Анализ безопасности интегрированных систем защиты
Анализ безопасности интегрированных систем защиты
Анализ безопасности интегрированных систем защиты
- TAGS
- www.ess.ru
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ПАНИН Олег Анатольевич<br />
АНАЛИЗ БЕЗОПАСНОСТИ ИНТЕГРИРОВАННЫХ СИСТЕМ ЗАЩИТЫ:<br />
ЛОГИКО-ВЕРОЯТНОСТНЫЙ ПОДХОД<br />
Научно-обоснованный подход к проектированию <strong>интегрированных</strong> <strong>систем</strong> <strong>защиты</strong><br />
(ИСЗ) предполагает анализ специфики охраняемого объекта, а также наличие <strong>систем</strong>ы<br />
критериев для количественной оценки уровня защищенности. При этом вопросы<br />
проектирования и оценки качества тесно связаны между собой, т.к. основываются на<br />
постановке одних и тех же оптимизационных задач.<br />
Метод и аналоги<br />
Необходимость аналитических исследований в этой области назрела уже давно. Например, в<br />
[1] утверждается, что «вид выбираемой <strong>систем</strong>ы должен обеспечивать защиту людей и<br />
имущества в соответствии с требуемым уровнем их <strong>безопасности</strong>». Защищенность трактуется<br />
как «совокупность организационно-технических мероприятий, направленных на обеспечение<br />
охраны объекта (зоны объекта)». Результат же этих мероприятий характеризуется уровнем<br />
защищенности. В свою очередь, уровень защищенности должен соответствовать<br />
значимости объекта, выражаемой через его категорию – в этом состоит основной принцип<br />
проектирования эффективной ИСЗ. Предлагаемый подход позволяет количественно оценить<br />
уровень защищенности объекта путем анализа <strong>безопасности</strong> ИСЗ.<br />
В его основе лежат два понятия: степень риска и уровень защищенности. Пусть у – логическая<br />
функция, описывающая функционирование ИСЗ. Степень риска Ψ (y) – вероятностная<br />
величина, характеризующая возможность невыполнения ИСЗ своей целевой функции с учетом<br />
влияния опасных внутренних и внешних воздействий [1]. Обратная величина характеризует<br />
уровень защищенности Ξ(y) = 1 - Ψ (y). Под анализом <strong>безопасности</strong> ИСЗ будем понимать<br />
процедуру оценки Ψ (y) или Ξ(y) для людей и имущества на охраняемом объекте. <strong>Анализ</strong><br />
проводится с помощью логико-вероятностных моделей. При этом структура <strong>систем</strong>ы<br />
описывается при помощи функций алгебры логики, а количественная оценка степени риска<br />
проводится с помощью теории вероятности.<br />
В качестве аналогов можно отметить [2]:<br />
• метод деревьев отказов (FTA);<br />
• метод деревьев событий (ETA);<br />
• метод анализа опасности и работоспособности (HAZOR);<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
1
• метод проверочного листа (Check-list) и пр.<br />
Эти методы (в основном зарубежного происхождения) применяются для анализа причин<br />
отказов технических <strong>систем</strong> и прогнозирования развития аварий. В их основе – процедуры<br />
формализованного описания сценариев развития аварии в различных формах (таблицы, графы,<br />
описание опасностей по эвристическим правилам и пр.). Однако отсутствие адекватного<br />
математического аппарата не позволяет преобразовать эти модели к виду, удобному для<br />
анализа, поэтому результаты обычно интерпретируются на качественном уровне. В трудах же<br />
отечественных ученых, и, в первую очередь, д.т.н И.А. Рябинина [3], создателя научной<br />
школы логико-вероятностных методов анализа, заложена методическая база, позволяющая<br />
получить количественные оценки риска как меры опасности. Эти методы давно применяются<br />
в отечественной практике для анализа надежности и <strong>безопасности</strong> структурно-сложных<br />
<strong>систем</strong>, причем при расчете надежности исследуются условия нахождения <strong>систем</strong>ы в<br />
работоспособном состоянии, а при анализе <strong>безопасности</strong> – условия попадания <strong>систем</strong>ы в<br />
опасное состояние.<br />
Математический аппарат<br />
Теоретическую основу логико-вероятностных методов составляют операции над функциями<br />
булевой алгебры. Приведем необходимый минимум.<br />
Булева функция ставит в соответствие логическим аргументам логическое значение и<br />
представляет собой набор логических операций. Основными логическими операциями<br />
являются: дизъюнкция (∨), конъюнкция (∧) и отрицание (′ ). Правило де Моргана (закон<br />
инверсий) позволяет представить конъюнкцию через дизъюнкцию инверсных высказываний и<br />
наоборот: А∧В = (А′∨В′)′ , А∨В = (А′∧В′)′. Логическая матрица есть форма представления<br />
булевых функций, при этом конъюнкции записываются в строку, а дизъюнкции – в столбец,<br />
например:<br />
x ∨ x =<br />
1<br />
2<br />
x<br />
x<br />
1<br />
2<br />
x<br />
1<br />
x<br />
2<br />
x<br />
x<br />
3<br />
4<br />
x<br />
5<br />
=<br />
x x<br />
2 ( x3<br />
∨ x4<br />
x5<br />
Элементарная конъюнкция ранга n – это выражение вида: х1х2х3...хn, где xi = xi или xi = xi′.<br />
Дизъюнкция элементарных конъюнкций называется дизъюнктивной нормальной формой<br />
(ДНФ).<br />
1<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
)<br />
2
Существует несколько форм ДНФ. Если ранги элементарных конъюнкций одинаковы, говорят<br />
о совершенной ДНФ (СДНФ), например: х1х2∨x2′x4. Элементарные конъюнкции ортогональны,<br />
если их произведение равно нулю: x1x2′ и x2x4x3. Если все члены ДНФ попарно ортогональны,<br />
имеет место ортогональная ДНФ (ОДНФ). Бесповторная ДНФ не содержит аргументов с<br />
одинаковыми индексами, например: x2x1∨(x5′∨x4x3′).<br />
Вероятностная функция есть вероятность того, что булева функция истинна: Р{f(x1…xn)} = 1.<br />
Для того, чтобы перейти от булевой функции к вероятностной (т.е. заменить xi на Р{xi = 1}),<br />
следует представить f(x1...xn) в виде:<br />
СДНФ;<br />
ОДНФ;<br />
бесповторной функции в базисе конъюнкция-отрицание.<br />
Процедура анализа<br />
1. Составляется сценарий развития опасности, представляющий собой логико-вероятностную<br />
модель функционирования ИСЗ. Сценарий представляется в виде графа (типа «дерева») и<br />
содержит события трех видов: инициирующие (ИС), промежуточные, конечное.<br />
Инициирующие события (ИС) описывают внешние воздействия на <strong>систем</strong>у (например,<br />
несанкционированные действия нарушителя: преодоление периметра объекта, имитация<br />
процедуры идентификации на контрольно-пропускном пункте и пр.). Промежуточные<br />
события получаются путем логической комбинации двух или более событий. Наиболее<br />
употребительны:<br />
конъюнкция событий (событие на выходе наступает только при наличии событий на обоих<br />
входах);<br />
дизъюнкция событий (событие на выходе наступает при наличии хотя бы одного события<br />
на одном из входов).<br />
Конечное событие описывает опасное состояние <strong>систем</strong>ы (например, проникновение<br />
нарушителя на охраняемый объект).<br />
Составление сценария – творческая задача. От того, насколько полно будет описана схема<br />
функционирования <strong>систем</strong>ы <strong>защиты</strong>, учтены причинно-следственные связи между событиями,<br />
зависит качество анализа. Поэтому желательно привлекать к составлению сценария реальных<br />
специалистов-практиков в области охраны объектов. Некоторые эвристические правила<br />
построения логико-вероятностных моделей:<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
3
Составлять сценарий «сверху вниз», т.е. вначале формулировать конечное событие (опасное<br />
состояние, характеризуемое «ущербом большого масштаба»), а потом анализировать, каким<br />
способом <strong>систем</strong>а может попасть в это состояние (дедуктивные умозаключения).<br />
Заменять абстрактные события более конкретными. Например, событие «авария из-за<br />
диверсии» является неинформативным, следует разработать его более детально.<br />
Формулировать только те ИС, вероятности которых можно оценить достоверно. Например,<br />
событие «нападение нарушителя 1-го типа» бессмысленно для анализа <strong>безопасности</strong>, т.к.<br />
его невозможно достоверно оценить.<br />
2. Составляется функция опасности <strong>систем</strong>ы y(z1...zn), ее аргументами являются ИС, а<br />
значением – конечное (опасное) событие. Каждый кратчайший путь опасного<br />
функционирования (КПОФ) представляет собой минимальный набор ИС, конъюнкция<br />
(совмещение) которых приводит к опасному состоянию (КПОФ = ∧ zi.). Функция опасности<br />
<strong>систем</strong>ы представляет собой дизъюнкцию КПОФ:<br />
y(z1...zn) = ∨ [∧ zi] (1)<br />
3. Функция опасности <strong>систем</strong>ы приводится к одной из трех форм (см. выше) и заменяется<br />
вероятностной функцией P{y(z1...zm)} следующим образом:<br />
zi заменяется на P{zi = 1} = Ri;<br />
zi′ заменяется на P{zi′ = 1} = Qi = 1 - Ri.<br />
где Ri – вероятность наступления i-го ИС.<br />
4. Ищется значение вероятностной функции:<br />
Ψ (y) = P{y(z1..zm) = 1} (2)<br />
Формула (2) и определяет степень риска, присутствующего в <strong>систем</strong>е.<br />
Пример применения метода<br />
Рассмотрим <strong>систем</strong>у периметровой <strong>защиты</strong> объекта, состоящую из:<br />
• сетчатого ограждения типа ССЦП с установленным на нем трибоэлектрическим средством<br />
обнаружения;<br />
• маскируемого сейсмического средства, устанавливаемого в грунт между основным и<br />
внутренним ограждением;<br />
• <strong>систем</strong>ы теленаблюдения за запретной зоной периметра;<br />
• людского контрольно-пропускного пункта (ЛКПП), оборудованного тремя тамбур-<br />
шлюзами с идентификацией абонентов по проксимити-картам и ПИН-коду.<br />
Для прохода посетителей по временным пропускам оборудована специальная «нулевая<br />
кабина» рядом с оператором ЛКПП.<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
4
1. Составляем сценарий развития опасности. Целью анализа <strong>безопасности</strong> <strong>систем</strong>ы<br />
периметровой <strong>защиты</strong> является оценка выполнения ею своей целевой функции. Существует<br />
две тактики действий нарушителя: скрытное проникновение и силовой прорыв. Для<br />
определенности будем рассматривать первую из них. Следовательно, целевой функцией<br />
<strong>систем</strong>ы является оценка риска скрытного проникновения нарушителя на охраняемую<br />
территорию.<br />
Ограждение периметра можно преодолеть тремя способами: пролом (механическое<br />
разрушение сетчатого полотна), перелаз, подкоп. Каждому из них соответствует своя<br />
вероятность обнаружения. Проникнуть через ЛКПП можно двумя способами:<br />
• путем «обхода» автоматической <strong>систем</strong>ы контроля доступом (СКД);<br />
• через ЛКПП (неправильная идентификация по пропуску).<br />
Уязвимость СКД в нашем случае характеризуется следующими показателями: устойчивостью<br />
проксимити-карты к копированию, вероятностью подбора ПИН-кода (скажем, вероятность<br />
подбора ПИН-кода из 2 цифр с одной попытки равна Pпин = 0,01). Возможны и другие<br />
варианты: завладеть оригинальной картой (хищение, передача под угрозой), подсмотреть<br />
ПИН-код во время набора («устойчивость к наблюдению»), но их не рассматриваем.<br />
Вероятность правильной идентификации человека по пропуску через 4 часа работы составляет<br />
примерно Рчас = 0,4.<br />
Граф сценария развития опасности представлен на рис. 1. Исходные данные для анализа<br />
<strong>безопасности</strong> приведены в табл. 1.* P(zi = 1) – вероятности ИС, в нашем случае вероятности<br />
скрытного преодоления нарушителя на охраняемую территорию различными способами.<br />
Таблица 1. Вероятности инициирующих событий<br />
Преодоление ограждения периметра, в том числе:<br />
Обозначение ИС P (zi = 1)<br />
- перелаз R1 z1 0,10<br />
- пролом R2 z2 0,05<br />
- подкоп R3 z3 0,15<br />
Необнаружение <strong>систем</strong>ой теленаблюдения R4 z4 0,10<br />
Проникновение через ЛКПП:<br />
- неправильная идентификация R5 z5 0,6<br />
- «обход» СКД, в том числе:<br />
- подбор ПИН-кода R6 z6 0,01<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
5
- подделка проксимити-карты R7 z7 0,005<br />
*Приведенный пример носит модельный характер и служит для иллюстрации рассматриваемого метода. В табл.<br />
1 приведены условные (типичные) значения P (zi = 1).<br />
Проникновение<br />
через периметр<br />
Проникновение<br />
на объект<br />
Проникновение<br />
через ЛКПП<br />
z1 z2 z3 z4 z5 z6<br />
- дизъюнкция событий - конъюнкция событий<br />
Рис.1. Граф сценария развития опасности<br />
2. Записываем функцию опасности <strong>систем</strong>ы:<br />
y(z1...z7) = z4 (z1∨z2∨z3) ∨(z5∨z6z7)<br />
Представим ее в ДНФ:<br />
y(z1...z7) = z1z4∨z2z4∨z3z4∨z5∨z6z7<br />
ДНФ не является совершенной (разные ранги элементарных конъюнкций), поэтому от нее<br />
нельзя сразу перейти к вероятностной функции (2). Однако из этого выражения хорошо видны<br />
все пути развития опасности: КПОФ1 = z1z4, КПОФ2 = z2z4, КПОФ3 = z3z4, КПОФ4 = z5, КПОФ5 =<br />
z6z7.<br />
Инвертируя (правило де Моргана), получим функцию <strong>безопасности</strong> <strong>систем</strong>ы:<br />
z1'<br />
z2<br />
' z3<br />
' z5<br />
' z6<br />
'<br />
y '(<br />
z1..<br />
z7<br />
) =<br />
z ' z ' z ' z '<br />
4<br />
4<br />
4<br />
7<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
z7<br />
6
Функция <strong>безопасности</strong> представляет собой конъюнкцию т.н. минимальных сечений<br />
предотвращения опасности (МСПО):<br />
y′ (z1...z7) = ∧ [∨ zi],<br />
где МПСО = ∨ zi.<br />
Каждое МСПО – есть конъюнкция отрицаний ИС, ни один компонент которой нельзя изъять,<br />
не нарушив условий безопасного функционирования <strong>систем</strong>ы. Таким образом, модель<br />
эффективного функционирования <strong>систем</strong>ы можно представить в виде эквивалентной схемы<br />
параллельного соединения МСПО (рис. 2).<br />
z1’<br />
z4’<br />
z2’<br />
z4’<br />
z3’<br />
z4’<br />
z5’ z6’<br />
Рис.2. Модель эффективного фунционирования ИСЗ<br />
3. Функцию y(z1...z7) заменяем вероятностной функцией. В данном простом примере можно<br />
привести ее к бесповторной функции в базисе конъюнкция – отрицание. Инвертируя y(z1...z7)<br />
последовательно, получаем:<br />
y(z1...z7) = z4 (z1∨z2∨z3) ∨(z5∨z6z7)<br />
z4(z1∨z2∨z3) = z4(z1′z2′z3′)′<br />
z5∨z6z7 =(z5′ (z6z7) ′)′<br />
y(z1...z7) = {[z4(z1′z2′z3′)′]′∧z5′ (z6z7) ′}′ = {ξ1∧ξ2}′<br />
Таким образом, функция y(z1...z7) представлена в виде бесповторной булевой функции в базисе<br />
конъюнкция-отрицание. Переходим к вероятностной функции P{y(z1...zm) = 1}, при этом zi<br />
заменяем на Ri, а zi′ – на Qi = 1 - Ri:<br />
ξ1 = 1 - R4(1 - Q1Q2Q3)<br />
ξ2 = Q5(1 - R6R7)<br />
4. Ищем значение функции (2):<br />
ξ1 = 1 - 0,1(1 - 0,9×0,95×0,85) = 0,97<br />
ξ2 = 0,4 (1 - 0,01×0,005) = 0,4<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
z7’<br />
7
Ψ (y) = P{y(z1...zm)=1} = 1 - ξ1ξ2 = 1 - 0,97×0,4 = 0,612<br />
В результате: Ψ (y) = 0,612 – степень риска, Ξ(y) = 1 - Ψ (y) = 0,388 – уровень защищенности.<br />
Понятно, что основной «вклад» в формирование риска вносит КПОФ4 = z5. Это неудивительно,<br />
т.к. P{КПОФ4 = 1} = 0,6. Отсюда наглядно видно «слабое звено» спроектированной <strong>систем</strong>ы<br />
<strong>защиты</strong>.<br />
Несмотря на учебный характер примера, он хорошо иллюстрирует основные идеи метода.<br />
Модель эффективного функционирования ИСЗ позволяет охватить все «уязвимые» места<br />
<strong>систем</strong>ы (путем анализа МСПО или КПОФ), которые необходимо защитить, чтобы обеспечить<br />
безопасное функционирование ИСЗ.<br />
Проблема исходных данных является ключевой для любого аналитического метода.<br />
Невозможность получения достоверных данных может снизить и даже свести на нет<br />
практическую ценность самого хорошего метода. Для логико-вероятностного анализа<br />
исходными являются вероятности ИС:<br />
Ri = P (zi = 1) – вероятность того, что i-е ИС произойдет;<br />
Qi = P (zi′ = 1) – вероятность того, что i-е ИС не произойдет.<br />
При анализе <strong>безопасности</strong> ИСЗ могут использоваться несколько типов исходных данных:<br />
• тактико-технические характеристики технических средств <strong>защиты</strong> (по результатам<br />
натурных испытаний), например: вероятность правильного обнаружения нарушителя<br />
средством обнаружения Робн, вероятность ложных тревог Рлт, вероятность Рош2 средства<br />
контроля доступа;<br />
• времена движения сил охраны и нарушителя, времена преодоления физических барьеров и<br />
пр. (также по результатам испытаний или аналитических оценок);<br />
• результаты анализа угроз. Могут оцениваться, исходя из статистики атак или отражать<br />
интуитивные представления о возможности и характере реализации той или иной угрозы,<br />
формализуясь в разного рода «моделях нарушителя» и пр.<br />
Данные первых двух типов носят объективный характер. При грамотно построенной методике<br />
испытаний, добросовестно проведенных расчетах для них в принципе можно получить<br />
достоверные оценки. Данные третьего типа субъективны, т.е. имеют качественно иную<br />
природу.<br />
Какой смысл вкладывается в понятие достоверности? Вероятностная величина есть такая,<br />
значение которой нельзя предугадать заранее, т.е. она не воспроизводится во время опыта. Но<br />
при увеличении числа испытаний она обычно стремится (предел по вероятности) к константе.<br />
Вопрос ставится так – сколько надо сделать испытаний, чтобы с заданной доверительной<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
8
вероятностью утверждать, что исследуемая величина уложится в определенный интервал?<br />
Соответствующий аппарат давно разработан в теории вероятности.<br />
Из сказанного ясно, что следует очень осторожно использовать исходные данные третьего<br />
типа. При невозможности достоверных оценок лучше упрощать модель, чем заниматься<br />
«гаданием на кофейной гуще». Качество метода в значительной степени определяется<br />
качеством исходных данных.<br />
Достоинства и недостатки метода. Выводы<br />
К достоинствам метода относятся следующие:<br />
1. Дает обоснованный количественный критерий качества ИСЗ (в отличие от<br />
«искусственных» методов («взвешенное суммирование», целевая функция и пр.). Можно<br />
рассматривать анализ <strong>безопасности</strong> как метод многокритериальной оптимизации.<br />
2. Позволяет построить модель безопасного функционирования ИСЗ, определить «уязвимые<br />
места» <strong>систем</strong>ы и оценить «вклад» каждого из них, ранжируя их по степени опасности.<br />
3. Позволяет выявить структуру ИСЗ. С точки зрения логико-вероятностных методов <strong>систем</strong>у<br />
любой природы можно отнести к:<br />
структурно-простым (сводятся к параллельным, последовательным, древовидным<br />
моделям);<br />
структурно-сложным (не сводятся к таковым);<br />
ассоциативным (элементы объединены неупорядоченно, по признаку назначения).<br />
ИСЗ – ассоциативная (бесструктурная) <strong>систем</strong>а. Элементы в ней объединены целевой<br />
функцией – обеспечением охраны объекта. <strong>Анализ</strong> <strong>безопасности</strong> позволяет структурировать<br />
ИСЗ – она может стать структурно-простой и даже (при творческом подходе к разработке<br />
сценария развития опасности) обрести черты структурно-сложной <strong>систем</strong>ы.<br />
Недостатки:<br />
1. Трудоемкость логических преобразований при анализе сложных сценариев (переход от<br />
функции опасного состояния (1) к вероятностной функции (2)). Для облегчения вычислений<br />
разработан целый ряд методов (ортогонализации, разрезания, наращивания путей и пр.).<br />
2. Разнородность исходных данных (объективных, поддающихся достоверным оценками и<br />
субъективных, отражающих «ожидания угрозы»).<br />
Таким образом, логико-вероятностные методы являются мощным механизмом анализа<br />
структурно-сложных <strong>систем</strong>. Их применение для анализа <strong>безопасности</strong> ИСЗ позволяет<br />
количественно оценить уровень защищенности объекта и является основой для<br />
проектирования эффективных <strong>систем</strong> <strong>защиты</strong>.<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru<br />
9
Литература<br />
1. ГОСТ Р 50776-95.Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 4.<br />
Руководство по проектированию, монтажу и техническому обслуживанию.<br />
2. Надежность технических <strong>систем</strong> и техногенный риск. Под общей редакцией М.И.Фалеева. -<br />
М.: Деловой экспресс, 2002.<br />
3. И.А. Рябинин. Надежность и безопасность структурно-сложных <strong>систем</strong>. – СПб.:<br />
Политехника, 2000.<br />
10<br />
_______________________________________________________________<br />
Журнал «Специальная Техника»<br />
http://www.st.ess.ru