АВТОМАТИКА, УПРАВЛЕНИЕ И ТЕХНИЧЕСКАЯ КИБЕРНЕТИКА
УДК 654.9 - 681.3
ОЦЕНКА СТЕПЕНИ ФИЗИЧЕСКОЙ ЗАЩИЩЕННОСТИ ОБЪЕКТА ЗАЩИТЫ
© 2005 г. С.В. Белов, Г.А. Попов
На задачу обеспечения физической защищенности объекта затрачиваются огромные средства, причем масштабы этих затрат часто бывают сравнимы с совокупностью ценностей объекта. В последнее десятилетие существенно выросли возможности по злоумышленному нарушению физической безопасности ввиду существенного расширения арсенала технических и информационных средств злоумышленного проникновения. Поэтому задача повышения эффективности использования различных средств для физической защиты объекта является актуальной.
В настоящее время публикаций по моделированию процессов и систем физической безопасности крайне мало. Наибольший интерес представляют две работы: модель EASI [1] и работа Ю.А. Оленина [2]. В первом случае модель разрабатывалась как компьютерная, но она охватывает только две стороны защиты: эффективность использования технических средств охраны, которая рассчитывается экспертным путем, и время прихода охранных групп на объект защиты. В работе Ю.А. Оленина представлена теоретическая модель объекта защиты, которую сложно автоматизировать.
В предлагаемой работе ставится задача построения формализованного представления объекта защиты и оценка некоторых показателей защищенности. Данная работа продолжает идеи и методологии, описанные в [3, 4, 5].
1. Формализованное представление объекта защиты
С целью более наглядного описания идей, используемых для представления объекта защиты, рассмотрим частный пример. Пусть объект защиты (рис. 1) состоит из одного одноэтажного здания с внутренними помещениями и прилегающей территории (21), огражденной забором. Для простоты введем следующие сокращения: Б, - двери между помещениями, - окна, - номер зоны (внешняя территория, периметр, здание, комната, хранилище ценностей), причем - внешняя зона (начальная точка маршрута движения злоумышленника), а 15 - цель проникновения (конечная точка маршрута движения злоумышленника). возможного проникновения
КПП
Забор
Рис. 1. План объекта защиты
Тогда объект защиты можно представить в виде графа О = (1, Я, Р, Т) (рис. 2), где в качестве вершин 1 выступают зоны, а ребра Я представляют собой соединения соответствующих зон (окна, двери, стены, любые другие преграждения).
Рис. 2. Сетевое представление объекта защиты - граф
Z
о
Граф является взвешенным, в котором каждая вершина имеет два веса: вероятность обнаружения нарушителя в данной зоне (множество весов Р) и среднее время, необходимое для преодоления данной зоны (множество весов Т). Для получения наиболее точных результатов, каждую зону можно разбить на локальные подзоны (т.е. элементарные участки территории с одинаковым Робн).
Аналогичным образом можно составить данный граф для любого реального объекта защиты. При этом, возможно, граф будет не плоским, а пространственным (при наличии, например, многоэтажных помещений).
Полученное графическое представление объекта защиты позволяет поставить и решить ряд задач по оценке характеристик физической защищенности объекта.
2. Оценка времени защищенности объекта защиты
Постановка задачи. Пусть задан граф О, состоящий из N локальных зон, связанных между собой. Локальные зоны перенумерованы числами от 1 до N и Р() (У = 1...Щ есть функция распределения вероятности того, что за t будет пройдена у-я зона. Ставится задача: получить оценки снизу для среднего времени, за которое не будет ни одного проникновения на объект защиты.
Обозначим через £ случайную величину промежутка времени, начинающегося в начальный момент времени и заканчивающегося моментом проникновения нарушителя на объект защиты. Ниже оценивается М (£), где М - знак математического ожидания.
Обозначим через О1, О2 .■■ Оп множество всех маршрутов с возможных начальных точек (находящихся обычно во внешней зоне) до конечных точек, являющихся возможной целью злоумышленного действия (хранилища ценностей, информации, опасные технологические участки и узлы и т.п.). Данные маршруты можно объединять в деревья.
В настоящее время в теории графов есть много алгоритмов для нахождения множества всех описанных путей проникновения. Поскольку размерность графа обычно не превосходит 300 - 400 и данная задача решается в пакетном режиме, то для нахождения указанного множества вполне приемлемо использование переборного алгоритма.
Пусть Я(1) есть множество вершин графа О, входящих в маршрут Оi (1 < I < п). Тогда вероятность того, что за время £ на объект защиты будет предпринято проникновение, можно записать как [6, 7]
( \
p(Z< t) = 1+ Е (-1) * Е
k =1 (¿1,22'-''k )
П (1 - F}(t))
je U Rdl)
.(1)
Докажем приведенную формулу. Пусть pi есть случайное время, в течение которого по г'-му пути не будет предпринято вторжения. Имеем:
Р(С < 0 = Р(тах(рг) < t) = МП(1 -х(Рг > 0),
\1<г'< п / г=1
где для любого множества А полагаем х(А) = 1, если событие А имеет место, и х(А) = 0 в противном случае. Раскрыв произведение в правой части, получаем:
P(Z < t) = 1 + Е (-1)k Е MП(x(p4 > t)). (2)
k=1 (ib---i 2): l =1 1<i'1<---<i* < n
Пусть п ] (1 < У < М) есть случайная величина
времени, в течение которого у-я вершина не будет взломана нарушителем, начиная с начального момента времени. Очевидно, что р(г) = тт п ■, откуда,
воспользовшись независимостью случайной величины П у (1 < ] < М), имеем
M
ГП (х(рч > t) ) = M П x(n j > t):
l =1 l k
je U R(il)
= П P(n j > 1) = П (1 - Fj (t)).
jeUR(il) l=1
jeU R(il) l=1
На основе (1) можно выписать следующую оценку для среднего времени до первого проникновения на объект защиты:
m (Z) = I (1 - P(Z< t ))dt =
= Е (-1)k Е I П (1 - Fj (t) )dt. (3)
k= (i1,i2-"^k)0 jeUR(ii)
Для практического использования формул (1) и (3) необходимо прежде всего иметь выражения (точные или приближенные) для функции распределения ■). В общем случае это достаточно трудоемкая и сложная задача. Однако во многих ситуациях можно считать, что ^(0 имеют показательное распределение. Имеются следующие основания общего характера, позволяющие утверждать, что предположение о показательном распределении функции распределения (для простоты, ниже индекс ] опускается) является приемлемым во многих прикладных задачах. Именно, пусть, для того чтобы осуществить злоумышленное действие с целью проникновения на объект защиты, нарушителю необходимо заиметь некоторую информацию объема V и в некоторый момент времени t он уже имеет информацию об объекте объемом V. Поскольку действия носят активный характер, то злоумышленник осуществляет сбор информации только об оставшейся информации объемом V-Vt. Считая, что интенсивность сбора информации злоумышлен-
1=1
i =1
n
ником постоянна и равна с, получаем следующее соотношение для приращения добываемой информации:
= с(У - )А,, откуда следует дифференциальное уравнение:
у; = с(¥ - V,).
Решая данное уравнение, получаем показательное распределение:
V, = V - ке .
При ,0 = 0, получаем V, = V-k. Тогда k=V-V0, подставляя значение к в формулу, получаем
часто V0 = 0, поэтому
V, = V - (V - Vо)е -с Vt = V (1 - е ).
Предположим, что вероятность того, что взлом произойдет за время ,, пропорционально объему накопленной информации Vt, т.е.
Р(£<,) = k1Vt = к V(1 -е ).
При , = Р(£ <,) = 1 = к1 V , откуда следует, что к\ = 1/У. Подставляя, получаем показательную функцию
P(l<t) = 1 -е
-ct
В общем случае интенсивность с сбора информации по]-му рубежу зависит от], т.е. получается
Fj (t) = 1 - ecj .
(4)
Взлом системы происходит, когда достигается некоторый порог накопления информации. Величина этого порога зависит от ценности объекта, степени интереса к нему, степени его защищенности и ряда других факторов. Математически наличие подхода можно отобразить, задав допустимую границу - вероятность взлома ]-го рубежа (Р ), т.е. когда ¥у (,) = Р* (обычно Р* = 0,99). Тогда можно
записать:
1 — е cjtcontr = р *
(5)
cj =-
ln(1 - P )
tc
и, подставив в (4), получим
ln(1-P )
Fj (t) = 1 - е
Приведенная выше модель поиска момента взлома системы является достаточно условной, так как не учитываются многие особенности процесса взлома, в частности, что информация поступает квантами, и чем меньше осталось информации, тем порой сложнее ее добывать. Кроме того, процесс поступления (добывание) информации часто имеет достаточно нерегулярный характер. Однако, тем не менее, полученная формула может быть использована для первичной оценки среднего времени проникновения на объект защиты.
3. Минимальное и среднее время проникновения на объект защиты
Выше (см. п. 2) предлагается оценка для среднего времени, в течение которого и происходит непосредственно проникновение на объект защиты к защищаемым ценностям. Формализация задачи осуществляется аналогично.
Постановка задачи. Пусть задан граф О, состоящий из N локальных зон, связанных между собой. Локальные зоны перенумерованы числами от 1 до N и (] = 1...Л/) есть функция распределения вероятности того, что за , будет пройдена ]-я зона. Ставится задача получения оценки снизу минимального времени, за которое злоумышленник сможет проникнуть на объект защиты.
Обозначим через £ у случайную величину промежутка времени, в течение которого будет пройдена ]-я локальная зона.
Обозначим через О], О2---Оп множество всех маршрутов с начальных точек (внешняя зона) до конечных (хранилище информации). Пусть Я(/) есть множество вершин графа О, входящих в маршрут О, (1 < I < п).
Тогда минимальное время проникновения на объект защиты можно выразить как
Р(ш1и X £ ] < ,) = 1 - Р(ш1и X £ У,). (6)
jzR(i)
jeR(i)
Так как случайные величины взаимосвязаны, то
где время ,сШг - контрольное время зоны, в течение которого в среднем идет накопление информации злоумышленником, чтобы зона была взломана с вероятностью Р . Из соотношения (5) можно выразить
P(min X l j > t) = M (x(min £ l ] > t)) =
1 jeR(i) 1 jeR(i)
=M (Пх( £ l j > t)),
i jeR(i)
(7)
где для любого множества А полагаем х(А) = 1, если событие А имеет место, и х(А) = 0 в противном случае.
Раскрыв правую часть (7) и подставив в (6), получим:
Р(шш X £] <,) = 1 - I...I П/у(ж]] ....
jeR(i)
X1,...XN j
£ Xj > t ,V1 jeR (i)
contr
Рассмотрим частный случай, когда функция //(ху) имеет показательное распределение, т.е.
(Ху) = Сув °-'х-'. Подставив функцию распределения в (7), будем иметь
Р(тш Е Iу < t) =
= 1- Ы
x1,... xN
Е x
jeR (i)
jeR(i)
П Cje
dx 11 ^ dx n —
= [ Уу = ] = 1 - | ... | в "(у1 +~УN ) dХ1 ... dХN .
У1. УN
Е ГУку,
уЕЛ (г) Г Су J
Последний интеграл можно определить на основе методов вычислительной математики, в частности можно воспользоваться методом Монте-Карло. Отметим, что возможный метод оценки константы Су приведен в п. 2.
Наряду с минимальным возможным временем реализации физического взлома и проникновения на объект защиты представляет интерес и среднее время реализации проникновения к защищаемым ценностям. Для этого прежде всего необходимо дополнительно оценить вероятность проникновения на объект по у-му маршруту (ду). Фактически ^ есть вероятность того, что проникновение начнется с у-й внешней точки объекта. Эти величины могут быть оценены на основе экспертных методов.
Итак, пусть вероятность того, что проникновение пройдет по г-му маршруту, равна дг. Тогда среднее время можно записать следующим образом:
Т = Е qM
(
Е ^
л
jeR (i)
(
= Е
j
= Е qi Е м dj) =
i jeR(i)
л
Е qi M(S j )•
i: jeR(i)
Как было отмечено выше, для первичной оценки:
M(£, j) = I(1 - Fj (t))dt .
Можно считать, что ^ у имеет показательное распределение с параметром Су, откуда
МЦ;) = .1 и Е -.
Су у г:]ЕЛ(г) Су
Для упрощения и возможности автоматизации время можно измерять в метрах.
Заключение
Полученные соотношения и процедуры позволяют оценивать вероятность проникновения на объект защиты по различным возможным маршрутам или их совокупности, а так же определить средние характеристики, связанные как с ожидаемым моментом проникновения на объект защиты, так и непосредственно с процессом проникновения на объект защиты. На основе полученных характеристик можно оценить уровень защищенности объекта, а также сравнивать между собой различные варианты обеспечения и повышения физической безопасности объекта по приведенным в работе показателям и на этой основе выбрать наиболее приемлемый вариант обеспечения защиты.
Результаты работы могут быть использованы в качестве одной из основ построения автоматизированной системы обеспечения физической безопасности объекта.
Литература
1. Гарсиа М. Проектирование и оценка систем физической защиты. М., 2003.
2. Оленин Ю.А. Системы и средства управления физической защиты объектов. Пенза, 2002.
3. Попов Г.А., Белов С.В. Некоторые задачи формализации процесса анализа физической защиты объекта информации // Материалы VI междунар. науч.-метод. конф. НИТРИО-2001. Астрахань, 2000.
4. Белов С.В. Оценка степени наблюдаемости территории без использования технических средств защиты // Материалы V междунар. науч.-практ. конф. по информационной безопасности: Тем. вып. Таганрог, 2003.
5. Белов С.В. Учебный пакет по моделированию инженерно-технических задач информационной безопасности // Материалы II междунар. науч.-практ. конф. «Влияние образовательных технологий на развитие регионов». Астрахань, 2003.
6. Попов Г.А. Исследование надежности информационно-вычислительных систем // Проблемы применения ВТ: Тр. ВНИИПАС. № 3. 1989. С. 54-59.
7. Попов Г.А. Оценка среднего времени непрерывной связанности информационно-вычислительной сети из однотипных элементов / АГТУ. Астрахань, 1990. Деп. в ВИНИТИ, № 4231-890.
Астраханский государственный технический университет
15 ноября 2004 г.