t, пропорциональна объему накопленной информации Vt, т. е. . При откуда следует, что k1 = 1/V. Подставляя, получаем показательную функцию . В общем случае интенсивность c сбора информации по j-му рубежу зависит от j, т. е. получается . (4) Взлом системы происходит, когда достигается некоторый порог накопления информации. Величина этого порога зависит от ценности объекта, степени интереса к нему, степени его защищенности и ряда других факторов. Математически наличие порога можно отобразить, задав допустимую границу - вероятность взлома j-го рубежа (P*), т. е. когда (обычно P* = = 0,99). Тогда можно записать соотношение , (5) где время tj - среднее контрольное время для j-й зоны, в течение которого идет накопление информации злоумышленником в объеме, достаточном для того, чтобы зона была взломана с вероятностью не менее P*. Из соотношения (5) можно выразить cj: . Подставив в формулу (4), получим . Приведенная выше модель поиска момента взлома системы является достаточно условной, т. к. не учитываются многие особенности процесса взлома. Так, не учитывается, что информация поступает квантами, и чем меньше осталось информации, тем порой сложнее ее добывать. Кроме того, процесс поступления (добывания) информации часто имеет достаточно нерегулярный характер. Однако, тем не менее, полученная формула может быть использована для первичной оценки среднего времени проникновения на объект защиты. Напомним, значение вероятности P* задается изначально как требование по уровню обеспечения защиты. Величина контрольного времени tj для каждой зоны существенно зависит от специфических условий обеспечения защиты на объекте; ее оценка может быть произведена на основе экспертных методов. 4. Минимальное и среднее время проникновения на объект защиты Выше в разделе 2 мы оценили среднее время, в течение которого готовится проникновение на объект защиты и по окончании которого возможна реализация злоумышленного действия. В данном разделе предлагается оценка для среднего времени, в течение которого и происходит непосредственно проникновение на объект защиты к защищаемым ценностям. Формализация задачи осуществляется аналогично приведенной в разделе 2. Постановка задачи. Пусть задан граф G, состоящий из N локальных зон, связанных между собой. Локальные зоны прoнумерованы числами от 1 до N, и Fj(t) (j = 1 … N) есть функция распределения вероятности того, что за время t будет пройдена j-я зона. Ставится задача получения оценки снизу минимального времени, за которое злоумышленник сможет проникнуть на объект защиты. Обозначим через случайную величину промежутка времени, в течение которого будет пройдена j-я локальная зона. G1, G2 … Gn - множество всех маршрутов из начальных точек (внешняя зона) до конечных (хранилище информации). Пусть R(i) есть множество вершин графа G, входящих в маршрут Gi (). Тогда минимальное время проникновения на объект защиты можно выразить как . (6) Так как случайные величины взаимосвязаны, то , (7) где для любого множества A полагаем , если событие А имеет место, и в противном случае. Раскрыв правую часть выражения (7) и подставив в выражение (6), получаем . Рассмотрим частный случай, когда функция fj(xj), по аналогии с (4), имеет показательное распределение, т. е. . Подставив функцию распределения в (7), получаем Последний интеграл можно вычислить на основе методов вычислительной математики, в частности можно воспользоваться методом Монте-Карло. Отметим, что возможный метод оценки константы cj приведен в разделе 2. Наряду с минимальным возможным временем реализации физического взлома и проникновения на объект защиты представляет интерес и среднее время реализации проникновения к защищаемым ценностям. Для этого прежде всего необходимо дополнительно оценить вероятность проникновения на объект по j-му маршруту (qj). Фактически qj есть вероятность того, что проникновение начнется с j-й внешней точки объекта. Эти величины могут быть оценены на основе экспертных методов. Итак, пусть вероятность того, что проникновение пройдет по i-му маршруту, равна qi. Тогда среднее время можно записать следующим образом: . (8) Как было отмечено выше, для первичной оценки: . Можно считать, что имеет показательное распределение с параметром cj, откуда . И после подстановки в (8) получаем следующее соотношение для среднего времени до ближайшей злоумышленной попытки проникновения на объект защиты: . 5. Выявление наиболее вероятных маршрутов злоумышленного проникновения на объект защиты Другой важной задачей по обеспечению физической защиты ценностей на объекте защиты является выявление наиболее уязвимых маршрутов, по которым злоумышленник может проникнуть к охраняемым ценностям, и оценка вероятности реализации подобной злонамеренной атаки. Для решения указанной задачи предлагается воспользоваться методом динамического программирования (ДП). Продемонстрируем решение данной задачи на примере объекта, приведенного на рис. 1. Итак, рассматривается следующая постановка задачи. На основе анализа объекта защиты и построения графа возможных направлений передвижения злоумышленника (рис. 2), а также экспертной оценки соответствующих вероятностей незамеченного преодоления злоумышленником очередного участка маршрута был получен граф проникновения на объект защиты, приведенный на рис. 3. Вершины графа - элементы здания объекта защиты, дуги указывают на наличие возможностей перемещения от одного элемента здания к другому, цифры на ребрах - экспертные оценки вероятности незамеченного перемещения между указанными элементами. Предполагается, что вероятности преодоления злоумышленником различных элементов независимы друг от друга. Вершины верхнего уровня - это возможные точки проникновения на объект защиты извне. Объектом злоумышленного интереса является самая нижняя вершина, соответствующая мету, где хранятся ценности. Необходимо найти путь проникновения злоумышленника к ценностям, который имеет наибольшее значение вероятности незамеченного проникновения. Рис. 3. Взвешенный граф возможных маршрутов передвижения злоумышленника Для решения задачи воспользуемся методом ДП. Для этого прежде всего необходимо разбить решение задачи на этапы. С этой целью выделим уровни достижения в графе. Элементами первого уровня просмотра графа проникновения являются конечные вершины - в данной задаче вершины 37, 40, 61, которые, для простоты вычислений, объединены вершиной 62; элементами i-го уровня при i > 1 являются те вершины, из которых можно попасть в вершины (i - 1)-го уровня. В результате получается второй столбец приведенной ниже таблицы. В третьем столбце номера вершин в каждой ячейке второго столбца таблицы переписываются в порядке возрастания их номеров. Наконец, в четвертом столбце этапы просмотра перенумеровываются в обратном порядке; полученные номера и являются номерами этапов решения. Отметим, что число этапов заранее неизвестно и равно длине наиболее длинного маршрута. На основе графа, приведенного на рис. 3, было выделено 17 уровней (табл.). Этап просмотра Вершины Этап решения 1 62 17 2 61, 37, 40 16 3 59, 35, 36 15 4 56, 24, 25, 30, 31 14 5 14, 15, 26, 22, 54 13 6 1, 2, 3, 16, 11, 50, 51, 55 12 7 3, 46, 52, 34, 57, 58 11 8 42, 47, 48, 23, 60, 32 10 9 38, 42, 43, 44, 48, 49, 12, 13, 21, 22, 23 9 10 35, 38, 39, 44, 49, 27, 28, 10, 11, 21, 22, 12, 13 8 11 24, 25, 27, 28, 35, 43, 16, 17, 18, 19, 29, 10, 21, 11 7 12 14, 15, 24, 25, 26, 39, 42, 16, 17, 18, 19, 29, 3, 4, 5, 6, 7, 20, 21, 10 6 13 1, 2, 3, 25, 14, 15, 16, 35, 38, 4, 5, 6, 7, 8, 9, 20, 21, 10 5 14 15, 1, 2, 3, 35, 24, 25, 8, 9, 10 4 15 2, 3, 24, 25, 14, 15 3 16 14, 15, 1, 2, 3 2 17 1, 2, 3 1 Для решения методом ДП необходимо ввести функцию Беллмана Fi (xi) и записать уравнение Беллмана. Пусть Fi (xi) есть максимальное значение вероятности того, что злоумышленник достигнет из вершины xi, входящей в i-й слой, конечной (62-й) вершины . Далее, переходная функция fi(xi, yi) есть вероятность попадания из вершины xi, входящей в i-й слой, в вершину yi, входящую в (i + 1)-й слой, если вершины соединены. Значениями функции fi(xi, yi) являются веса соответствующих дуг графа. Если вершины с номерами xi и yi не соединены, то полагаем fi(xi, yi) = 0. На основе введенных функций, с учетом независимости перемещений злоумышленника на различных участках, может быть записано уравнение Беллмана для данной задачи: , где максимум берется по всем вершинам yi, входящим в (i + 1)-й слой. Для того чтобы уравнение Беллмана было справедливо для всех , полагаем по определению . На основе уравнения Беллмана выполняются, начиная с последнего этапа, табличные вычисления. В центральной части наверху таблицы приводятся расчетные формулы, по которым выполняются расчеты в столбце; в левом столбце перечисляются возможные значения переменной xi , во второй строке в центральной части перечисляются возможные значения yi. В последних (правых) двух столбцах указывается максимальное в строке расчетное значение и значение переменной yi , при котором достигается это максимальное значение. На рис. 4 приведена одна из расчетных таблиц в качестве примера вычислений. Рис. 4. Расчетная таблица двенадцатого этапа решения В предпоследнем столбце (по всем таблицам) подчеркиваются значения, соответствующие маршрутам, которые начинаются из некоторой входной вершины (эти вершины указаны в первом столбце). Именно среди этих значений во всех расчетных таблицах метода ДП и следует выбирать наибольшее. Сравнивая подчеркнутые значения, заключаем, что наибольшее значение функции Беллмана, равное 0,0133, достигается из входной вершины 3 на двенадцатом уровне, из которой попадаем в вершину 15. Полностью наиболее уязвимый для злоумышленных действий маршрут следующий: 3 → 15 → 24→ 35 → 37. При этом вероятность успешного проникновения по этому маршруту равна 0,0133 (т. е. 1,33 %). Следующий по уязвимости маршрут с вероятностью 0,0119 (или 1,19 %) успешной его реализации получается также на двенадцатом этапе; таких маршрутов два, и это следующие маршруты: 1 → 14 → 24→ 35 → 37 и 2 → 15 → 24→ 35 → 37. Остальные возможные маршруты проникновения имеют существенно меньшие значения вероятностей успешной реализации (хотя и могут быть выписаны аналогичным образом). Описанный метод в вычислительном плане достаточно эффективен, он достаточно легко программируется, и его можно реализовать даже в среде Excel. Основная проблема его реализации - формирование взвешенного графа возможных путей проникновения к ценностям злоумышленника. Автоматизация указанной задачи является отдельной самостоятельной задачей, которая решается в автоматизированной системе контроля физической безопасности, представленной на рис. 5. Рис. 5. Автоматизированная система контроля физической безопасности Подсистема контроля физической безопасности взаимодействует с подсистемами управления физической и пожарной безопасностью, и автоматизация данного алгоритма позволит повысить эффективность мероприятий по обеспечению защиты. Заключение Полученные в результате исследований соотношения и процедуры позволяют оценивать вероятность проникновения на объект защиты по различным возможным маршрутам или их совокупности, а также оценивать средние характеристики, связанные как с ожидаемым моментом проникновения на объект защиты, так и непосредственно с процессом, связанным с проникновением на объект защиты. На основе полученных характеристик можно оценить уровень защищенности объекта, а также сравнивать между собой различные варианты обеспечения и повышения физической безопасности объекта по приведенным в работе показателям и на этой основе выбрать наиболее приемлемый вариант обеспечения защиты. Результаты работы могут быть использованы в качестве одной из основ построения автоматизированной системы обеспечения физической безопасности объекта.
Список литературы

1. Гарсиа М. Проектирование и оценка систем физической защиты / М. Гарсиа. М.: Мир, 2003. 392 с.

2. Оленин Ю. А. Системы и средства управления физической защитой объектов / Ю. А. Оленин. Пенза: Изд-во ИИЦ ПГУ, 2002.

3. Попов Г. А. Некоторые задачи формализации процесса анализа физической защиты объекта информации / Г. А. Попов, С. В. Белов // Материалы VI Междунар. науч.-метод. конф. НИТРИО-2001. Астрахань: АГТУ, 2000.

4. Белов С. В. Оценка степени наблюдаемости территории без использования технических средств защиты / С. В. Белов // Тематический выпуск: Материалы V Междунар. науч.-практ. конф. по информационной безопасности. Таганрог, 2003.

5. Белов С. В. Учебный пакет по моделированию инженерно-технических задач информационной безопасности / С. В. Белов // Материалы II Междунар. науч.-практ. конф. «Влияние образовательных технологий на развитие регионов». Астрахань, МЭСИ, 2003.

6. Попов Г. А. Исследование надежности информационно-вычислительных систем / Г. А. Попов // Проблемы применения ВТ: сб. тр. ВНИИПАС. 1989. № 3. С. 54-59.

7. Попов Г. А. Оценка среднего времени непрерывной связанности информационно-вычислительной сети из однотипных элементов / Г. А. Попов. Деп. в ВИНИТИ, № 4231-890. 42 с.