Модификация математической модели выбора оптимальной стратегии информационной защиты распределённых систем
Процесс построения математической модели, используемой для решения задачи выбора оптимальной стратегии информационной защиты распределённых систем. Схемы оптимизации информационной безопасности, использование набора целей при комплектовании рюкзака.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 30.07.2017 |
Размер файла | 435,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Модификация математической модели выбора оптимальной стратегии информационной защиты распределённых систем
А.А. Кацупеев
Аннотация
В статье предлагается новая постановка задачи о рюкзаке, а также рассматривается математическая модель, используемая для решения задачи выбора оптимальной стратегии информационной защиты распределённых систем. Суть новой задачи выражается в использовании набора целей при комплектовании рюкзака.
Ключевые слова: информационная безопасность, защита информации, распределённая система, комбинаторная задача, математическое моделирование, задача о рюкзаке, эквивалентность, модель угроз.
Практическая реализация задачи построения оптимальной стратегии информационной защиты распределённой системы потребовала модификации, поскольку описанная в работе [1] модель информационной безопасности достаточно тяжело ассоциировалась с элементами реальной вычислительной сети. Целью данной работы является устранение проблемных мест в математической модели, что позволит лучше адаптировать модель под требования и особенности информационных систем. стратегия информационная задача
В первую очередь, необходимо модифицировать исходную задачу о рюкзаке [2-3], поскольку задача о мультипликативном рюкзаке с мультивыбором не отражает возможности замещения предмета из одного класса предметом из другого класса, выполняющего сходные функции. Добавить такую возможность можно, если заменить общую ценность, относительно которой характеризуется каждый предмет, множеством целей. В таком случае каждый предмет будет иметь различную ценность для каждой из целей. Это позволяет отразить эквивалентность и взаимозаменяемость предметов. Так, благодаря такому дополнению задачи мы можем заменить предмет из одного класса предметом из другого класса, если его ценность для достижения конкретной цели будет выше.
В математическом виде задача о мультипликативном рюкзаке с мультивыбором и эквивалентами выглядит так:
Пусть есть N предметов, разделенных на k классов, содержащих в себе соответственно N1,…,Nk предметов, m рюкзаков и q целей. Для каждого j-го груза, принадлежащего l-му классу, определён вес wlj и ценность относительно цели h pljh, l = 1,…,n, h = 1,…,q. У каждого рюкзака есть своя вместимость ci, i = 1,…,m. Необходимо найти количество xilj предмета j, принадлежащего классу l и укладываемого в рюкзак i. Задача:
, l = 1,…,k, j Nl, i = 1,…,m;
Таким образом, модель информационной защиты, аспекты которой рассмотрены также в работах [4-10], может быть представлена как задача о мультипликативном рюкзаке с мультивыбором и эквивалентами. Мультипликативность отражена в том что, существует множество элементов сети, на которых требуется разместить средства защиты (например, серверы, рабочие станции, активное сетевое оборудование (коммутаторы, маршрутизаторы) и т.д.). Данные элементы выступают в качестве «рюкзаков». Мультивыбор означает возможность выбора средств защиты из нескольких классов. Классы объединяют в себе сходные по назначению контрмеры по противодействию угрозам. Так, классами являются антивирусы, межсетевые экраны и др., а «предметами» - непосредственно средства защиты. Эквиваленты в данной задаче отражают возможность противодействия каждой конкретной угрозе с помощью контрмер из различных классов. В общем виде задача построения информационной безопасности интерпретируется как укладка предметов в рюкзак: необходимо «уложить» как можно больше средств защиты, имеющих лучшую эффективность, при этом не превысив заданных ограничений. В формализованном виде модель выглядит следующим образом:
1) Множество элементов распределённой системы
K = {Ki = < LLK1,…,LLKK, CNTi, KPRi>, i = 1,…,KCOUNT},
где
KCOUNT - количество элементов распределённой системы;
LLKk, k = 1,…,LCOUNTi - показатели локальных ограничений, накладываемых на инструментарий узла сети.
LCOUNTi - количество локальных ограничений на узле сети Ki;
CNTi - количество узлов типа Ki.
KPRi - номер родительского узла в архитектуре сети. KPRi = 0, если узел Ki является корневым.
2) Множество классов контрмер
N = {Nm = <Cml, Omz, ,, EKNmi, NDm, INDmzj, PRDCmzj, DRDCmzj>, m = 1,…,NCOUNT,
где
Cml, l = 1,…,CCOUNTm, m = 1,…, NCOUNT - контрмеры, принадлежащие данному классу;
Omz, z = 1,…,OCOUNTm, m = 1,…, NCOUNT - критерии, отражающие характеристики, по которым сравниваются элементы данного класса.
, z = 1,…,OCOUNTm, m = 1,…, NCOUNT - предельное (идеальное) значение по критерию Omz.
= {-1;1}, z = 1,…,OCOUNTm, m = 1,…, NCOUNT - значение, отражающее показатель того, стремится ли значения критерия Omz к минимуму или максимуму.
EKNmi, i = 1,…,KCOUNT - эффективность средств данного класса защиты относительно точки размещения контрмер Ki на элементе распределённой системы.
NCOUNT - количество классов средств защиты.
NDm = {-1;1} - показатель, отражающий, снижают ли средства защиты данного класса вероятность реализации угрозы, или же снижают потенциальный ущерб.
INDmzj = [0,1] показатель участия критерия Omz в противодействии угрозе Dj;
PRDCmzj- максимальное уменьшение вероятности реализации угрозы Dj при предельном значении по критерию Omz.
DRDCmzj - максимальное уменьшение потенциального ущерба в случае реализации угрозы Dj при предельном значении по критерию Omz.
3) Контрмеры
Cml = <OCmlz, LLCmli, ULCmlj, KSml, IULml>, l = 1,….CCOUNTm,
где
CCOUNTm - количество контрмер по противодействию угрозам класса Nm;
OCmlz - показатель данного средства защиты по критерию Omz;
LLCmli - показатель данного средства защиты по расходу локального ресурса LLi.;
ULCmlj - показатель данного средства защиты по расходу общего ресурса ULi.;
KSml = [-1;1] - коэффициент связности средства защиты Cml, отражающий, снижается ли эффективность средства защиты на узле в случае наличия такого же средства защиты на вышестоящем узле сети (в случае отрицательного значения), увеличивается (в случае положительного значения), или же эффективность остаётся неизменной (коэффициент связности равен нулю);
IULml = {-1;1} - показатель, отражающий, рассчитывается ли расход общего ресурса ULCmlj как фиксированное для всей системы значение или как зависящее от количества элементов, на которых размещено средство защиты Cml.;
4) Угрозы D представляются в виде следующего кортежа данных:
Dj = <Ki, Pji, DMGji>, j = 1,…,DCOUNT,
где
DCOUNT - количество угроз облачной системе;
Ki, i = 1,…,KCOUNT - объекты воздействия;
Pij, j = 1,…,DCOUNT, i = 1,…,KCOUNT - вероятность угрозы Dj на объекте Ki;
DMGij, j = 1,…,DCOUNT, i = 1,…,KCOUNT - ущерб объекту Ki в случае осуществления угрозы Dj.
5) Показатели общих ограничений, накладываемых на систему
ULj, j = 1,…,ULCOUNT,
где
ULCOUNT - количество общих ограничений.
Существует ряд особенностей, которые нужно учитывать при проектировании информационной безопасности. Можно выделить следующие ключевые моменты:
1) Угрозы воздействуют не целиком на распределённую систему, а на отдельные её элементы. В таком случае при успешной реализации угрозы j на узле сети i с вероятностью вычислительной сети в целом будет нанесён ущерб . Поэтому необходимо определить индивидуальный набор средств защиты таким образом, чтобы минимизировать потенциальный ущерб системе PDU, представляющий из себя сумму локальных показателей потенциального ущерба на каждом из элементов сети PDLi. Принято решение суммировать показатели локального ущерба, потому что они выражены в условных денежных единицах и уже зависят от важности положения узла в сети.
2) Эффективность одного и того же средства защиты будет различаться в зависимости от места его размещения. В связи с этим целесообразно выражать эффективность контрмеры, исходя из критериев оценки класса защиты, к которому она относится. (Emlz - значение средства защиты c по критерию O). Критерии оценки, в свою очередь, связаны с угрозами с помощью показателей PRDCmzj и DRDCmzj, отражающими уменьшение вероятности реализации и потенциального ущерба соответственно от угрозы j при максимальном значении критерия О.
3) Элементы из некоторых классов защиты не могут быть размещены на определённых узлах сети. Для учёта таких случаев в модели введён показатель EKNim, показывающий эффективность средств из класса защиты m на узле i.
4) Против одной и той же угрозы могут применяться средства из различных классов защиты. Подход с использованием критериев для оценки контрмер и связей между критериями и угрозами позволяет обеспечить решение с учётом эквивалентности средств защиты.
5) Поскольку некоторые средства защиты не имеет смысла дублировать на различных узлах системы, другие, напротив, показывают наибольшую эффективность только в том случае, если размещены на большом количестве элементов сети, целесообразно добавить в модель коэффициент связности KSml, отражающий показатель средства защиты l из класса m. В случае отрицательного значения эффективность средств защиты l, расположенных на нижестоящих узлах сети, уменьшается, в случае положительного - увеличивается, если на вышестоящем узле расположено средство защиты l.
Схематично задача оптимизации информационной безопасности изображена на рис. 1.
Размещено на http://www.allbest.ru/
Ключевым критерием является суммарный показатель потенциального ущерба системе, который рассчитывается как сумма показателей потенциального ущерба PDL узлов сети.
Показатель потенциального ущерба PDL рассчитывается в отдельности для каждого элемента информационной системы и представляет собой произведение вероятности реализации угрозы на узле и потенциального ущерба в случае её реализации.
Вероятность реализации угрозы Pij рассчитывается по следующей формуле:
, где
- начальная вероятность реализации угрозы Dj на узле Ki;
- изменение вероятности реализации угрозы Dj на узле Ki вследствие размещённых на узле Ki мер противодействия угрозам Cl. Показатель PRDij рассчитывается следующим образом:
,
где
Emlz - эффективность средства защиты по противодействию угрозе Dj на узле Ki по критерию Oz.
;
xmli - показатель наличия или отсутствия предмета Cl из класса Nm на узле Ki.
Объём потенциального ущерба DMGij рассчитывается по формуле:
, где
- начальная вероятность реализации угрозы Dj на узле Ki;
DRDij - изменение потенциального ущерба в случае реализации угрозы Dj на узле Ki вследствие размещённых на узле Ki мер противодействия угрозам Cl. Показатель DRDij рассчитывается следующим образом:
Таким образом, целевая функция выражена таким образом: необходимо минимизировать показатель общего потенциального ущерба:
Безусловно, достижение максимальной эффективности возможно лишь при неограниченном запасе финансовых и аппаратных ресурсов, что в реальных условиях практически неосуществимо. Поэтому другим важным критерием оптимизации структуры безопасности является минимизация затрат по введению контрмер. Формализованно этот критерий выглядит следующим образом: необходимо свести к минимуму суммы расхода ресурсов по локальным и общим ограничениям, вызванных введением контрмер на узлах системы.
Таким образом, в данной статье представлена модификация задачи о рюкзаке, позволяющая учитывать множество целей при комплектовании рюкзака. На основании новой задачи предлагается модификация модели информационной безопасности.
Литература
1. Кацупеев А.А., Щербакова Е.А., Воробьёв С.П. Постановка и формализация задачи формирования информационной защиты распределённых систем // Инженерный вестник Дона. 2015. №1-2. URL: ivdon.ru/ru/magazine/archive/n1p2y2015/2868
2. Pisinger D. Knapsack problems. - Copenhagen, 1995. 199p.
3. Martelo S., Toth P. Knapsack problems. - Wiley, 1990 - 1995. - 306 p.
4. Земцов А.Н., Болгов Н.В., Божко С.Н. Многокритериальный выбор оптимальной системы управления базы данных с помощью метода анализа иерархий // Инженерный вестник Дона, 2014, №2. URL: ivdon.ru/ru/magazine/archive/n2y2014/2360.
5. Гильмуллин Т. М. Модели и комплекс программ процесса управления рисками информационной безопасности: Автореф. дис. канд. техн. наук: 05.13.18. - Казань, 2010. - 21 с.
6. Ширинкин М. С. Модели и методы синтеза оптимальной иерархической структуры многоуровневого информационного комплекса промышленного предприятия: Автореф. дис. канд. техн. наук: 05.13.01. - Москва, 2011. - 21 с.
7. Тихонов Д. В. Модели оценки эффективности систем информационной безопасности: Автореф. дис. канд. эк. наук: 08.00.13. - Санкт-Петербург, 2009. - 19 с.
8. Голембиовская О. М. Автоматизация выбора средств защиты персональных данных на основе анализа их защищённости: Автореф. дис. канд. техн. наук: 05.13.19. - Брянск, 2013. - 19 с.
9. Асмолов Т. А. Защита информационных систем музейных и библиотечных фондов на основе решений задач комбинаторной оптимизации: Автореф. дис. канд. техн. наук: 05.13.19. - Москва, 2012. - 24 с.
10. Шоров А. В. Имитационное моделирование механизмов защиты компьютерных сетей от инфраструктурных атак на основе подхода "Нервная система сети": Автореф. дис. канд. техн. наук: 05.13.19. - Санкт-Петербург, 2012. - 24 с.
Размещено на Allbest.ru
...Подобные документы
Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.
курсовая работа [158,7 K], добавлен 15.06.2013Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015Понятие информационных систем и их классификация, типы и история развития, структура и компоненты. Создание информационной модели и обоснование выбора модели данных. Внутренняя среда предприятия, организация на нем документооборота. Средства базы данных.
курсовая работа [1,0 M], добавлен 17.04.2016Анализ проблемных аспектов построения и функционирования системы физической защиты информации предприятия. Модель угроз информационной безопасности. Разработка и обоснование модели и процедур выбора средств СФЗИ на основе метода анализа иерархий.
дипломная работа [2,6 M], добавлен 01.07.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Математические модели характеристик компьютеров возможных нарушителей и угроз безопасности информации в условиях априорной неопределённости. Методика построения комплексной системы защиты информационной сети военного ВУЗа от несанкционированного доступа.
контрольная работа [401,8 K], добавлен 03.12.2012Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.
презентация [63,6 K], добавлен 21.05.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ существующих систем управления базами данных и выбор оптимальной. Создание автоматизированной информационной системы "Поликлиника", определение сущностей и взаимосвязей, описание физической модели, проектирование интерфейса, алгоритм программы.
курсовая работа [3,1 M], добавлен 21.11.2009Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Метод решения математической модели на примере решения задач аналитической геометрии. Описание согласно заданному варианту методов решения задачи. Разработка математической модели на основе описанных методов. Параметры окружности минимального радиуса.
лабораторная работа [310,6 K], добавлен 13.02.2009Методы защиты автоматизированных систем и технологии построения виртуальных частных сетей. Использование технологий VРN во взаимодействии распределённых территориальных офисов, сдаче отчетности в контролирующие органы, клиент-банковские технологии.
курсовая работа [823,3 K], добавлен 02.07.2011Разработка информационной системы учёта данных о клиентах, товарах и услугах в среде MS Access. Технология функционирования существующей ИС компьютерной компании. Модификация инфологической модели БД, проектирование новых экранных форм и отчетов.
курсовая работа [1,5 M], добавлен 20.06.2014Принципы функционирования ложных информационных систем, их классификация и архитектура. Применение теории игр для решения проблем, связанных с созданием, и предъявляемые требования. Риск-моделирование защиты автоматизированной информационной системы.
дипломная работа [1,1 M], добавлен 10.10.2015Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.
реферат [78,4 K], добавлен 23.07.2013