Анализ безопасности интегрированных систем защиты

ПАНИН Олег Анатольевич
АНАЛИЗ БЕЗОПАСНОСТИ ИНТЕГРИРОВАННЫХ СИСТЕМ ЗАЩИТЫ:
ЛОГИКО-ВЕРОЯТНОСТНЫЙ ПОДХОД
Научно-обоснованный подход к проектированию интегрированных систем защиты
(ИСЗ) предполагает анализ специфики охраняемого объекта, а также наличие системы
критериев для количественной оценки уровня защищенности. При этом вопросы
проектирования и оценки качества тесно связаны между собой, т.к. основываются на
постановке одних и тех же оптимизационных задач.
Метод и аналоги
Необходимость аналитических исследований в этой области назрела уже давно. Например, в
[1] утверждается, что «вид выбираемой системы должен обеспечивать защиту людей и
имущества в соответствии с требуемым уровнем их безопасности». Защищенность трактуется
как «совокупность организационно-технических мероприятий, направленных на обеспечение
охраны объекта (зоны объекта)». Результат же этих мероприятий характеризуется уровнем
защищенности. В свою очередь, уровень защищенности должен соответствовать
значимости объекта, выражаемой через его категорию – в этом состоит основной принцип
проектирования эффективной ИСЗ. Предлагаемый подход позволяет количественно оценить
уровень защищенности объекта путем анализа безопасности ИСЗ.
В его основе лежат два понятия: степень риска и уровень защищенности. Пусть у – логическая
функция, описывающая функционирование ИСЗ. Степень риска Ψ (y) – вероятностная
величина, характеризующая возможность невыполнения ИСЗ своей целевой функции с учетом
влияния опасных внутренних и внешних воздействий [1]. Обратная величина характеризует
уровень защищенности Ξ(y) = 1 - Ψ (y). Под анализом безопасности ИСЗ будем понимать
процедуру оценки Ψ (y) или Ξ(y) для людей и имущества на охраняемом объекте. Анализ
проводится с помощью логико-вероятностных моделей. При этом структура системы
описывается при помощи функций алгебры логики, а количественная оценка степени риска
проводится с помощью теории вероятности.
В качестве аналогов можно отметить [2]:
• метод деревьев отказов (FTA);
• метод деревьев событий (ETA);
• метод анализа опасности и работоспособности (HAZOR);
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
1

• метод проверочного листа (Check-list) и пр.
Эти методы (в основном зарубежного происхождения) применяются для анализа причин
отказов технических систем и прогнозирования развития аварий. В их основе – процедуры
формализованного описания сценариев развития аварии в различных формах (таблицы, графы,
описание опасностей по эвристическим правилам и пр.). Однако отсутствие адекватного
математического аппарата не позволяет преобразовать эти модели к виду, удобному для
анализа, поэтому результаты обычно интерпретируются на качественном уровне. В трудах же
отечественных ученых, и, в первую очередь, д.т.н И.А. Рябинина [3], создателя научной
школы логико-вероятностных методов анализа, заложена методическая база, позволяющая
получить количественные оценки риска как меры опасности. Эти методы давно применяются
в отечественной практике для анализа надежности и безопасности структурно-сложных
систем, причем при расчете надежности исследуются условия нахождения системы в
работоспособном состоянии, а при анализе безопасности – условия попадания системы в
опасное состояние.
Математический аппарат
Теоретическую основу логико-вероятностных методов составляют операции над функциями
булевой алгебры. Приведем необходимый минимум.
Булева функция ставит в соответствие логическим аргументам логическое значение и
представляет собой набор логических операций. Основными логическими операциями
являются: дизъюнкция (∨), конъюнкция (∧) и отрицание (′ ). Правило де Моргана (закон
инверсий) позволяет представить конъюнкцию через дизъюнкцию инверсных высказываний и
наоборот: А∧В = (А′∨В′)′ , А∨В = (А′∧В′)′. Логическая матрица есть форма представления
булевых функций, при этом конъюнкции записываются в строку, а дизъюнкции – в столбец,
например:
x ∨ x =
1
2
x
x
1
2
x
1
x
2
x
x
3
4
x
5
=
x x
2 ( x3
∨ x4
x5
Элементарная конъюнкция ранга n – это выражение вида: х1х2х3...хn, где xi = xi или xi = xi′.
Дизъюнкция элементарных конъюнкций называется дизъюнктивной нормальной формой
(ДНФ).
1
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
)
2

Существует несколько форм ДНФ. Если ранги элементарных конъюнкций одинаковы, говорят
о совершенной ДНФ (СДНФ), например: х1х2∨x2′x4. Элементарные конъюнкции ортогональны,
если их произведение равно нулю: x1x2′ и x2x4x3. Если все члены ДНФ попарно ортогональны,
имеет место ортогональная ДНФ (ОДНФ). Бесповторная ДНФ не содержит аргументов с
одинаковыми индексами, например: x2x1∨(x5′∨x4x3′).
Вероятностная функция есть вероятность того, что булева функция истинна: Р{f(x1…xn)} = 1.
Для того, чтобы перейти от булевой функции к вероятностной (т.е. заменить xi на Р{xi = 1}),
следует представить f(x1...xn) в виде:
СДНФ;
ОДНФ;
бесповторной функции в базисе конъюнкция-отрицание.
Процедура анализа
1. Составляется сценарий развития опасности, представляющий собой логико-вероятностную
модель функционирования ИСЗ. Сценарий представляется в виде графа (типа «дерева») и
содержит события трех видов: инициирующие (ИС), промежуточные, конечное.
Инициирующие события (ИС) описывают внешние воздействия на систему (например,
несанкционированные действия нарушителя: преодоление периметра объекта, имитация
процедуры идентификации на контрольно-пропускном пункте и пр.). Промежуточные
события получаются путем логической комбинации двух или более событий. Наиболее
употребительны:
конъюнкция событий (событие на выходе наступает только при наличии событий на обоих
входах);
дизъюнкция событий (событие на выходе наступает при наличии хотя бы одного события
на одном из входов).
Конечное событие описывает опасное состояние системы (например, проникновение
нарушителя на охраняемый объект).
Составление сценария – творческая задача. От того, насколько полно будет описана схема
функционирования системы защиты, учтены причинно-следственные связи между событиями,
зависит качество анализа. Поэтому желательно привлекать к составлению сценария реальных
специалистов-практиков в области охраны объектов. Некоторые эвристические правила
построения логико-вероятностных моделей:
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
3

Составлять сценарий «сверху вниз», т.е. вначале формулировать конечное событие (опасное
состояние, характеризуемое «ущербом большого масштаба»), а потом анализировать, каким
способом система может попасть в это состояние (дедуктивные умозаключения).
Заменять абстрактные события более конкретными. Например, событие «авария из-за
диверсии» является неинформативным, следует разработать его более детально.
Формулировать только те ИС, вероятности которых можно оценить достоверно. Например,
событие «нападение нарушителя 1-го типа» бессмысленно для анализа безопасности, т.к.
его невозможно достоверно оценить.
2. Составляется функция опасности системы y(z1...zn), ее аргументами являются ИС, а
значением – конечное (опасное) событие. Каждый кратчайший путь опасного
функционирования (КПОФ) представляет собой минимальный набор ИС, конъюнкция
(совмещение) которых приводит к опасному состоянию (КПОФ = ∧ zi.). Функция опасности
системы представляет собой дизъюнкцию КПОФ:
y(z1...zn) = ∨ [∧ zi] (1)
3. Функция опасности системы приводится к одной из трех форм (см. выше) и заменяется
вероятностной функцией P{y(z1...zm)} следующим образом:
zi заменяется на P{zi = 1} = Ri;
zi′ заменяется на P{zi′ = 1} = Qi = 1 - Ri.
где Ri – вероятность наступления i-го ИС.
4. Ищется значение вероятностной функции:
Ψ (y) = P{y(z1..zm) = 1} (2)
Формула (2) и определяет степень риска, присутствующего в системе.
Пример применения метода
Рассмотрим систему периметровой защиты объекта, состоящую из:
• сетчатого ограждения типа ССЦП с установленным на нем трибоэлектрическим средством
обнаружения;
• маскируемого сейсмического средства, устанавливаемого в грунт между основным и
внутренним ограждением;
• системы теленаблюдения за запретной зоной периметра;
• людского контрольно-пропускного пункта (ЛКПП), оборудованного тремя тамбур-
шлюзами с идентификацией абонентов по проксимити-картам и ПИН-коду.
Для прохода посетителей по временным пропускам оборудована специальная «нулевая
кабина» рядом с оператором ЛКПП.
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
4

1. Составляем сценарий развития опасности. Целью анализа безопасности системы
периметровой защиты является оценка выполнения ею своей целевой функции. Существует
две тактики действий нарушителя: скрытное проникновение и силовой прорыв. Для
определенности будем рассматривать первую из них. Следовательно, целевой функцией
системы является оценка риска скрытного проникновения нарушителя на охраняемую
территорию.
Ограждение периметра можно преодолеть тремя способами: пролом (механическое
разрушение сетчатого полотна), перелаз, подкоп. Каждому из них соответствует своя
вероятность обнаружения. Проникнуть через ЛКПП можно двумя способами:
• путем «обхода» автоматической системы контроля доступом (СКД);
• через ЛКПП (неправильная идентификация по пропуску).
Уязвимость СКД в нашем случае характеризуется следующими показателями: устойчивостью
проксимити-карты к копированию, вероятностью подбора ПИН-кода (скажем, вероятность
подбора ПИН-кода из 2 цифр с одной попытки равна Pпин = 0,01). Возможны и другие
варианты: завладеть оригинальной картой (хищение, передача под угрозой), подсмотреть
ПИН-код во время набора («устойчивость к наблюдению»), но их не рассматриваем.
Вероятность правильной идентификации человека по пропуску через 4 часа работы составляет
примерно Рчас = 0,4.
Граф сценария развития опасности представлен на рис. 1. Исходные данные для анализа
безопасности приведены в табл. 1.* P(zi = 1) – вероятности ИС, в нашем случае вероятности
скрытного преодоления нарушителя на охраняемую территорию различными способами.
Таблица 1. Вероятности инициирующих событий
Преодоление ограждения периметра, в том числе:
Обозначение ИС P (zi = 1)
- перелаз R1 z1 0,10
- пролом R2 z2 0,05
- подкоп R3 z3 0,15
Необнаружение системой теленаблюдения R4 z4 0,10
Проникновение через ЛКПП:
- неправильная идентификация R5 z5 0,6
- «обход» СКД, в том числе:
- подбор ПИН-кода R6 z6 0,01
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
5

- подделка проксимити-карты R7 z7 0,005
*Приведенный пример носит модельный характер и служит для иллюстрации рассматриваемого метода. В табл.
1 приведены условные (типичные) значения P (zi = 1).
Проникновение
через периметр
Проникновение
на объект
Проникновение
через ЛКПП
z1 z2 z3 z4 z5 z6
- дизъюнкция событий - конъюнкция событий
Рис.1. Граф сценария развития опасности
2. Записываем функцию опасности системы:
y(z1...z7) = z4 (z1∨z2∨z3) ∨(z5∨z6z7)
Представим ее в ДНФ:
y(z1...z7) = z1z4∨z2z4∨z3z4∨z5∨z6z7
ДНФ не является совершенной (разные ранги элементарных конъюнкций), поэтому от нее
нельзя сразу перейти к вероятностной функции (2). Однако из этого выражения хорошо видны
все пути развития опасности: КПОФ1 = z1z4, КПОФ2 = z2z4, КПОФ3 = z3z4, КПОФ4 = z5, КПОФ5 =
z6z7.
Инвертируя (правило де Моргана), получим функцию безопасности системы:
z1'
z2
' z3
' z5
' z6
'
y '(
z1..
z7
) =
z ' z ' z ' z '
4
4
4
7
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
z7
6

Функция безопасности представляет собой конъюнкцию т.н. минимальных сечений
предотвращения опасности (МСПО):
y′ (z1...z7) = ∧ [∨ zi],
где МПСО = ∨ zi.
Каждое МСПО – есть конъюнкция отрицаний ИС, ни один компонент которой нельзя изъять,
не нарушив условий безопасного функционирования системы. Таким образом, модель
эффективного функционирования системы можно представить в виде эквивалентной схемы
параллельного соединения МСПО (рис. 2).
z1’
z4’
z2’
z4’
z3’
z4’
z5’ z6’
Рис.2. Модель эффективного фунционирования ИСЗ
3. Функцию y(z1...z7) заменяем вероятностной функцией. В данном простом примере можно
привести ее к бесповторной функции в базисе конъюнкция – отрицание. Инвертируя y(z1...z7)
последовательно, получаем:
y(z1...z7) = z4 (z1∨z2∨z3) ∨(z5∨z6z7)
z4(z1∨z2∨z3) = z4(z1′z2′z3′)′
z5∨z6z7 =(z5′ (z6z7) ′)′
y(z1...z7) = {[z4(z1′z2′z3′)′]′∧z5′ (z6z7) ′}′ = {ξ1∧ξ2}′
Таким образом, функция y(z1...z7) представлена в виде бесповторной булевой функции в базисе
конъюнкция-отрицание. Переходим к вероятностной функции P{y(z1...zm) = 1}, при этом zi
заменяем на Ri, а zi′ – на Qi = 1 - Ri:
ξ1 = 1 - R4(1 - Q1Q2Q3)
ξ2 = Q5(1 - R6R7)
4. Ищем значение функции (2):
ξ1 = 1 - 0,1(1 - 0,9×0,95×0,85) = 0,97
ξ2 = 0,4 (1 - 0,01×0,005) = 0,4
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
z7’
7

Ψ (y) = P{y(z1...zm)=1} = 1 - ξ1ξ2 = 1 - 0,97×0,4 = 0,612
В результате: Ψ (y) = 0,612 – степень риска, Ξ(y) = 1 - Ψ (y) = 0,388 – уровень защищенности.
Понятно, что основной «вклад» в формирование риска вносит КПОФ4 = z5. Это неудивительно,
т.к. P{КПОФ4 = 1} = 0,6. Отсюда наглядно видно «слабое звено» спроектированной системы
защиты.
Несмотря на учебный характер примера, он хорошо иллюстрирует основные идеи метода.
Модель эффективного функционирования ИСЗ позволяет охватить все «уязвимые» места
системы (путем анализа МСПО или КПОФ), которые необходимо защитить, чтобы обеспечить
безопасное функционирование ИСЗ.
Проблема исходных данных является ключевой для любого аналитического метода.
Невозможность получения достоверных данных может снизить и даже свести на нет
практическую ценность самого хорошего метода. Для логико-вероятностного анализа
исходными являются вероятности ИС:
Ri = P (zi = 1) – вероятность того, что i-е ИС произойдет;
Qi = P (zi′ = 1) – вероятность того, что i-е ИС не произойдет.
При анализе безопасности ИСЗ могут использоваться несколько типов исходных данных:
• тактико-технические характеристики технических средств защиты (по результатам
натурных испытаний), например: вероятность правильного обнаружения нарушителя
средством обнаружения Робн, вероятность ложных тревог Рлт, вероятность Рош2 средства
контроля доступа;
• времена движения сил охраны и нарушителя, времена преодоления физических барьеров и
пр. (также по результатам испытаний или аналитических оценок);
• результаты анализа угроз. Могут оцениваться, исходя из статистики атак или отражать
интуитивные представления о возможности и характере реализации той или иной угрозы,
формализуясь в разного рода «моделях нарушителя» и пр.
Данные первых двух типов носят объективный характер. При грамотно построенной методике
испытаний, добросовестно проведенных расчетах для них в принципе можно получить
достоверные оценки. Данные третьего типа субъективны, т.е. имеют качественно иную
природу.
Какой смысл вкладывается в понятие достоверности? Вероятностная величина есть такая,
значение которой нельзя предугадать заранее, т.е. она не воспроизводится во время опыта. Но
при увеличении числа испытаний она обычно стремится (предел по вероятности) к константе.
Вопрос ставится так – сколько надо сделать испытаний, чтобы с заданной доверительной
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
8

вероятностью утверждать, что исследуемая величина уложится в определенный интервал?
Соответствующий аппарат давно разработан в теории вероятности.
Из сказанного ясно, что следует очень осторожно использовать исходные данные третьего
типа. При невозможности достоверных оценок лучше упрощать модель, чем заниматься
«гаданием на кофейной гуще». Качество метода в значительной степени определяется
качеством исходных данных.
Достоинства и недостатки метода. Выводы
К достоинствам метода относятся следующие:
1. Дает обоснованный количественный критерий качества ИСЗ (в отличие от
«искусственных» методов («взвешенное суммирование», целевая функция и пр.). Можно
рассматривать анализ безопасности как метод многокритериальной оптимизации.
2. Позволяет построить модель безопасного функционирования ИСЗ, определить «уязвимые
места» системы и оценить «вклад» каждого из них, ранжируя их по степени опасности.
3. Позволяет выявить структуру ИСЗ. С точки зрения логико-вероятностных методов систему
любой природы можно отнести к:
структурно-простым (сводятся к параллельным, последовательным, древовидным
моделям);
структурно-сложным (не сводятся к таковым);
ассоциативным (элементы объединены неупорядоченно, по признаку назначения).
ИСЗ – ассоциативная (бесструктурная) система. Элементы в ней объединены целевой
функцией – обеспечением охраны объекта. Анализ безопасности позволяет структурировать
ИСЗ – она может стать структурно-простой и даже (при творческом подходе к разработке
сценария развития опасности) обрести черты структурно-сложной системы.
Недостатки:
1. Трудоемкость логических преобразований при анализе сложных сценариев (переход от
функции опасного состояния (1) к вероятностной функции (2)). Для облегчения вычислений
разработан целый ряд методов (ортогонализации, разрезания, наращивания путей и пр.).
2. Разнородность исходных данных (объективных, поддающихся достоверным оценками и
субъективных, отражающих «ожидания угрозы»).
Таким образом, логико-вероятностные методы являются мощным механизмом анализа
структурно-сложных систем. Их применение для анализа безопасности ИСЗ позволяет
количественно оценить уровень защищенности объекта и является основой для
проектирования эффективных систем защиты.
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru
9

Литература
1. ГОСТ Р 50776-95.Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 4.
Руководство по проектированию, монтажу и техническому обслуживанию.
2. Надежность технических систем и техногенный риск. Под общей редакцией М.И.Фалеева. -
М.: Деловой экспресс, 2002.
3. И.А. Рябинин. Надежность и безопасность структурно-сложных систем. – СПб.:
Политехника, 2000.
10
_______________________________________________________________
Журнал «Специальная Техника»
http://www.st.ess.ru