Учебное пособие по ТСиСА
.pdfтах обстановки, окажется минимальным (минимаксный критерий Сэвиджа), т.е.
S* : min max(pij ), |
(2.26) |
i, j j |
|
где pij – величина риска. |
|
В-третьих, может потребоваться остановиться между лини- |
|
ей поведения «рассчитывай на худшее» и линией «рассчитывай на лучшее». В этом случае оптимальным решением будет то, для
которого окажется максимальным показатель Γ |
(критерий пес- |
симизма-оптимизма Гурвица): |
|
Γ=k min{pij}+(1-k) max{pij}, |
(2.27) |
где k – коэффициент, выбираемы в интервале [0, |
1] (при k=0 – |
линия поведения в расчете на лучшее, при k=1 – линия поведения в расчете на худшее).
Пусть рассматриваются четыре варианта системы информационной безопасности, для которых определены показатели эффективности, относительные значения которых представлены в табл.2.7.
|
|
|
|
|
|
Таблица 2.7 |
|
Значения показателей эффективности |
|
||||
Варианты |
|
|
Варианты обстановки |
|
||
СИБ |
|
О1 |
|
О2 |
|
О3 |
S1 |
|
0,25 |
|
0,35 |
|
0,40 |
S2 |
|
0,70 |
|
0,20 |
|
0,30 |
S3 |
|
0,35 |
|
0,85 |
|
0,20 |
S4 |
|
0,80 |
|
0,10 |
|
0,35 |
Тогда значения рисков будут иметь вид, показанный в
табл.2.8.
По критерию (2.25) оптимальным решением является S1, при котором максимальный из минимальных результатов равен 0,25.
По критерию (2.26) наилучшим вариантом будет S3, для которого минимальный из максимальных рисков равен 0,45.
|
|
|
|
|
Таблица 2.8 |
|
Значения рисков |
|
|||
Варианты |
|
Варианты обстановки |
|
||
СИБ |
О1 |
|
О2 |
|
О3 |
S1 |
0,55 |
|
0,50 |
|
0,00 |
S2 |
0,10 |
|
0,65 |
|
0,10 |
S3 |
0,45 |
|
0,00 |
|
0,20 |
S4 |
0,00 |
|
0,75 |
|
0,05 |
Оптимальные решения по критерию (2.27) для различных значений k сведены в табл.2.9.
Таблица 2.9 Оптимальные варианты по критерию Гурвица
Варианты |
|
|
k |
|
|
|
0,00 |
0,25 |
0,50 |
0,75 |
1,00 |
S1 |
0,40 |
0,36 |
0,32 |
0,29 |
0,25 |
S2 |
0,70 |
0,57 |
0,45 |
0,33 |
0,20 |
S3 |
0,85 |
0,69 |
0,52 |
0,36 |
0,20 |
S4 |
0,80 |
0,62 |
0,45 |
0,28 |
0,10 |
Оптимальные |
S3 |
S3 |
S3 |
S3 |
S3, S2 |
решения |
|
|
|
|
|
Анализ критериев (2.25), (2.26), (2.27) показывает, что их использование необходимо проводить в соответствии с системой исходных данных. Иными словами, создавая (модернизируя) систему информационной безопасности конкретного филиала предприятия, как составную часть общей системы, необходимо учитывать приоритетность защиты данного филиала, что отражено в
системе исходных данных в виде кортежа приоритетности. Как было показано выше, весь кортеж можно разбить на три неравные группы: 15% от общего числа будут составлять наиболее значимые филиалы, 35% - средние филиалы и 50% - менее критичные с точки зрения потерь филиалы. Для первой группы наиболее целесообразно использовать критерий (2.25), для второй –
(2.27), для третьей – (2.26).
Используя этот же подход можно спрогнозировать три различных варианта обстановки, в которых будет функционировать система информационной безопасности. Так, в частности, O1 – вариант обстановки, при котором наиболее значимыми оказываются первые 15% угроз, которые упорядочены по значениям своих весовых коэффициентов. Соответственно O2 и O3 – варианты, в которых в наибольшей степени действуют 35% и 50% угроз.
Следует отметить, что неполнота и неопределенность информации и при формировании системы исходных данных и при оценке эффективности СИБ обуславливают применение методов экспертного оценивания, о которых речь пойдет ниже.
Раздел 3. ОСНОВЫ МОДЕЛИРОВАНИЯ ПРОЦЕССОВ И СИСТЕМ
3.1.Понятие модели. Цели, задачи и принципы моделирования
Моделирование, как средство представления системы или понятия (идеи) в некоторой форме, отличной от формы их реального существования, обычно имеет целью объяснить и понять существо рассматриваемых объектов. Это философское определение модели.
С прагматической точки зрения модель есть инструмент, позволяющий спрогнозировать последствия альтернативных действий с целью их сравнения и выбора наилучшего.
При математическом толковании модели объект М есть модель объекта S, если М может быть использован для получения ответов на вопросы относительно S с точностью .
Более подробно суть моделирования раскрывается при рассмотрении следующих принципов моделирования:
целенаправленности и результативности всего процесса создания и использования моделей;
адекватности моделей систем; множественности моделей систем;
полноты и открытости каждой конкретной модели системы; стратификации комплекса моделей.
Обычно считается, что модель – это используемый для предсказания и сравнения инструмент, позволяющий логическим
путем спрогнозировать последствия альтернативных действий и достаточно уверенно указать, какому из них отдать предпочтение. Хотя такое использование моделей имеет важное значение, оно ни в коей мере не исчерпывает целей моделирования. Моделирование дает в руки различных специалистов инструмент, повышающий эффективность всего процесса создания и развития систем. В этом смысле модель служит мощным средством общения и осмысления реальных процессов, протекающих в системе. Поэтому целенаправленность и результативность – важнейший принцип моделирования.
Очевидно нет необходимости описывать все многообразие целей, которые могут быть достигнуты при моделировании в широком смысле слова. Важно лишь отметить, что любая модель служит для достижения одной из двух основных целей: либо описательной, если модель объясняет и (или) способствует лучшему пониманию объекта, либо предписывающей, когда модель позволяет предсказать и (или) воспроизвести характеристики объекта, определяющие его поведение.
На практике, как правило, имеет место синтез моделей, преследующих обе цели. Так, в первом случае используются описательные модели свойств систем (ее элементов), призванные дать количественную оценку интенсивности их проявления в определенном диапазоне условий. В другом случае, предписывающие модели, которые занимают особое место, устанавливают взаимосвязи как внутри системы, так и с ее метасистемой (тем объектом,
который является более общим по отношению к моделируемой системе). Описательная цель достигается путем оценки свойств систем, например, устойчивости функционирования, адаптивности и т.д. Предписывающая же цель предполагает оптимизацию системы, что предусматривает выявление показателей, критериев эффективности систем и т.д. Функциональный синтез указанных целей составляет суть моделирования в настоящее время.
Таким образом, целенаправленность и результативность моделирования заключается в установлении функциональных зависимостей между целями систем, определяемых ее метасистемой, и свойствами системы (характеристиками элементов), а также анализе их влияния друг на друга.
В такой постановке особую важность имеет следующий принцип моделирования – принцип адекватности (правильности) моделей, т.к. «путь» от целей систем к характеристикам ее элементов довольно значительный, что может привести к некорректности переходов, обобщений, суждений и заключений.
Проверка адекватности представляет собой процесс, в ходе которого достигается приемлемый уровень уверенности в том, что любой вывод о поведении (состоянии) систем, сделанный на основе моделирования, будет правильным. Однако формализованного процесса «испытания» правильности модели не существует. Существуют лишь общие рекомендации, которые применительно к моделированию имеют следующий вид.
Во-первых, следует проверить реальность области исходных предположений. Логика работы модели должна, хотя бы в принципе, соответствовать действительному положению вещей.
Во-вторых, необходимо убедиться, что модель верна «в первом приближении». Это означает, что при установлении предельных (граничных) значений входных параметров модель не будет давать абсурдных результатов.
В-третьих, требуется установить соответствие между имеющимся статистическим материалом (результатами реальных испытаний, измерениями на моделирующих стендах систем и т.п.) и выходными характеристиками модели. В этом случае целесообразно использовать методы и средства статистического анализа, например, автоматизированную систему обработки статистических данных.
В-четвертых, результаты моделирования могут быть сопоставлены с результатами, полученными с помощью моделейаналогов, которые уже проверены на адекватность.
Последнее обстоятельство обуславливает множественность моделей систем, как очередной принцип моделирования. При этом множественность моделей трактуется двояко. С одной стороны, как отмечалось выше, множественность выступает как критерий оценки адекватности вновь создаваемых моделей. С другой стороны, и это главное, система представима конечным множеством моделей, каждая из которых отражает определенную грань ее сущности. Из этого утверждения следует не только ко-
нечность множества моделей, но и конечность граней сущности системы, что не совсем корректно в силу бесконечности сущности, как синонима материи. В этой связи, теоретически можно допустить бесконечность множества моделей системы. Однако представляется возможным для конкретного исследования выбрать конечное и однозначно определенное подмножество моделей. В этом случае, если X является подмножеством бесконечного множества моделей Ω; Xi – некоторые подмножества X; С(X) – выбранное подмножество моделей множества X; С – функция выбора, то выбор будет обоснованным при выполнении следующих условий.
1). Условие наследования:
X i Í X C( X i )ÊC( X )Ç X i ,
т.е. если осуществить с помощью функции С выбор из произвольного множества и выбор из некоторого его подмножества, то все модели, которые были выбраны из исходного множества и вошли в заданное подмножество, должны быть выбраны также из этого подмножества.
2). Независимость от не принятых моделей:
C( X )Í X i Í X C( X i )=C( X ),
т.е. если подмножество Xi содержит все модели, выбранные из X, то выбор из Xi должен совпадать с выбором из X; в частно-
сти, С(С(X)) = С(X).
1). Условие согласия:
ÇC( X i |
)ÍC( È X i ), |
i |
i |
т.е. все модели, выбранные из каждого множества Xi, должны быть также выбраны из их объединения.
4). Условие независимости выбора от пути:
C( X i È X j ) = C{ C( X i ) È C( X j )} ,
т.е. требуется, чтобы выбор из объединения множеств совпадал с выбором из объединения выборов, сделанных из каждого множества в отдельности.
5). Адитивность:
C( X i È X j ) = C( X i )ÈC( X j ) ,
т.е. предполагается, что выбор из объединения множеств равен объединению выборов из каждого множества в отдельности.
6). Мультипликативность:
C( X i Ç X j ) = C( X i )ÇC( X j ) ,
т.е. выбор пересечения множеств равен пересечению выборов из каждого множества в отдельности.
7). Монотонность:
X i Í X j C( X i )ÍC( X j ) ,
т.е. выбор из боле широкого множества должен быть таким же или шире.
Очевидно, что каждое из приведенных выше условий предполагает полноту каждой модели (тождественности каждого элемента x j Î X Ì Ω самому себе).
Принцип полноты модели означает, прежде всего, установление компромисса между максимально всесторонним описанием
систем с выбранной точки зрения (грани системы) и максимальной компактностью этого описания. А это, в свою очередь, связано с вопросом детализации (декомпозиции) исследуемой системы, т.е. с определением множества элементов (основания модели), полученного итеративной декомпозицией исходной системы, которое в последующем и будет воспроизводиться в модели. Естественным кажется желание разложить систему на элементарные составляющие, каждая из которых имеет простейшую модельную реализацию, а вся их совокупность якобы описывает систему в целом в определенном аспекте. Однако в этом случае модель непомерно разрастается и, что самое главное, за видением «деревьев» теряется видение «всего леса».
Следует отметить, что в настоящее время не существует строго алгоритма обоснования требуемого уровня декомпозиции исследуемой системы. В этой связи перспективными представляются следующие предположения.
Известно, что чем ниже уровень иерархии декомпозиции, тем ниже влияние элементов этого уровня на состояние (поведение) системы в целом. Напротив, если система представлена нулевым уровнем декомпозиции, т.е. «сама собой», то влияние единственного элемента на нулевом уровне считается максимальным (система определяет «самою себя»). Однако в этом случае полностью отсутствует информация о процессах, протекающих внутри системы. С этой точки зрения иерархическая струк-