Филин С.А. Информационная безопасность, 2006
.pdfНаиболее информационной характеристикой системы является сСсостояние 5 = {8Ь б2, ..., 8П} как совокупность параметров (фазовых ^ординат), не только полностью описывающих поведение системы р данны й момент времени, но и позволяющих экстраполировать ее динамику. Чем сложнее система, тем выше размерность вектора со стояний, а значит, труднее ее описание.
Любая система находится под действием возмущений, подразде ляемых на внешние и внутренние.
Внешние возмущения обусловлены взаимодействием системы со средой; отражают тот факт, что при выделении системы из среды в процессе формализации некоторые непринципиальные функцио нальные связи приходится разрывать и делать их однонаправлен ными. Допущенное при этом приближение, а также невозможность точного априорного описания поведения среды и составляют содер жание этих воздействий.
Внутренние возмущении появляются вследствие априорной не достаточности представления системы в виде математической кон струкции или вербального описания, невозможностью заранее представить все возможные изменения внутри системы. Внутренние возмущения следует классифицировать на структурные и параме трические Р. Первые проявляются как изменения структуры (обычно в виде изменения связей в системе), и являются наиболее сильными воздействиями на систему (например, в системе производится орга низационная перестройка). Вторые находят воплощение в вариации параметров, что тоже может приводить к существенному изменению динамики системы.
Состав возмущений в системе можно представить следующим
образом: |
|
^ = { 5 ,Р ,^ ,£ /} . |
( 1.1) |
Если воздействие на систему заранее известно достоверно, то обычно удается принять меры по предотвращению его негативного влияния.
На состояние системы существенно влияет управление и = {иь иъ • щ) — целенаправленное, искусственно формируемое воздей ствие на систему. Основное требование к выбору управления — его эффективность, заключающаяся в возможности воздействовать на критичные с точки зрения создателя системы процессы в самой системе. Смысл управления в достижении цели или обретении цен ности, которые назначаются более высоким уровнем иерархии.
Цель управления — некоторое желаемое состояние системы £ц , которого она должна достичь через некоторый промежуток времени
41
/к—/н> где *н — момент начала управления. Цель определяется через состояние системы; другие требования к системе формулируются в виде дополнительных условий и ограничений.
В процессе своего управляемого развития система последова тельно изменяет свое состояние от начального до конечного *УЦ, т. е. осуществляет движение, которое имеет вид траектории в про странстве состояний 5(0. К этому движению предъявляются тре бования оптимальности, т. е. достижения экстремума некоторого критерия /, характеризующего оценку качества функционирования системы. Критерий есть числовая оценка работы системы, но све сти к одному показателю деятельность любой системы комплексной безопасности чрезвычайно трудно. Характеристика качества работы системы обычно имеет векторный характер, а при преобразовании его в скаляр неизбежно появление субъективизма, который стремят ся уменьшить проведением экспертного анализа. Появление нега тивного субъективизма в критерии неизбежно ведет к неоптимальности управления, следовательно, и развития.
Процесс развития управляемой системы можно описать на языке теории множеств некоторым оператором С, который осуществляет преобразование:
С: Г х ^ х Х х ^ х Р х £/=> £.
Управление формируется наблюдением за состоянием систе мы — измерения наблюдаемых процессов, фильтрацией сигналов, их идентификацией; в результате появляется информация о систе ме У, которая должна быть по возможности адекватной реальному состоянию системы. Процесс выработки управления (в случае одно кратного воздействия говорят о принятии решения) описывается оператором:
А : Т х У х Б нх 1 х 1 = > и ,
где I — необходимые ресурсы управления.
При развитии системы, движении ее к цели возможно появле ние таких воздействий на систему (возмущений, управлений), такое изменение ее параметров, что возникнет угроза существованию си стемы. Поэтому возникает проблема безопасности как задача пред видения возникновения режимов функционирования системы, гро зящих ее существованию, и мерах по их предотвращению.
Понятие «безопасность системы» имеет две функции: внешнюю, определяющую воздействие объекта на среду; внутреннюю, харак теризующую свойства сопротивляемости объекта по отношению к действиям среды. В первом случае основное внимание уделяет ся поведению среды в условиях воздействия со стороны системы;
42
пом — д и н а м и к е системы в активной среде. В обоих случаях а во вГП°" 0 взаимодействии двух систем — среды и собственно сисречь и^ олько при рассмотрении взаимодействия можно получить теМЫ е п р е д с т а в л е н и е о взаимном влиянии систем и оценить его П°ЛНиции безопасности. Однако отсутствие адекватного математи- С П° ого а п п а р а т а и чрезмерная сложность изучения взаимодействия ЧС2 и ц и о н н ы м и методами заставляют упрощать задачу: рассматри-
^безопасность системы в условиях действия на нее внешних воз-
в^ е н и й , которые обозначают поведение среды.
Ра з р у ш е н и е системы — это потеря ее целостности, т. е. утрата
свойств, присущих системе как таковой, а не как суммы свойств со с т а в л я ю щ и х ее элементов. Потеря целостности, как правило, сопро вождается распадом системы на фрагменты, которые вновь п р о х о д я т испытания на целостность, а если и в этом виде не могут существо
вать, то распад продолжается.
Особенность разрушения иерархических структур в том, что обычно граница распада проходит по межуровневым связям, т. е. происходит автономизация уровней. Гораздо реже встречаются слу чаи, когда образовавшаяся подсистема сохраняет прежнее стратифи цированное построение. Предполагается, что система управляема, т. е. существует возможность целенаправленного воздействия на нее, и в исходном состоянии система работает нормально.
Разрушение системы — нарушение целостности системы, сопро вождающееся снижением качества ее работы вплоть до катастрофи ческого нарушения функционирования системы в целом.
Это означает, что разрушение системы сопровождается необрати мыми разрушительными динамическими процессами. Причины рас смотрены ниже.
1. Наиболее уязвимой с точки зрения качества динамических процессов является структура системы, т. е. отношения между эле ментами, их взаимосвязи, а не законы функционирования этих еди ниц, которые хотя и определяющие динамику системы, но в мень шей степени — ее существование.
2. Структура неодинаково чувствительна к разрушениям. Наи более болезненно система относится к нарушениям в верхних уров нях иерархии, а именно в центрах обработки обобщенной информа ции и выработки решений.
3. Разрушению структуры эквивалентны разрыв информацинных каналов или их перегрузка, так как приводят к затруднению 05щении между элементами.
43
4.На качество работы системы влияет степень достоверности поступающей в нее информации. Целенаправленное искажение по следней, дезинформация могут привести систему к разрушению.
5.Нарушение качества работы исполнительных органов и умень шение ресурсов ухудшают управление, а значит, приводят к дефор. мациям всех динамических процессов в системе.
6. Качественное управление системой возможно только при усло вии экстраполяции поведения системы и среды, т. е. при умении предвидеть развитие ситуации. Ошибки экстраполяции приводят, как минимум, к бесполезному растрачиванию ресурсов при движе нии к цели.
7.Опасность для существования системы может исходить от сре ды через нарушение в ней порядка, дезорганизацию, а значит, высо кий уровень воздействий на систему.
8. В организационных системах возможна их гибель из-за нару шения законов функционирования, составляющих подобные систе мы микроэлементов. Примерная схема распада государства, затра гивающая разрушение всех составляющих эту систему элементов, представлена на рис. 1.9 .
Говорить о безопасности можно только нормально функциони рующей системы. Чтобы система комплексной безопасности была работоспособной, необходимо выполнение следующих условий:
1.В систему должны быть заложены законы в области обеспече ния безопасности, отвечающие целесообразности системы. Законы должны опираться на механизмы стимулирования обеспечения без опасности на соответствующем уровне.
2.Система должна быть качественно выстроена, т. е. максималь но адаптирована к реализации законов в области обеспечения без опасности.
3.Работоспособность системы должна постоянно поддерживать ся неуклонным выполнением адекватного законодательства в об ласти обеспечения безопасности, а сама система должна обладать свойствами самоорганизации и самоадаптации к изменяющимся внешним и внутренним возмущениям.
С точки зрения создания механизма обеспечения и последующе го поддержания функционирования системы комплексной безопас ности, причинами разрушения системы следует считать нарушения
вдинамике, обусловленные действием возмущений [62].
Втеории управляемых динамических систем поведение системы характеризуют качеством переходных процессов (в том числе из на чального состояния в конечное), устойчивостью, управляемостью,
44
бл10даемостыо, идентифицируемостью. Так как качество процес с е не является показателем целостности, то достаточно ограничить- °° оставшимися характеристиками. Последние являются пороговы- 0* система может быть устойчивой (управляемой, наблюдаемой, Идентифицируемой) или нет. Аналогичный подход к безопасности
ало информативен — важно установить не только факт безопасноетИ но и количественно оценить степень опасности (безопасности)
Рис. 1.9. Примерная схема распада государства [61]
Деструкция личности:
—мотивационная
—экономическая
—морально-этическая
—физическая
Г
Распад коллективов:
—общественных
—производственных
— семейных
—этнических
—конфессиональных
Распад государства: нарушение территориальной целостности
45
системы. Показатели управляемости, наблюдаемости, идентиф^ цируемости характеризуют возможность эффективного управле. ния системой. Но для сложных систем типа системы комплексно^ безопасности отсутствие управления отдельными процессами еще не свидетельствует о наличии катастрофы. Такое свойство объяс. няется существованием мощных адаптационных механизмов, ра^ полагаемых системой. Хотя перечисленные характеристики наибо* лее корректно применять в формализованных системах, их можно использовать и в случае вербального описания системы, так как онц имеют ясный физический смысл.
Оценку целостности, следовательно, безопасности системы еле*
дует проводить через анализ ее устойчивости11 [61]. |
, |
|
Понятие устойчивости или ее противоположность — неустойч! |
|
|
вость, распад, деструкция, разрушение — имеет большую наглад |
|
|
ность, поэтому может успешно применяться и для систем, для ка |
|
|
торых нельзя построить строгую математическую модель, но удает |
|
|
хотя бы эмпирически количественно описать основные причин» |
|
|
следственные связи в системе. |
|
|
Выше отмечался векторный характер требований к сложной си |
|
|
теме. Аналогично большую размерность имеет и вектор состоят |
|
|
(,п). Поэтому вполне правомочно желание агрегировать характер |
|
|
стики, описывающие состояние системы. |
|
|
Процесс агрегирования информации не имеет однозначной * |
|
|
тодики. Обычно он проводится экспертами, обладающими опыто |
|
|
интеллектом, интуицией. В любом случае свести оценку сложи |
|
|
системы в одну характеристику часто не удается в силу ее малой я |
|
|
формативности. Поэтому приходится привлекать множество по! |
|
|
зателей. В качестве критерия для выбора таких характеристик пр |
|
|
нимается степень их влияния на состояние безопасности в целс |
|
|
Уместно рекомендовать сориентировать этот подход на выбор по! |
|
|
зателей, определяющих вместо обеспечения системы комплексна |
|
|
11 |
Фундамент теории устойчивости заложен А.А. Ляпуновым в конце XIX |
|
Последующие исследования расширили и детализировали область прт нения сформулированного им подхода. Любая современная техническая а тема подвергается анализу ее устойчивости. Методологически устойчивое устанавливается через изучение поведения системы при вариации начальН условий и наличии внешних воздействий. Состояние системы определяй как неустойчивое, если она при возмущениях «идет в разнос», т. е. начиная неудержимый рост координат ее состояния. В научной и прикладной пракп разработаны алгоритмы анализа устойчивости отдельных классов математик ских моделей систем, хотя никто не отважится назвать исследование устой1 вости тривиальным делом.
46
пасности, угрозу ее разрушения. Эта коррекция может сокрабе3° 05щее количество показателей.
тИТИтак, допустим, что эксперты построили множество показате-
йдостоверно определяющих устойчивое обеспечение системы
ле м’п л е к с н () й безопасности С = {си с2, ..., ск}. Эти показатели будут
Легированными (строго или эмпирически) и представлять собой функции от характеристик состояния системы, которые, в свою оче редь, будут зависить от параметров самой системы Я = {гь гъ ..., гт):
|
Су= |
Су [^(гО , 52(г2), ...., 5*(г*)], |
(1.2) |
ГДе *^ ^ |
^ |
*”5 |
|
Тогда задача сводится к оценке безопасности системы в про с т р а н ст в е С с желательным получением рекомендаций в простран стве $ или /?.
Множество показателей С можно разбить на область, составляю щую множество опасных С0 для существования системы, и область безопасных Сб, т. е. С = С0 и Сб. Разбить множество — значит постро ить границу Г, разделяющие его части. Тогда показатель безопасно сти Сб есть мера удаления текущего состояния системы, зафиксиро ванного вектором показателей с(0 € С6, от границы Г (рис. 1.10).
Рис. 1.10. Показатель безопасности в пространстве показателей [61]
Задача построения границы Г чрезвычайно сложна. Однако на пРактике достаточно довольствоваться построением лишь неко торых участков К5, где 5 = 1, 2, ...,/? — номера выделенных участков этой границы в подпространствах показателей С, которые могут на рушить безопасность, и для всех из них найти соответствующие знаЧения
47
В качестве меры безопасности в некоторый момент времени еле. дует принять наименьшее значение / 6 из показателей / б5, которые могут нарушить безопасность:
/ в = т т ш т ||с (/)-А ;||. |
(1.3) |
Ль Изложенная процедура позволяет однозначно определить меру
безопасности, имеющую скалярный вид. Трудность заключается в необходимости строить ряд участков границы безопасности на на правлениях возможных угроз пространства показателей С.
Этот подход имеет очевидный недостаток при стремлении на его основе создать систему поддержания безопасности: так как факт на рушения безопасности системы устанавливается лишь при с(1а) € Гм (где /д — момент нарушения безопасности системы), то отсутствует время, необходимое для принятия решения и проведения защитных мероприятий. Из этого следует, что необходимо уменьшить область безопасности, чтобы заранее принимать меры по устранению угроз: с ( 0 € Гм, где Гм — граница модифицированной области Сбм:||Гм- Г || = р, где р — «запас прочности» в пространстве С.
С точки зрения создания временных ресурсов на управление сис темой безопасности выгодно увеличивать величину р. Однако это сужает возможности собственно управления из-за уменьшения до пустимой области изменения параметров Сб.
Рассмотренная процедура анализа системы безопасности бази руется на изучении поведения агрегированных параметров дина мики системы {^(0 } в пространстве бм* Для увеличения времен ных ресурсов системы вместо введения понятия «запас прочности» с точки зрения эффективности обеспечения системы безопасности продуктивнее анализировать угрозы безопасности системы путем изучения информации о причинах приближения системы к опас ной границе.
Источником угроз являются возмущения, действующие на сис тему (1.1). Проанализируем состав возмущений с точки зрения воз можности их измерения и последующего использования для управ ления системой безопасности. Из внутренних возмущений наиболее опасны для динамики структурные 5,, которые изменяют организа цию системы безопасности, т. е. для обеспечения безопасности не обходимо контролировать сохранение элементов и связей в системе. Преобразования структуры системы безопасности должны произво диться крайне осторожно, после тщательного анализа последствий. Параметрические изменения Р, состоящие в изменениях параметров
48
оритмов, обычно не приводят к существенному искажению дина-
^и и могут быть скомпенсированы управлением. Таким образом,
Мя зашиты от угроз внутренних воздействий обычно достаточно ^ е0 ть за сохранением структуры и парировать отклонения пара- с тров системы. Другое дело, если происходит изменение состава аконов, заложенных в систему безопасности, например, изменение 3бшественно-экономической формации государства. В этом случае
ебуется кардинальное обновления и структуры, и алгоритмиче ского наполнения ее элементов, т. е. принципиальной реорганиза ции всей системы безопасности.
Возмущения, оказываемые управлением и, не представляют угрозы для системы безопасности, если только не преследуют цель ее разрушения.
Перечисленные воздействия находятся внутри системы и лучше поддаются идентификации и измерению, чем внешние возмуще ния £ . Их определение затрудняется и тем, что они могут быть реак цией среды на неосторожное поведение самой системы безопасности (в этом случае среда выступает в роли взаимодействующей системы). Поэтому из возможных угроз наибольшую опасность для системы, в принципе, представляют внешние возмущения.
Изучение состава возмущений необходимо для организации сис темы управления комплексной безопасностью и предполагает [61]:
1) создание механизма, позволяющего обнаруживать, иденти фицировать и измерять действующие на данную систему возмуще ния, уделяя особое внимание структурным и внешним возмуще ниям;
2) выделение и анализ среди возмущений наиболее опасных^ € Р; 3) определение связи критерия безопасности с возмущения ми: / б= / б(/р, являющееся необходимым условием формировании управления системой безопасности в зависимости от измеренных
наиболее опасных возмущений:
нб= иб[/б(£)].
Показатель безопасности 1б вычисляется в пространстве обоб щенных показателей су (1.3), а зависимость их от параметров системы характеризуется соотношением (1.2). Для эффективного управления системой безопасности необходимо воздействие непосредственно на параметры системы, что вынуждает включить ( 1.2) в состав алгоРимов управления системой безопасности.
Для организации управления системой комплексной безопасноСти целесообразно реализовать следующие мероприятия [61]:
49
—установить минимальную совокупность обобщенных (агреги* рованных) характеристик системы комплексной безопасно, сти, наиболее полно описывающих состояние ее целостности (устойчивости);
—разработать алгоритм вычисления текущего состояния систе. мы в пространстве этих характеристик (параметров);
—в пространстве этих параметров построить границы области безопасного состояния для системы комплексной безопас ности и определить наименьшее количество показателей без опасного состояния как расстояния от текущего значения до границы;
—для создания необходимых временных ресурсов для париро вания угроз скорректировать границы области безопасности, модифицировав ее;
—выделить минимальную совокупность наиболее действенных угроз существованию системы из числа возмущений;
—определить связи: а) каждой угрозы с используемыми обоб щенными характеристиками системы комплексной безопас ности; б) характеристик системы комплексной безопасности с параметрами, определяющими функционирование отдель ных элементов этой системы;
—синтезировать алгоритм управления системой комплексной безопасности, устанавливающий функциональную зависи мость воздействий на параметры элементов системы от вели чины угроз (возмущений).
Выполнение приведенной методики предполагает знание объекта защиты и может быть осуществлено применением методов эксперт ного анализа и математического моделирования функционирования анализируемых экономических систем.
1.5. СОВРЕМЕННОЕ СОСТОЯНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ В РОССИИ
В жизни российских граждан, российского общества и государ ства устойчивой стабильности и состояния защищенности не суще ствует. В современной России никто не чувствует себя в безопасно сти. Опасности и угрозы — реалии российской действительности. Границы России оказались открытыми для контрабанды отечествен ных ценностей, оружия, наркотиков и радиоактивных материалов. Есть опасность развития сепаратизма. В это время другие страны
50