Научная статья на тему 'Табличный метод представления и анализа иерархий в системах информационной безопасности'

Табличный метод представления и анализа иерархий в системах информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
275
107
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Табличный метод представления и анализа иерархий в системах информационной безопасности»

дунар. конф.: "Математические методы в химии и химической технологии" (ММХ-9): Сб. тез. Ч. 4.- Тверь, 1995.-С. 145.

2. Богатиков В.Н., Палюх Б.В. Построение дискретных моделей химико-технологических систем. Теория и практика. -Апатиты, 1995. - 162 с.

3. Богатиков В.Н., Гордеев Л.С., Егоров А.Ф., Савицкая Т.В. Методология управления технологической безопасностью непрерывных химико-технологических процессов. "Управление безопасностью природно-промышленных систем". Вып. 2. / Под ред. В. А. Путилова. -М.: Изд-во КНЦ РАН. - 1999. - С. 16-42.

ТАБЛИЧНЫМ МЕТОД ПРЕДСТАВЛЕНИЯ И АНАЛИЗА ИЕРАРХИЙ В СИСТЕМАХ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

Н.Е. Демидов

Задачи обеспечения информационной безопасности (ИБ) на различных уровнях, начиная от уровня защиты персональной информации и до регионального и федерального уровней защиты информационных ресурсов, являются одними из важнейших в условиях широкого использования открытых цифровых телекоммуникационных сетей, и в первую очередь - глобальных сетей Интернет. По прогнозам специалистов, мировые годовые расходы на ИТ к 2006 г. составят свыше 570 млрд. долл., объем мирового рынка систем защиты компьютерных сетей вырастет с 5,8 млрд. долл. в 2000 г. до 21,2 млрд. долл. к 2005 г., а рынок услуг по управлению системами компьютерной безопасности (настройка и сопровождение межсетевых экранов, систем обнаружения несанкционированных доступов в сети, антивирусных программ, web-серверов и web-порталов) вырастет с 315 млн. долл. в 2001 г. до 1,8 млрд. долл. к 2005 г.

При создании систем активной информационной безопасности важнейшее значение имеет экс-пертно-аналитическая деятельность, в которой концептуальное значение играют иерархические структуры и модели. В сфере обеспечения информационной безопасности древовидные и иерархические структуры насчитывают десятки применений, начиная от иерархий технических средств и пользователей, файловых систем и систем каталогов и до иерархий прав доступа пользователей и источников сертификатов для построения инфраструктуры открытых ключей шифрования в системах цифровой подписи. При решении задач оценки риска информационной опасности находят применение такие теоретико-графовые модели, как деревья решений и событий, а при многоуровневом экспертном оценивании - метод анализа иерархий (МАИ) Т. Саати [1-4]. При использовании в задачах обеспечения ИБ таких аналитических ИТ, как хранилища данных и OLAP (оперативная аналитическая обработка) иерархии различного типа (временные, географические, долж-

ностные и др.) появляются как категории измерений в многомерных кубах данных [5].

Иерархии в задачах обеспечения информационной безопасности

Представим классификацию иерархий, используемых в сферах информационной и компьютерной безопасности в следующем виде.

Физические иерархии: должностные, временные, географические, пространственные.

Специальные иерархии - аппаратно-техни-ческие: программные, древовидных организаций дисплейных интерфейсов, файловых систем, систем каталогов, деревьев доверия служб сертификации, прав доступа пользователей.

Исследовательские иерархии - структур данных: в многомерных БД, в принятии решений: • альтернатив • критериев • объектов • показателей •оценок • процессов.

Свойства и особенности иерархических структур, применяемых в современной экспертно-аналитической деятельности, приведены в таблице 1.

Таблица 1

Свойства Особенности

Статические/динамические данные Обрабатываются и хранятся обычные наборы данных и/или временные ряды

Статическая/динамическая структура иерархии Фиксированный или переменный состав узлов и/или связей в иерархии

Однородная/неоднородная обработка информации в узлах Значительная разница в требуемых вычислительных ресурсах и сложности программной реализации операций

Плоская/пространственная организация иерархии - / -

Структура Граф, сеть или дерево

Наибольший практический интерес представляют иерархии с древовидной организацией. Структурные особенности подобных иерархий показаны на рисунке 1.

Полная Неполная Несбалансированная

Рис. 1. Формы древовидных иерархий

При разработке вычислительных алгоритмов и их программной реализации необходим учет конкретных структурных особенностей иерархий, при этом обычно осуществляется добавление фиктивных узлов для формирования полной иерархии.

Математическая постановка задачи анализа иерархий

В анализе иерархий как методе поддержки принятия многокритериальных решений задана иерархическая структура вида:

Уровень 1

О

Уровень k-1

Уровень k

Уровень L

Общая цель

Критерии и подкритерии

Альтернативы

Обозначения:

L - число уровней в иерархии;

nk - число узлов на k-м уровне, k=1,2,...,L;

Ski - i-й узел на на k-м уровне, i=1,2,..., nk;

Ikj - множество индексов узлов ski, имеющих прямую связь с j-м узлом Sk-1j (k-l)-ro уровня, Ikj

е {1,2,., nk };

n(Ik¡) - число элементов в Ik¡;

0 0 0 0

Wk , akj , Ak , Mpq - значения wk, a^, Ab Mpq

соответственно;

wk = [wk1 ... wknk]T - общий вектор приоритетов k-го уровня , используемый для оценки общей цели;

akj = [a1j ... akj ... ankj]T - общий вектор приоритетов k-го уровня, используемый j-м узлом sk-1j (k-1)-ro уровня;

Ak = [ak1 ... akj ... aknk-1] - матрица приоритетов k-го уровня, используемая на (k-1)-ro уровне, k=2,3,...,L;

M = [Mpq] - матрица достижимости приоритетов, вычисляемая с использованием матриц A2, Аз,..., Al, p, q=1,2, ... , L.

Определены процессы анализа иерархии.

1. Формирование структуры иерархии (задание общей цели, критериев и подкритериев, альтернатив и связей).

2. Заполнение матриц парных сравнений (МПС) со степенной калибровкой (МПС - обрат-носимметричная матрица) экспертными оценками

и нахождение вектора приоритетов аку как собственного вектора, соответствующего максимальному собственному значению МПС. Осуществляется нормализация найденных векторов аку

2 ау = 1,ау >0,к = 2,3,...,Ь,У = 1,2,...,пк.

3. Векторы аку, ¿=1,2,____ пк-1 используются для

формирования матрицы приоритетов Ак к-го уровня. Далее матрица Ак, к=2,3,_,Ь используется для формирования вектора приоритетов wk каждого уровня иерархии, исключая уровень общей цели, по соотношению

wk = А^к _1 = АкАк _1 ?

к = 2,3,...,Ь^ = 1.

Результирующий вектор приоритетов альтернатив WL определяется соотношением

Wr

AlAl _! ...А2

Матрицы приоритетов Ак, к=2,3,_,Ь, используются для формирования квадратной матрицы А с порядками блоков главной блочной диагонали пк, к=1,2,_,Ь:

0" 0

А =

0

А2 0

0 0

Аз

0 0

0

0

0

0 Al

Матрица достижимости векторов приоритетов определяется уравнением

M = E + A + A2 +... + AL где E - единичная матрица.

При программной реализации МАИ на основе традиционных подходов обычно используются специализированные структуры данных (связные списки и др.), вводится ряд существенных количественных ограничений (не более пяти уровней иерархии, порядки матриц попарных сравнений - не более десяти и др.), а современные методики анализа полученных решений (анализ чувствительности, интервальный анализ и др.), основанные на применении вспомогательной иерархической структуры - матрицы достижимости - практически не реализуются.

Для устранения перечисленных проблем необходима разработка новых способов визуального представления и вычислительной обработки иерархически организованных структур и процессов с использованием наиболее массовых программных средств - табличного процессора Excel и браузера Internet Explorer. Целью является обеспечение упрощенного интерфейса пользователя, кардинальное снижение затрат вычислительных ресурсов и устранение сложностей программной реализации приложений за счет табличного представления и анализа иерархий при неявном задании связей их узлов.

Особенности предлагаемого метода

Табличный метод представления иерархий основан на преобразовании исходной иерархии в частично заполненную прямоугольную таблицу (см. рис. 2).

Принципиальными особенностями алгоритмов решения конкретных содержательных задач с табличным представлением иерархий являются:

- использование двойных вложенных циклических процессов для перебора узлов заданного столбца таблицы (вершин заданного уровня исходной иерархии) и локализации их дочерних узлов;

- реализация прямого и обратного проходов по уровням иерархии в зависимости от специфики решаемой задачи;

- возможность динамической реорганизации иерархии (сворачивание - разворачивание узлов иерархии и удаление - добавление узлов);

- хранение дополнительной информации (атрибутов узлов) в виде обычных таблиц и массивов.

Представим в виде таблицы атрибутов исходные данные и результаты решения задачи экспертной оценки степени защищенности мвЪ-узла по многоуровневой системе показателей (табл. 2) с исходной структурой критериев, показанной на рисунке 2.

Таблица 2

Используемая шкала оценок - [-3;3]. Нормированная оценка степени защищенности составляет 0,б94.

Программная реализация

Встроенные программные системы поддержки табличного подхода в МАИ реализованы в средах системы для математических расчетов MATLAB и табличного процессора Excel. Комплекс программных средств аналогичного назначения реализован также и на платформе корпорации Microsoft для использования в составе интрасете-вых клиентских и клиент-серверных приложений.

Реализация в MATLAB включает ряд программных систем, и в том числе: версию для разработчиков - с режимом работы в командной строке MATLAB; для конечных пользователей -на основе приложения Excel Link; учебного назначения - на основе приложения Notebook и для IT-специалистов - на основе пакета проектирования событийно-управляемых систем Stateflow. Все версии имеют общее ядро - комплекс базовых модулей в виде М-функций MATLAB.

Интрасетевая реализация выполнена в архитектуре клиент-сервер с использованием объектных моделей и компонентного подхода. Использованы web-технологии разработки приложений Dynamic HTML (DHTML) и Active Server Pages (ASP), объектные модели Active Data Objects (ADO) и Document Object Model (DOM), программные средства Internet Explorer S.0IS.S, Internet Information Server S.0 и MS Office 2000 Web Components, инструментальные программные средства MS FrontPage 2000 и MS Development Environment, скриптовый язык программирования JScript и технология скриптлетов (scriptlets), расширенный язык гипертекстовой разметки документов Extensible Markup Language (XML).

Реализация в Excel. Активно использует возможности электронных таблиц и языка офисного программирования Visual Basic for Applications (VBA). Один из вариантов Excel-реализации позволяет найти на единой методологической основе МНК-решения в АИП в случаях совместного использования как полных, так и неполных ЭО, при этом автоматизируются многие операции по оформлению рабочих листов и представлению результатов вычислений [1,3]. Возможности и особенности реализованных средствами табличного процессора Excel программных средств были проверены при решении известной в специальной литературе задачи оптимизации назначения прав доступа пользователям в иерархических структурах [б]. Приведем фрагмент рабочего листа табличного процессора Excel с исходными данными и результатами расчетов целевых функций.

Параметры задачи

Веса исходных назначений доступа:

Номер узла Критерий Вес критерия Оценки

Исходные Расчетные

1 Уровень безопасности 1 1,1б7

2 Влияние атак 0,333 2

3 Антихакинг 0,333 -0,5

S Открытость портов 0,5 2 2

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

б Наличие скриптов на Web-сервере 0,5 -3 -3

4 Качество администрирования 0,333 2

7 Наличие патчей 0,333 3 3

8 Конфигурированность 0,333 1 1

9 Ведение учетных записей и паролей 0,333 2 2

0,9 - полные права доступа; 0,7 - чтение/запись; 0.5 - чтение. Ci=C2=0,5

Исходные данные

Дерево ресурсов Веса ресурсов Исходные права пользователей

Yi Y2 Иванов Петров Сидоров

1 0,1 0,23 0,9 0,9 0

2 0,06 0,28 0,5 0,5 0

3 0,12 0,22 0,7 0,7 0,7

4 0,46 0,05 0,9 0,5 0,5

5 0,19 0,31 0 0 0

8 0,16 0,34 0 0 0

14 0,2 0,3 0 0,7 0

15 0,13 0,37 0 0 0

21 0,2 0,3 0 0,7 0

22 0,2 0,3 0 0,7 0

6 0,31 0,07 0 0 0

9 0,25 0,07 0 0 0

16 0,39 0,13 0 0 0,9

17 0,02 0,71 0 0 0

18 0,5 0,04 0 0,9 0

10 0,24 0,07 0 0 0

19 0,18 0,22 0 0 0,9

20 0,38 0,06 0 0,9 0

7 0,14 0,36 0 0 0

11 0,11 0,39 0 0 0

12 0,13 0,37 0 0,9 0

13 0,13 0,37 0 0 0,9

Результаты расчетов

Пользователи Веса Целевые функции

Li L2 Li L2 L

Иванов 1 1 0,186 0,032363636

Петров 0,7 0,5 0,131272727 0,103454545

Сидоров 0,5 0,5 0,114727273 0,122863636

Общая ЦФ 0,111751515 |0,048507576 |0,160259091

Комплекс компонентных программных средств в виде элементов управления ActiveX и скриптлетов может быть использован во встроенных системах поддержки табличного подхода в МАИ для многих проблемных областей, в том числе таких актуальных, как стратегические анализ, планирование и управление, бизнес-реинжиниринг и управленческий консалтинг.

Список литературы

1. Демидов Н.Е. Комплекс программных средств для аналитических иерархических процессов экспертного оценивания // Программные продукты и системы. - 2001. - №2. - С. 38-42.

2. Демидов Н.Е., Чохонелидзе А.Н., Неффа В.М. Комплекс программных средств для оценки степени удовлетворенности пользователей ресурсами сетевой экономики // Ком-пьюЛог. - 2001. - №4. - С. 12-14.

3. Демидов Н.Е., Чохонелидзе А.Н., Неффа В.М. Персонификация и профилирование пользователей ресурсов Интернета на основе экспертного оценивания // КомпьюЛог. - 2002. -№1. - С. 7-12.

4. Демидов Н.Е. Иерархические структуры в представлении и оценке знаний // Системный анализ в проектировании и управлении: Труды 6-й Междунар. науч.-практ. конф. - СПб. : СПбГТУ, 2002. - С. 38-42.

5. Доценко С.М. Аналитические информационные технологии и обеспечение безопасности корпоративных сетей // Защита информации. - 2000. - №2. - С. 16-21.

6. Гайдамакин Н.А. Организация назначений доступа к объектам в иерархических структурах // Защита информации. -2001. - №3. - С. 73-79.

СИСТЕМА ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

В ВУЗЕ

В.В. Алексеев, А.В. Елисеев

Разрабатываемая система электронного документооборота предназначена для автоматизации работы служб документационного обеспечения вуза (а также любых других подразделений, работающих с документами); обеспечения перемещения электронных документов между подразделениями по локальной вычислительной сети (ЛВС); создания и ведения электронных архивов документов.

На данный момент разработана действующая модель системы электронного документооборота Тверского государственного технического университета (ТГТУ) для следующих целей: - создание прототипа системы;

- отработка принципов построения структуры и основных программных решений системы электронного документооборота;

- выбор программной оболочки (среды) и инструментальных программных средств для разработки системы;

- оценка "дружественности" пользовательского интерфейса;

- оценка материальных и трудовых затрат для развертывания полномасштабной единой системы электронного документооборота вуза.

Отличие модели системы электронного документооборота от ее полномасштабного варианта со-

i Надоели баннеры? Вы всегда можете отключить рекламу.