Размещено на http://www.allbest.ru/

НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

“КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”

УДК 681.518.54

ПРОГРАМНІ ЗАСОБИ ПІДТРИМКИ ПРИЙНЯТТЯ УПРАВЛІНСЬКИХ РІШЕНЬ ЩОДО ЗАХИСТУ ІНФОРМАЦІЇ У АВТОМАТИЗОВАНИХ СИСТЕМАХ

Спеціальність 01.05.03 - Математичне та програмне забезпечення обчислювальних машин і систем

АВТОРЕФЕРАТ

дисертації на здобуття наукового ступеня

кандидата технічних наук

Петрашенко Андрій Васильович

КИЇВ - 2007

Дисертацією є рукопис.

Роботу виконано на кафедрі спеціалізованих комп'ютерних систем Національного технічного університету України “Київський політехнічний інститут” Міністерства освіти та науки України.

Науковий керівник: кандидат технічних наук, доцент Михайлюк Антон Юрійович, НТУУ “КПІ”,доцент кафедри спеціалізованих комп'ютерних систем.

Офіційні опоненти: доктор технічних наук, професор Тоценко Віталій Георгійович, Інститут проблем реєстрації інформації НАН України, завідувач відділу;

кандидат технічних наук, доцент Поморова Оксана Вікторівна, Хмельницький національний університет Міністерства освіти та науки України, професор кафедри системного програмування.

Захист дисертації відбудеться “10” грудня 2007 року о 14³⁰ годині на засіданні спеціалізованої вченої ради Д 26.002.02 в Національному технічному університеті України “Київський політехнічний інститут” за адресою: 03056, м. Київ-56, проспект Перемоги, 37, корп. 18, ауд. № 306.

Відзиви на автореферат у двох примірниках, засвідчені печаткою установи, просимо надсилати за адресою: 03056, м. Київ-56, проспект Перемоги, 37, Вченому секретарю НТУУ “КПІ”.

З дисертацією можна ознайомитися в науково-технічній бібліотеці Національного технічного університету України “Київський політехнічний інститут” за адресою: 03056, м. Київ-56, проспект Перемоги, 37.

Автореферат розісланий “ 9 ” листопада 2007 р.

Вчений секретар спеціалізованої вченої ради,

кандидат технічних наук, доцент____________ Орлова М.М.

інтелектуалізований програний комп'ютеризований управління

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Сучасний рівень розвитку інформаційних технологій, які функціонують у багатьох сферах суспільства, породжує ряд проблем при створенні нових та супроводі існуючих автоматизованих систем (АС). Великі обсяги інформації, яка оброблюються засобами обчислювальної техніки, відсутність єдиних інтерфейсів її обміну та зберігання, гетерогенність комп'ютерних мереж, в рамках яких функціонують комп'ютерні системи, зумовлюють необхідність вирішення комплексу задач, пов'язаних із забезпеченням захисту інформації (ЗІ) в АС. Комплексність вирішення даних проблем виходить із сутності АС, що виражається у наявності в ній крім інженерно-технічних ланок, також персоналу різних адміністративно-функціональних рівнів. Наявність людини з точки зору вирішення задач забезпечення ЗІ зумовлює необхідність врахування суб'єктивних факторів, які підвищують імовірність несприятливих впливів на захищеність інформаційних ресурсів (ЗІР) АС, ускладнюють процедуру визначення загроз, а також вибору ефективних засобів та заходів щодо підтримки ЗІР АС.

Відповідно до вітчизняних та міжнародних нормативних документів у галузі ЗІ для досягнення прийнятного рівня захищеності необхідно, зокрема, визначити критерії захищеності АС та сформувати конкретний комплекс заходів безпеки у застосуванні до визначеної АС. Вирішення цих задач традиційно здійснюється шляхом залучення експертів у даній галузі. Суб'єктивний характер діяльності експертів, а також високий рівень витрат на їх залучення при регулярному проведенні аналізу ЗІР знижує ефективність вирішення цієї задачі як за економічним критерієм, так і за функціональним. В такій ситуації актуальною є автоматизація даної процедури за рахунок розробки нових програмних засобів (ПЗ) підтримки прийняття рішень (ППР) щодо управління ЗІ у АС. Аналіз сучасних ПЗ оцінки та управління ЗІ АС виявив ряд недоліків, зокрема, відсутність адаптації до конкретної АС, орієнтація на відповідність лише одному стандарту або відомчій методиці аналізу ЗІР, а у випадку реалізації універсальних програмних засобів - недосконалість та складність організації інтерфейсу із користувачем, насамперед щодо оптимізації діалогу із ним, а також відсутність засобів нарощення бази даних (знань) програмних засобів, що знижує ефективність застосування подібних систем.

Теоретичною основою досліджень, проведених у даній роботі, був науковий доробок українських вчених В.М.Глушкова, О.Г.Додонова, В.В.Домарєва, В.Г.Тоценка, В.П.Широчина, країн СНД Д.А.Поспєлова, Г.С.Поспєлова, Є.В.Попова, В.А.Герасименка, а також країн далекого зарубіжжя Д.Уотермена, Ж._Л.Лорьєра, Дж.Ф.Люгера, Т.Сааті та ін.

Таким чином, розробка способу структурно-алгоритмічної організації програмних засобів підтримки прийняття управлінських рішень в галузі захисту інформації, які б на основі бази знань (БЗ) дозволили ефективно проводити аналіз та підтримку прийняття рішень щодо управління ЗІ АС, визначати причини зниження ефективності функціонування АС, були здатними генерувати рекомендації щодо підвищення ефективності управління ЗІ та мали у своєму складі засоби нарощення БЗ є актуальною науковою задачею, вирішенню якої присвячена дана дисертаційна робота.

Зв'язок роботи з науковими програмами, планами, темами. Робота виконувалась відповідно до планів науково-дослідних робіт Міністерства освіти та науки України і Національного технічного університету України "Київський політехнічний інститут" (НТУУ "КПІ") в межах держбюджетних тем:

- №2258 "Методи і засоби дослідження цифрових систем на різних стадіях їх життєвого циклу з метою аналізу та оптимізації рівня інформаційної захищеності" (державний реєстраційний номер 0198U000739);

- № 2415 "Теоретичні основи аналізу верифікації, перевірки та тестування програмно-апаратних компонентів інформаційних технологій спеціального призначення" (державний реєстраційний номер 0100U000937);

- № 2480 "Структурно-алгоритмічна організація інтелектуальних інструментальних комп'ютерних засобів для комплексної підтримки управління інформаційною безпекою у корпоративних системах" (державний реєстраційний номер 0101U000602);

- № 2601 "Структурно-алгоритмічна організація інструментальних комп'ютерних засобів комплексної підтримки системних освітніх технологій" (державний реєстраційний номер 0103U000396);

- № 2704 "Інтелектуальні комп'ютерні інструментальні засоби для підтримки оптимізованого управління інформаційними процесами в сучасних комплексних інтенсивних технологіях" (державний реєстраційний номер 0104U000521).

У наведених роботах автор розробляв способи організації програмних засобів інтерпретації експертних знань, моделі бази знань експертної системи, а також програмних засобів нарощення інформаційної бази. Основні результати дисертації було викладено в заключних звітах при виконанні вказаних робіт.

Мета і завдання дослідження. Метою роботи є розробка структурно-алгоритмічної організації прикладних програмних систем підтримки прийняття рішень, яка забезпечує підвищення ефективності комп'ютеризованого управління захистом інформації в автоматизованих системах.

Відповідно до вказаної мети поставлено та розв'язано наступні задачі.

1. Аналіз предметної галузі ЗІ АС та існуючих підходів до управління в ній, спрямований на визначення шляхів підвищення ефективності прийняття відповідних управлінських рішень за рахунок залучення спеціалізованих комп'ютерних засобів інформаційної підтримки.

2. Створення моделі процесу прийняття рішень щодо управління ЗІ АС, придатної для формалізованого визначення складу та функціональності як безпосередньо відповідних програмних засобів інформаційної підтримки, так і їх основних компонент.

3. Розробка спеціалізованої моделі БЗ та засобів інтерпретації знань, призначених для реалізації ефективного машинного генерування та оперативного аналізу варіантів рішень щодо оцінки та управління ЗІ АС згідно максимально широкого спектру методик.

4. Дослідження способів та розробка структурно-алгоритмічної організації програмних засобів формування спеціалізованих БЗ щодо управління ЗІ.

5. Розробка структурно-алгоритмічної організації інтелектуалізованих програмних систем ППР щодо управління ЗІ АС.

6. Розробка методики підвищення ефективності впровадження програмних засобів ППР щодо управління ЗІ АС.

Об'єктом дослідження в дисертаційній роботі є процес комп'ютеризованої підтримки прийняття рішень в задачах управління ЗІ АС.

Предметом дослідження є інтелектуалізовані прикладні програмні системи ППР щодо управління ЗІ АС.

Методи дослідження базуються на застосуванні теорії штучного інтелекту для вибору способів подання знань та розробки машини логічного виведення (МЛВ) ПЗ, теорії формальних мов та граматик при створенні алгебри предикатів та числових формул, теорії скінченних автоматів для створення моделі прийняття рішень у галузі управління ЗІ АС, теорії реляційних баз даних для розробки інформаційних структур БЗ ЕС, теорії підтримки прийняття рішень щодо застосування методики оцінки відносної корисності ПЗ за сукупним функціональним критерієм, а також теорії алгоритмів та методів об'єктно-орієнтованого програмування для реалізації ПЗ.

Наукова новизна одержаних результатів обумовлена тим, що в роботі містяться нові наукові знання про організацію експертних систем для інформаційної підтримки управління ЗІ АС, які в своїй сукупності забезпечують розв'язання поставлених задач і досягнення мети роботи. Конкретні наукові результати полягають у наступному.

1. Розроблено нову, адаптовану до стандартних методик, автоматну модель процесу прийняття управлінських рішень щодо захисту інформації в АС, яка дозволяє формалізувати процедуру формування специфікацій у ході проектування технологічного ряду спеціалізованих ЕС для інформаційної підтримки управління інфраструктурою забезпечення безпеки інформації АС різних класів за широким спектром методик.

2. Запропоновано нову гібридну (логічно-функціональну) модель бази предметних знань з галузі ЗІ АС, яка ґрунтується на модифікованій логіці предикатів і дозволяє організувати процес людино-машинного генерування управлінських рішень згідно широкого спектру методик, оптимізований за критеріями тривалості й детальності діалогу, та регламентованої послідовності обробки каналів порушення ЗІР.

3. Запропоновано новий, адаптований до специфіки типової процедури управління захистом інформації, спосіб транзакційної інтерпретації предметних знань з галузі ЗІ АС, інваріантний щодо класів загроз та об'єктів захисту. Розроблено узагальнену структурно-алгоритмічну організацію спеціалізованих експертних систем для підтримки прийняття управлінських рішень щодо ЗІ АС, яка дозволяє підвищити рівень автоматизації та оперативність управління ЗІ АС, а також розширити дидактичні можливості систем даного класу.

4. Запропоновано оригінальні способи посегментного нарощення спеціалізованої бази знань предметної галузі ЗІ в пакетному та інтерактивному режимах з поетапною верифікацією, на основі яких розроблено структурно-алгоритмічну організацію редактора БЗ експертної системи ППР щодо управління захистом інформації в АС, котра дозволяє прискорити процедуру формування бази знань та підвищити формально-логічну та семантичну цілісність її вмісту.

5. Розроблено математичний апарат для цільового визначення комплексної ефективності застосування ПЗ для ППР щодо управління ЗІ АС за функціональним та вартісним критеріями, який дозволяє оптимізувати впровадження ЕС відповідного профілю та здійснювати оптимізований вибір програмних засобів даного класу для застосування на об'єктах автоматизованої інформаційної діяльності.

Практичне значення одержаних результатів визначається тим, що на основі запропонованого апарату оцінки ефективності використання ЕС у галузі ЗІ можна окреслити типи АС, для яких використання ЕС є доцільним. Створена модель БЗ предметної галузі управління ЗІ АС на основі предикатної логіки, а також способи структурно-алгоритмічної організації інтерпретатора та засобів нарощення БЗ ЕС дозволили створити комплекс програмних засобів для вирішення задачі оцінки та аналізу ЗІР АС, підвищити економічну ефективність використання інтелектуальних комп'ютерних засобів для вирішення задачі ППР щодо управління ЗІ АС в цілому.

Результати роботи, пов'язані із створенням способів структурно-алгоритмічної організації ПЗ та моделі БЗ предметної галузі управління ЗІ АС, використовуються в Національному технічному університеті України "Київський політехнічний інститут" на кафедрі спеціалізованих комп'ютерних систем в навчальних дисциплінах "Захист інформації в комп'ютерних системах", "Організація баз даних" та "Основи штучного інтелекту". Крім того, результати, які відносяться до вирішення задачі автоматизованого аналізу ЗІР АС, використовуються у науково-дослідному центрі систем технічного захисту інформації НТУУ “КПІ” ТЕЗІС (м. Київ).

Особистий внесок здобувача. Всі основні результати дисертаційної роботи отримані автором особисто. У публікаціях, написаних у співавторстві, здобувачу належать: змістовна суть методики оцінки ефективності застосування ЕС для вирішення задачі управління ЗІ АС; модель БЗ предметної галузі на базі предикатної логіки; структура МЛВ ЕС, підхід до подання предикатів та числових формул у БЗ ЕС, алгоритм обчислення числової та логічної складової фактів.

Апробація роботи. Основні положення дисертації та її наукові результати доповідалися на 1-й науково-технічній конференції “Правове, нормативне та метрологічне забезпечення систем захисту інформації в Україні”, 8-11-й науково-технічних конференціях "Вимірювальна та обчислювальна техніка в технологічних процесах" (м. Хмельницький, 2001-2004 рр.), на міжнародних конгресах “Інформаційне суспільство в Україні - стан, проблеми, перспективи” (м. Київ, 2000 та 2001 рр.), на 7-й Мiжнародній науково-технiчній конференції "Досвід розробки та застосування САПР в мiкроелектронiцi", (с. Славське, 2003 р.), на 1-й та 2-й Міжнародній науково-технічній конференції ACSN "Сучасні комп'ютерні системи та мережі: розробка та використання" (м. Львів, 2003 та 2005 рр.), на 1-й міжнародній науково-технічній конференції "Методи та засоби кодування, захисту й ущільнення інформації" (м. Вінниця, 2007 р.), міжнародній науково-практичній конференції “Информационные технологии и информационная безопасность в науке, технике и образовании” (г.Севастополь, 2007р.), науково-технічних семінарах кафедри спеціалізованих комп'ютерних систем НТУУ "КПІ" (2000-2007 рр.).

Публікації. За матеріалами дисертації опубліковано 16 друкованих робіт, 5 - у науково-технічних виданнях, що входять до відповідного переліку ВАК України. Матеріали роботи включено також до п'яти звітів про закінчені науково-дослідні роботи та до восьми тез доповідей на науково-технічних конференціях.

Структура та обсяг дисертації. Дисертація складається з вступу, п'ятьох розділів, висновків по розділах і по роботі в цілому, списку використаних джерел (106 найменувань), п'ятьох додатків (блок-схема алгоритму обчислення числової формули, тексти програм, фрагменти БЗ, результати дослідження ефективності та документи про впровадження результатів роботи). Робота містить 33 рисунки та 19 таблиць. Загальний машинописний обсяг роботи - 161 сторінка, з них основного тексту 118 сторінок та список літератури на 10 сторінках.

ОСНОВНИЙ ЗМІСТ РОБОТИ

Вступ містить обґрунтування актуальності проблеми, що розв'язується, формулювання мети, об'єкту і задач дослідження, сукупність наукових результатів, що виносяться на захист, відомості про їхню апробацію та практичне значення.

У першому розділі проаналізовано сучасний стан нормативно-правового забезпечення у галузі управління ЗІ АС та інструментальних програмних засобів щодо автоматизації підтримки прийняття рішень в даній галузі, а також розроблено класифікацію сучасного програмного забезпечення, орієнтованого на вирішення даної задачі. У процесі аналізу встановлено, що сучасна вітчизняна та міжнародна нормативно-правова база не охоплює всього спектру питань, пов'язаних з практичними проблемами аналізу та управління ЗІ АС, відмічається статичність стандартів та рекомендацій щодо формування режиму ЗІ. Існуючі методики оцінки ЗІР АС, як правило, орієнтовано на визначення якісних характеристик, що ускладнює визначення критерію якості розробленої або запроектованої комплексної системи захисту інформації або її складових. Таким чином, показано, що виникає необхідність у розробці сучасних програмних засобів, які б могли акумулювати та інтерпретувати сучасний досвід, представлений у вигляді експертних знань та сформульованих методик, були б здатні враховувати кваліфікацію користувачів, а також специфіку визначеної АС.

У другому підрозділі акцентується увага на питанні економічної ефективності застосування ПЗ у порівнянні з традиційним способом аналізу ЗІР АС - залученням експертів з ЗІ. Запропонована оригінальна методика оцінки базується на критерії "ефективність-вартість", яка виражається формулами:

С_{можл.зб.} > > C_{витр.зах.}, С_{витр.зах.} = С_оц + С_зах., (1)

де С_{можл.зб.} - орієнтовна сума можливих збитків, C_{витр.зах. -} сума витрат на проведення захисних заходів, яка складається із суми витрат на оцінку рівня захищеності (С_оц) та суми витрат безпосередньо на виконання захисних заходів (С_зах.). Таким чином, оцінка проводиться, виходячи із припущення, що сума збитків без проведення будь-яких заходів буде значно більшою, ніж при використанні таких, ураховуючи витрати на засоби та заходи оцінки рівня інформаційної захищеності. Методика розрахунку співвідношення (1) враховує складову С_оц - орієнтовну вартість послуг експертів та застосування ПЗ (у класі ЕС) для вирішення поставленої задачі, періодичність проведення експертизи, а також ступінь інформативності та доступності каналів порушення інформаційної захищеності.

Третій підрозділ присвячено аналізу існуючого інструментального програмного забезпечення в галузі ППР щодо управління ЗІ АС. В ході аналізу встановлено, що орієнтуються вони, як правило, на один визначений стандарт, не містять засобів нарощення своєї інформаційної бази, часто відсутні засоби оптимізації діалогу з користувачем, зокрема, за критерієм мінімізації кількості запитань до користувача або деталізації дослідження захищеності за визначеним каналом порушення ЗІР.

З метою визначення основних функціональних елементів ПЗ щодо управління ЗІ АС, які б враховували недоліки існуючих систем та з метою підвищення ефективності застосування подібних автоматизованих засобів підтримки прийняття рішень у галузі ЗІ АС, розроблено класифікацію подібних програмних засобів.

У четвертому підрозділі сформульовано загальну наукову задачу дисертації, яка складається у розробці способу структурно-алгоритмічної організації програмних засобів ППР щодо управління ЗІ АС на основі побудови моделі БЗ предметної галузі, розвиненню способів інтерпретації експертних знань, створенню ефективних засобів нарощення, підтримки цілісності та злиття БЗ ЕС, а також способах структурно-алгоритмічної організації інтерпретатора та редактора БЗ ЕС.

У другому розділі роботи розглядається модель прийняття рішень в галузі управління ЗІ на основі теорії скінченних автоматів як апарату моделювання складних систем. Така модель дозволяє перейти від неформального опису АС до формалізованого подання у інформаційній базі ПЗ у вигляді даних та знань про неї. При цьому задано як структурну модель предметної галузі у вигляді скінченного набору станів АС (зокрема, станів захищеності), так і функціональну, тобто ту, яка визначає спосіб виконання переходів до інших станів ЗІ АС при одержанні нових відомостей про неї за допомогою функцій переходів та виходів автомату. Важливою особливістю автоматного перетворення інформації для задач, що розглядаються, є можливість зберігання передісторії попередніх станів та їх врахування при здійсненні подальших переходів, що дозволяє по-різному інтерпретувати (моделювати) конкретну АС з огляду на питання ЗІ.

Будемо розглядати модель прийняття управлінських рішень у вигляді скінченного ініціального автомату з пам'яттю. Автомат А будемо описувати такою шісткою об'єктів (автомат Мілі):

A=(S, X, Y, s₀, f_a, g_a),

де S - скінченна множина станів автомата, X - скінченна множина вхідних сигналів, Y - скінченна множина вихідних сигналів, s₀ - початковий стан, f_a - функція переходів (SЧX>S), g_a - функція виходів (SЧX>Y).

Встановимо відповідності між елементами автомату та об'єктами предметної галузі управління ЗІ АС.

Узагальнений алгоритм прийняття рішень передбачає можливість послідовного визначення фактів про АС з огляду на питання ЗІ. Автомат має отримувати максимально повну інформацію про АС через деякий вхідний інтерфейс, який можна віднести до множини вхідних сигналів X автомату А.

Стан автомату S_i визначає усі відомі на даний момент факти щодо ЗІ АС: дані ідентифікації ресурсів, загроз (включаючи опис моделі зловмисника), вразливостей, ризиків та контрзаходів.

Стан автомату s₀ відповідає початку роботи автомату і характеризується відсутністю інформації про актуальний стан ЗІ АС.

Функціонування автомату А можна визначити у вигляді переходів між станами під впливом сукупності правил (кроків методики чи алгоритму аналізу та управління ЗІ) та входів автомату X, що разом визначає функцію переходів f_a.

Функція виходів g_a автомату А служить для генерації логічних виведень, результатів експертизи, оцінювання, аналізу ЗІР АС та інших проміжних та кінцевих станів. Цим висновкам відповідає множина виходів Y автомату A. Функція g_a залежить від поточного стану автомату та входу X.

Черговий стан автомату s_i будемо визначати значеннями сукупності фактів про предметну галузь. У контексті ЗІ у ролі факту виступає будь-який елемент ф_ij з множин: ресурсів АС - Ф₁, вразливостей - Ф₂, загроз - Ф₃, контрзаходів - Ф₄ та ризиків - Ф₅, де iI, I={1,2,..,5}; j={1,2,...,|Ф_i|}.

У загальному випадку всю множину фактів Ф можна подати як розбиття Ф:

Ф = ; ;; i I; j,k{1,2,...,|Ф_i|}.

У процесі зміни станів відповідно до функції переходів f_a, елементи множин набувають нових значень, що відповідає деякій інтерпретації ЗІР АС. Будемо вважати, що формально факт характеризується логічною та числовою складовою: ф_ij={ф_лij; ф_чij}, де ф_лij {0,1/2,1}, ф_чij R. Логічне значення відповідає: наявності (1), відсутності (0) або невизначеності (1/2) факту у даній інтерпретації, а числове значення виступає як кількісний показник.

Розглянемо спосіб побудови функції переходів f_a автомату. Традиційно f_a задається за допомогою відповідної таблиці або у вигляді графа. Але, виходячи із вимог, які ставляться до автомату, насамперед, щодо можливості адаптації до різних класів АС та з огляду на можливість застосування різних методик оцінки, аналізу та управління ЗІ, завчасно неможливо встановити точний вигляд f_a, її буде отримано в процесі нарощування інформаційної бази (пам'яті правил автомату). Оскільки правила переходів мають ґрунтуватися на експертних висновках (зокрема, визначеної методики), доцільним буде використання предикатної логіки, яка відтворює продукційні правила типу “ЯКЩО-ТО”, що є найпростішим способом повторення міркувань експерта або можливого алгоритму визначеної методики управління ЗІ АС. Таким чином, подібна логіка дозволяє виконувати формалізацію якісних та кількісних знань, а також застосовувати одні й ті самі правила виведення для різних інтерпретацій (наприклад, інших АС). Слід зазначити, що внутрішня структура логічної формули, яка представлена у ДНФ, однозначно визначає пріоритет виконання операцій у даній формулі і надає змоги побудувати однозначну граматику, тобто ту, що не допускає генерації різних дерев виведення для однієї і тієї ж вхідної формули. Визначимо множину правил граматики для генерації предикатів у формі Бекуса-Наура наступним чином:

1. <predicate>::=? | ?/< predicate> | <funс>

2. <funс>::=<and-funс> | <funс>+<and-funс>

3. <and-funс>::=<imnem> |<and-funс><imnem>

4. <imnem>::=<mnem> | -<mnem>

5. <mnem>::=CI<4digit>| PM<4digit>

| T<4digit>| TI<4digit>

6. <4digit>::=<digit><digit><digit><digit>

7. <digit>::=0|1|2|3|4|5|6|7|8|9

У цій граматиці “+” відповідає логічній функції “АБО”, “-” відповідає запереченню (функції “НІ”), а функція “І” виконується за умовчанням, якщо не вказані функції “НІ” чи “АБО”. Логічні операції виконуються над фактами, імена яких задаються нетерміналом <mnem>. Відмінністю даної граматики від класичної ДНФ є наявність в ній термінального символу “?”. Це означає, що для одержання значення предикату може використовуватися вхід Х автомату у разі неможливості автоматичного обчислення логічної формули (предикату) через уже відомі факти:

ф_{лij =} ,

де arg - аргументи предиката.

Мову для подання числової функції визначають такі правила граматики:

1. <function> ::= <ord_func> | <aggr_func> | <variable>

2. <ord_func> ::= <u_func> | <1arg_func> | <2arg_func>

3. <aggr_func> ::= <aggr_arg><aggr_func_name>

4. <u_func> ::= u

5. <1arg_func> ::= <argument><1arg_func_name>

6. <2arg_func> ::= <argument><argument><2arg_func_name>

7. <argument> ::= <function>

8. <1arg_func_name> ::= c | e | g | i | l | n | o | q | r | s | t | v

9. <2arg_func_name> ::= + | - | * | / | ^

10. <aggr_func_name> ::= p | x | y

11. <aggr_arg> ::= (<aggr_elem>{< aggr_elem>})

12. <aggr_elem> ::= < aggr_symbol> | <function>

13. <aggr_symbol> ::= fCG<4digit> | fCI<4digit>| fPM<4digit> | fTI<4digit> | fTT<4digit>

14. <fact_value> ::= fCI<4digit>| fPM<4digit>|fTI<4digit>|fTT<4digit>| pCI<4digit>| pPM<4digit> | pTI<4digit>| pTT<4digit>| cPM<4digit>

15. <4digit>::=<digit><digit><digit><digit>

16. <digit>::=0|1|2|3|4|5|6|7|8|9

17. <variable> ::= <const> | <fact_value>

18. <const> ::= WC<4digit>

У таблиці 1 дається розшифровка кодів операцій.

Таблиця 1

+ -- add	i -- arcsin	t -- tan
- -- subtract	l -- ln	u -- uservalue
* -- multiply	n -- arctan	v -- inverse
/ -- divide	o -- arccos	x -- aggrmultiply -- Пі(xi)
^ -- power	p -- pie -- 1-Пi(1-xi)	s -- sin
c -- cos	q -- sqrt	y -- aggrsumma -- еi(xi)
e -- exp	r -- sqr

Подання числової функції для зручності реалізації має форму зворотного польського запису і може приймати нуль, один або два параметри. Серед стандартних операцій та функцій у даній граматиці передбачено використання більш складних виразів, наприклад, pie - функція визначення імовірності незалежних подій, а також агрегатні сума та добуток числових значень множини фактів, відповідно до логічного значення.

Вхідні сигнали X автомату А відповідають значенням екстенсійних фактів про АС і є аргументами для функцій переходів і виходів. Вони використовуються як аргументи предикатних та числових функцій для одержання нових знань.

Крім логічних значень на входи автомату можуть надходити і числові значення, які є аргументами числових функцій, коли є важливим не тільки наявність чи відсутність деякого факту, а і значення його кількісної складової. Таким чином, множину значень вхідних сигналів формально можна задавати аналогічно значенням станів S, тобто X={x₁,x₂,…x_m}, x_i={x_лi; x_чi}, де x_лi{0,1/2,1}, x_чi R.

Множина виходів Y у даній системі математично задається аналогічно вхідній множині Х. Маємо: Y={y₁,y₂,…y_m}, y_i={y_лi; y_чi}, де y_лi {0,1/2,1}, y_чi R. Але тлумачення значень елементів вихідної множини інше. Вони характеризують рівень ЗІ АС в цілому або по деякому каналу порушення ЗІР, визначають проміжні та загальні висновки, зроблені під час аналізу, аудиту, генерації контрзаходів тощо.

Функція виходів g_a формально задається аналогічно функції переходів, тобто залежить від значень вхідної множини і поточного стану. При цьому може обчислюватися як логічне значення елементів вихідної множини, так і числове.

Наведемо схему функціонування подібного автомата. Автомат включає: блок пам'яті для зберігання інформації про актуальний стан (БПАС), блок зберігання історії попередніх станів (БППС), блок управління (БУ) для вибору аргументів та генерації функцій переходів та виходів з пам'яті правил (ПП), обчислювач (Обч) для виконання переходу між станами та збереження вже неактуального стану у БППС (див. рис.1).

У другому пункті першого підрозділу наведено алгоритм функціонування даного автомату. Зазначається, що серед усієї множини станів, виражених сукупністю значень складових фактів, практичний інтерес має лише деяка її підмножина. Узагальнюючи різноманітні методики та алгоритми оцінки та управління ЗІ, можна говорити про наявність цілеспрямованості виконання даного процесу. Схеми управління ЗІ АС дозволяють зробити висновок про те, що даний процес складається з визначених цілісних етапів, які характеризуються певним рівнем інформованості про АС, завершеності та несуперечливості знань на кожному з етапів. Подібні етапи називають транзакціями. Виходячи з того, що основою логічного виведення є експертні оцінки, уводиться поняття експертної транзакції (ЕТ). Дамо формальне визначення ЕТ.

Будемо розглядати лише логічну складову кожного з фактів, тобто ф_лij, де i{1,2,...5}, j={1,2,...,|Ф_i|}. Об'єднаємо множини Ф_лi і отримаємо загальну множину логічних значень фактів Ф_л = ={ф_1л, ф_2л,...,ф_kл}, де k = |Ф_i|. Отримаємо розбиття:

Ф_л=Ф_л^1/2Ф_л⁰¹, де

Ф_л^1/2={ф_лj | ф_лj {1/2}, j{1,2,..,n}},

Ф_л⁰¹={ф_лm | ф_лm {0,1}, m{n+1,n+1,..,k}},

n, k N. (2)

Під впливом f_a автомат А змінює конфігурацію множин Ф_л^1/2 та Ф_л⁰¹ з формули (2), фактично встановлюючи визначені (0 та 1) логічні значення фактів. Якщо вибрати з Ф_л даного розбиття таку множину фактів, яка б відповідала одному з етапів процесу управління ЗІ АС, наприклад, Ф_л^1/2' = {ф_лt, ф_л+1t,…, ф_лt+s}, де t,sN і виконати відповідний набір переходів автомату А щодо встановлення фактів з Ф_л^1/2' у {0,1}, то можна стверджувати, що ЕТ завершено.

Визначення 1. Логічно завершеним станом будемо вважати встановлення деякої визначеної підмножини фактів Ф_лi^1/2' в 0 або 1.

Визначення 2. Експертною транзакцією (ЕТ) будемо називати такий набір переходів автомату, яка переводить автомат з одного логічно завершеного стану в інший.

У другому пункті розглядаються способи подання моделі БЗ. При чому визначається структурна схема БЗ, у якій показано однозначну відповідність множини фактів Ф та розділів БЗ. З огляду на задачі системного аналізу подібну схему можна розглядати і з функціональної точки зору (див. рис. 2), яка показує узагальнений алгоритм прийняття рішень у даній галузі та узгоджується з уведеним поняттям ЕТ.

Крім того показано, що завдяки використанню ЕТ з'являється можливість ієрархічного подання знань у базі, що спрощує процес формування БЗ та інтерпретації отриманих логічних виведень.

У третьому розділі на основі формалізації процесу ППР запропоновано програмний спосіб реалізації даного автомату завдяки розробці способу структурно-алгоритмічної організації відповідних ПЗ.

При чому показано відповідність елементів автомату та ПЗ у класі ЕС, які найбільш повно відображають можливість комплексного емпірично-аналітичного характеру дослідження предметної галузі і відповідають розробленій автоматній моделі.

У першому підрозділі визначено узагальнену структуру засобів інтерпретації знань у складі комплексу ПЗ, яка включає ядро, базу знань, робочу пам'ять, інтерфейсну підсистему та підсистему підтримки інформаційної стійкості (рис. 3).

Узагальнений алгоритм функціонування засобів інтерпретації знань складається у виконанні усіх ЕТ, занесених у БЗ ПЗ, одержання нових, проміжних та кінцевих знань про АС з огляду на задачі опису, аналізу рівня ЗІ, а також генерації множини засобів та заходів щодо його підвищення.

Спираючись на положення, які описують функціонування автомату, сформульовано узагальнений алгоритм функціонування засобів інтерпретації. Кожний такт функціонування автомату - зміна стану, одночасно зміна значень множини фактів, виконується під впливом розрахунку логічних та числових складових фактів в рамках ЕТ.

У другому підрозділі представлено підхід до побудови робочої пам'яті (РП) ЕС, яка включає значення вже обчислених фактів і має підтримувати можливість відновлення будь-якого попереднього стану функціонування ПЗ.

Третій підрозділ присвячено питанням організації інтерфейсної підсистеми, яка надає можливості перетворення інформації з лінгвістичної форми у внутрішнє подання знань у ПЗ та забезпечує адаптацію до кожного типу користувача, спрощуючи спосіб обміну повідомленнями між користувачем і ПЗ.

У четвертому підрозділі представлено модуль підтримки інформаційної цілісності ПЗ, який забезпечує аутентифікований доступ до програмних засобів, а також виконує функцію підтримки цілісності БЗ з огляду на формати подання фактів, предикатів, числових формул, а також наявності фактів у БЗ, що забезпечує більш надійне функціонування ПЗ.

У четвертому розділі розглянуто спосіб структурно-алгоритмічної організації засобів нарощення БЗ ЕС. Подібні засоби дозволяють проводити редагування та наповнення розділів БЗ, використовуючи при цьому конструктори предикатних та числових формул у формі, наближеній до природної мови, що спрощує та прискорює уведення нових знань у БЗ.

Для їх ефективного вирішення у першому підрозділі розроблено наступну узагальнену структуру ПЗ (див. рис. 4).

В другому підрозділі розкрито алгоритми, пов'язані з редагуванням предикатів згідно із граматикою, представленою у другому розділі. Предикат визначається виразом у ДНФ, обробка якого виконується за допомогою рекурсивного алгоритму.

В третьому підрозділі показано основні елементи підсистеми редагування формул та алгоритмічні особливості її функціонування. У четвертому та п'ятому підпунктах визначено підхід до організації злиття баз знань ЕС, розкрито сутність проблеми та шлях її вирішення з використанням так званого структурованого злиття.

У п'ятому розділі представлено архітектуру ПЗ Expro, які реалізують розроблені способи структурно-алгоритмічної організації, модель та організацію засобів нарощення БЗ.

Крім того, проведено порівняльний аналіз ПЗ, що розробляється з аналогічним вітчизняним та закордонним ПЗ.

Методика, покладена в основу обчислення відносної корисності ПЗ, базується на комплексному функціональному критерії, який включає спектр функціональних

можливостей, які надають сучасні ПЗ. При цьому використовуються методи теорії ППР, зокрема, відомий метод аналізу ієрархій Сааті, який дозволяє враховувати внутрішню узгодженість результатів парних порівнянь. Результати дослідження (див. рис. 5) показують, що для різних груп користувачів найбільш важливими є інтелектуальні властивості ПЗ, зокрема, здатність щодо адаптивності до визначеної АС, гнучкість щодо зміни методики, можливість спрощення діалогу з користувачем, зокрема, за рахунок мінімізації кількості запитів до нього.

Рис. 5. Гістограма відносної корисності використання ПЗ в галузі підтримки управління ЗІ АС.

Отже, підсумовуючи вищевказані результати, можемо зробити висновок про доцільність використання саме інтелектуалізованих ПЗ, зокрема тих, що розробляються у даній дисертаційній роботі, для задач ППР щодо управління ЗІ АС.

ВИСНОВКИ

В дисертаційній роботі вирішено важливу науково-практичну задачу, яка полягає у розробці структурно-алгоритмічної організації прикладних програмних систем підтримки прийняття управлінських рішень, що забезпечує підвищення ефективності комп'ютеризованого управління захистом інформації в автоматизованих системах.

При цьому отримано такі основні теоретичні та практичні результати.

1.На основі аналізу сучасної нормативної бази в галузі ЗІ АС, існуючих підходів до управління у ній, а також прикладних програмних засобів інформаційної підтримки цих підходів, запропоновано нову автоматну модель прийняття відповідних управлінських рішень щодо інформаційної безпеки, яка дозволяє формалізувати процедуру формування технічних вимог у ході проектування технологічного ряду спеціалізованих ЕС для вирішення задачі підтримки управління ЗІ різних класів АС.

2. Розроблено нову логіко-функціональну модель бази предметних знань з галузі ЗІ, побудовану на основі модифікованої логіки предикатів. На основі даної моделі запропоновано структурно-алгоритмічну організацію засобів інтерпретації знань, які, порівняно з відомими, дозволяють скоротити час на генерування людино-машинних управлінських рішень, забезпечити адекватну деталізацію діалогу з користувачем, а також застосовувати широкий спектр існуючих методик щодо управління ЗІ АС.

3. Розроблено способи структурно-алгоритмічної організації програмних засобів формування спеціалізованих БЗ щодо управління ЗІ АС у пакетному та інтерактивному режимах з поетапною верифікацією, що дозволяє прискорити процедуру формування БЗ та забезпечити формально-логічну та семантичну цілісність її вмісту.

4. Розроблено спосіб структурно-алгоритмічної організації експертних систем ППР щодо управління ЗІ АС, який дозволяє підвищити рівень автоматизації та оперативність управління інфраструктурою забезпечення безпеки інформації АС і розширити дидактичні можливості інтелектуалізованих систем, орієнтованих на вирішення даної задачі.

5. На основі методів теорії ППР розроблено спеціальний математичний апарат для цільового визначення комплексної ефективності застосування ПЗ ППР щодо управління ЗІ АС, який дозволяє оптимізувати впровадження ЕС відповідного профілю та здійснювати їх оптимізований вибір для застосування на комп'ютеризованих об'єктах інформаційної діяльності.

6. Основні результати роботи впроваджено та апробовано як у практиці використання ПЗ ППР щодо управління ЗІ АС у науково-дослідному центрі систем технічного захисту інформації НТУУ “КПІ” ТЕЗІС (м. Київ) та у навчальному процесі кафедри спеціалізованих комп'ютерних систем НТУУ “КПІ”.

СПИСОК ОПУБЛІКОВАНИХ РОБІТ ЗА ТЕМОЮ ДИСЕРТАЦІЇ

1. Тарасенко В.П., Михайлюк А.Ю., Петрашенко А.В. Математичний апарат для обґрунтування економічної доцільності використання експертних систем прийняття рішень для захисту інформації // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. Науково-технічний збірник. Київ, 2000.- С.105-106. - Автором запропоновано критерій оцінки економічної ефективності автоматизації процесу підтримки прийняття рішень щодо управління захистом інформації.

2. Тарасенко В.П., Михайлюк А.Ю., Петрашенко А.В. Економічні аспекти проблеми автоматизації управління інформаційною безпекою комп'ютеризованих систем. // Вимірювальна та обчислювальна техніка в технологічних процесах. - Хмельницький: ТУП, 2001. - С.347-350. - Автором удосконалено математичний апарат щодо оцінки ефективності застосування автоматизованих засобів підтримки управління процесу захисту інформації.

3. Тарасенко В.П., Михайлюк А.Ю., Петрашенко А.В. Проблема злиття баз знань та шлях її розв'язання. // Вісник технологічного університету "Поділля". - 2002. - С.247-250. - Автором запропоновано процедуру здійснення структурованого об'єднання баз знань на основі експертних транзакцій.

4. Петрашенко А.В., Михайлюк А.Ю., Михайлюк О.С., Дробязко І.П., Лещенко О.О. Експертна система як інструмент підтримки інформаційного менеджменту // Вісник технологічного університету "Поділля" - 2003. - С. 72-76. - Автором окреслено задачі та запропоновано структуру експертної системи у складі засобів підтримки інформаційного менеджменту.

5. Петрашенко А.В., Михайлюк А.Ю., Блэдний Д.В., Заболотня Т.М. Підхід до побудови блоку логічного виведення експертної системи // Вісник технологічного університету "Поділля". - 2004. - C.69-72. - Автором розроблено граматики для формування предикатів та формул числової складової фактів предметної галузі управління захистом інформації.

6. Petrashenko Andrey, Kebkalo Aleksey, Mykhailyuk Anton, Tarasenko Volodymyr, Leschenko Oleg. Intellectualized Computer Means Of Instrumental Information Management Support // ACSN2003: Матеріали 1-ї міжнародної конференції "Сучасні комп'ютерні системи те мережі: розробка та використання" (24-26 вересня 2003 р.). - Львів: Львівська політехніка, 2003. - P.98-101. - Автором запропоновано узагальнену структуру інтелектуального модуля управління у складі засобів підтримки інформаційного менеджменту.

7. Михайлюк А.Ю., Петрашенко А.В., Тарасенко В.П. Економічні аспекти проблеми захисту інформації в комп'ютеризованих системах // Матеріали міжнародного конгресу “Інформаційне суспільство в Україні - стан, проблеми, перспективи”, 25-27 вересня 2000 року, НТУУ “КПІ”.- с. 307-310. - Автором проаналізовано доцільність використання автоматизованих засобів підтримки прийняття управлінських рішень у галузі захисту інформації.

8. Петрашенко А.В. Нужний В.В. Апріорний аналіз ефективності управляння безпекою інформаційних технологій. Матеріали конгресу “Інформаційне суспільство в Україні - стан, проблеми, перспективи”, 3-6 грудня 2001 року, НТУУ “КПІ”. - Автором запропоновано алгоритм оцінки економічної ефективності застосування експертних систем для задач підтримки управління захистом інформації.

9. Михайлюк А.Ю., Воробей Д.М., Петрашенко А.В. Інтелектуальні комп'ютерні засоби аналізу інформаційної захищеності об'єктів // Матеріали міжнародного конгресу “Інформаційне суспільство в Україні - стан, проблеми, перспективи”, 25-27 вересня 2000 року, НТУУ “КПІ”, С. 302-306. - Автором визначено шлях до підвищення ефективності застосування експертних систем у галузі захисту інформації за рахунок уведення модуля евристичного аналізатора.

10. Anton Mikhailyuk, Andrey Petrashenko A Technique Of Knowledge Bases Organizational Confluence Of Expert System // Матеріали 7-ї мiжнародної науково-технiчної конференції "Досвід розробки та застосування САПР в мiкроелектронiцi". - Славсько. - 2003. - С. 235-236. - Автором визначено проблеми злиття баз знань експертних систем у галузі захисту інформації.

11. Тарасенко В.П., Михайлюк А.Ю., Бледный Д.В., Кебкало А.С., Петрашенко А.В. „Комплекс инструментальных средств оптимизации информационной составляющей корпоративной системы”, // Матеріали мiжнародної науково-технiчної конференції "Единое информационное пространство". - Днепропетровск, 3-4 декабря 2003 г., С.160-163. - Автором визначено алгоритм функціонування експертної системи у складі комплексу інструментальних засобів оптимізації інформаційної складової корпоративних систем.

12. Andriy Petrashenko, Anton Mykhaylyuk, Volodymyr Tarasenko, Iryna Voznyuk The quasi-semantic text retrieval means in document-oriented databases of legal proceedings purpose // ACSN2003: Матеріали II-ї міжнародної конференції "Сучасні комп'ютерні системи те мережі: розробка та використання" (21-23 вересня 2005 р.). - Львів: Львівська політехніка, 2005. - P.98-101. - Автором запропоновано квазі-семантичну модель подання текстового документу документоорієнтованих баз даних.

13. Блєдний Д.В., Голуб А.А., Замятин Д.С., Наливайчук Н.В., Петрашенко А.В. Логическая интеграция обособленных сегментов гетерогенных баз данных // Сучасні проблеми і досягнення в галузі радіотехніки, телекомунікацій та інформаційних технологій: Матеріали Міжнародної науково-практичної конференції м. Запоріжжя, 2006 р., С.122-123. - Автором визначено проблеми логічної інтеграції окремих сегментів гетерогенних баз даних.

14. Буняк О.В., Замятін Д.С., Кебкало О.С., Наливайчук О.Ю., Петрашенко А.В. Алгоритм автоматичного структурного та логичного аналізу електронного документа. // Сучасні проблеми і досягнення в галузі радіотехніки, телекомунікацій та інформаційних технологій: Матеріали Міжнародної науково-практичної конференції м. Запоріжжя, 2006 р., С.126-127. - Автором запропоновано алгоритм автоматичного структурного аналізу текстового документу документоорієнтованих баз даних.

15. Тарасенко В.П., Михайлюк А.Ю., Петрашенко А.В. Експертна система для підтримки керування безпекою інформації комп'ютерних системах. // Методи та засоби кодування, захисту й ущільнення інформації: Тези доповідей першої міжнародної науково-практичної конференції, м. Вінниця, 2007 р., С.42. - Автором запропоновано спектр функціональних можливостей, які надають експертні системи для задачі підтримки управління інформаційною безпекою.

16. Тарасенко В.П., Михайлюк А.Ю., Петрашенко А.В. Экспертная система для поддержки решения задач защиты информации. // Информационные технологии и информационная безопасность в науке, технике и образовании "Инфотех-2007", материалы международной научно-практической конференции. Часть 2., г. Севастополь, 2007 г. - Автором визначено узагальнений підхід щодо використання експертних систем у галузі захисту інформації.

АНОТАЦІЯ

Петрашенко А.В. Програмні засоби підтримки прийняття рішень щодо управління захистом інформації в автоматизованих системах. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 01.05.03 - математичне та програмне забезпечення обчислювальних машин і систем. - Національний технічний університет України "КПІ", Київ, 2007.

Дисертаційна робота присвячена розробці способу структурно-алгоритмічної організації програмних засобів підтримки прийняття рішень щодо захисту інформації в автоматизованих системах. В роботі розроблено математичний апарат визначення доцільності використання експертних систем у порівнянні із залученням експертів за критерієм економічної ефективності, яка дозволяє визначити типи підприємств, для яких застосування експертних систем є економічно виправданим. Створено автоматну модель процесу прийняття рішень у даній предметній галузі, яка дозволяє формалізувати даний процес, побудувати базу знань та відповідні засоби інтерпретації експертних висновків щодо аналізу та управління захистом інформації на основі використання логіки предикатів. Оптимізація логічного виведення програмних засобів базується на спрощенні обчислення предикатів, які подаються у вигляді диз'юнктивної нормальної форми, при використанні розробленого алгоритму експертних транзакцій, а також за можливості ітераційного уточнення засобів та заходів щодо підвищення рівня захищеності інформаційних ресурсів. Представлено спосіб структурно-алгоритмічної організації засобів формування БЗ. Розкрито шляхи вирішення задачі злиття БЗ, отриманих при наповненні розрізнених локальних баз. Запропоновано протокол здійснення цієї процедури, а також розроблено відповідні програмні засоби. В заключному розділі роботи наведено архітектуру програмних засобів та проведено порівняльний аналіз функціональності (відносної корисності) застосування даних програмних засобів у порівнянні з аналогами на основі методів підтримки прийняття рішень, за рахунок чого визначено сферу застосування подібної системи. Основні результати дисертації впроваджені у науково-дослідному центрі систем технічного захисту інформації "ТЕЗІС" та у навчальному процесі кафедри СКС НТУУ "КПІ".

...