Использование системы принятия решений для обеспечения информационной безопасности

Вводная часть

Обеспечение состояния защищенности системы – одна из важнейших задач организации. Администратору непросто создать систему защиты, которая смогла бы закрыть все уязвимости и свести риск реализации угроз к минимуму. Еще более непростым является настройка всех средств защиты в зависимости от сложившейся ситуации и возникающих инцидентов. Для решения этой задачи проводится периодический аудит построенной системы защиты.

Автоматизация процесса выбора СЗИ, настройки созданной системы защиты или ее переконфигурирования позволит увеличить эффективность реагирования на попытки нарушения защиты ИС организации, предотвратить ошибки администратора, допускаемые при ручной настройке СЗИ, увеличить скорость принятия управленческих решений по ее защите.

Объектом исследования дипломного проекта является система принятия решений (СПР), а предметом – методы и алгоритмы построения СПР на основе искусственных нейронных сетей, которые применимы не только для своевременного и быстрого анализа больших объемов информации, на основе которого происходит принятие решений, а также для решения задач информационной безопасности (ИБ), в частности, построения и переконфигурации системы защиты.

Выделяют задачи защиты информации, для решения которых применяют CПР:

1. Обнаружение вторжений на АИС.
2. Организация соответствующего информационного реагирования и противодействия вредоносным воздействиям.
3. Проведение периодического активного контроля имеющихся СЗИ.
4. Организация автоматизированного аудита ИБ организации.

На основании вышеперечисленных задач и отсутствия в настоящее время специально предназначенных для целей защиты информации СПР, можно сделать вывод о их востребованности. Необходимо проанализировать современные СПР для выбора наиболее приемлемой для целей ИБ.

Согласно РД «Концепция защиты СВТ и АС от несанкционированного доступа к информации» от 30 марта 1992 г. к основным способам НСД относятся:

1. Непосредственное обращение к объектам доступа.
2. Создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты.
3. Модификация средств защиты, позволяющая осуществить НСД.
4. Внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

Основная часть

Для анализа и выработок предложений в СПР используются разные методы. Это могут быть: информационный поиск, интеллектуальный анализ данных, поиск знаний в базах данных, рассуждение на основе прецедентов, имитационное моделирование, эволюционные вычисления и генетические алгоритмы, нейронные сети, ситуационный анализ, когнитивное моделирование и др. Некоторые из этих методов были разработаны в рамках искусственного интеллекта. Если в основе работы СПР лежат методы искусственного интеллекта, то говорят об интеллектуализированной СПР или ИСПР. Близкие к СПР классы систем – это экспертные системы и автоматизированные системы управления.

Общая структура СПР представлена на (рис. 1).

Рис. 1. Общая структура СПР

Нынешние системы принятия решений используют в своем арсенале следующие основные технологии:

1. Хранилища данных (Data Warehouse). По заданному регламенту в хранилище данных собирается информация из различных источников – баз данных систем оперативной обработки. В хранилище поддерживается хронология: наравне с текущими хранятся исторические данные с указанием времени, к которому они относятся. В результате необходимые доступные данные об объекте управления собираются в одном месте, приводятся к единому формату, согласовываются и, в ряде случаев, агрегируются до минимально требуемого уровня обобщения.
2. Инструменты оперативной (в реальном времени) аналитической обработки информации (On-Line Analytical Processing). В основе концепции оперативной аналитической обработки (OLAP) лежит многомерное представление данных. Термин OLAP ввел E. F. Codd в 1993 году. В своей статье он рассмотрел недостатки реляционной модели, в первую очередь невозможность «объединять, просматривать и анализировать данные с точки зрения множественности измерений, то есть самым понятным для корпоративных аналитиков способом», и определил общие требования к системам OLAP, расширяющим функциональность реляционных СУБД и включающим многомерный анализ как одну из своих характеристик. По Кодду, многомерное концептуальное представление является наиболее естественным взглядом управляющего персонала на объект управления. Оно представляет собой множественную перспективу, состоящую из нескольких независимых измерений, вдоль которых могут быть проанализированы определенные совокупности данных. Одновременный анализ по нескольким измерениям данных определяется как многомерный анализ. Каждое измерение включает направления консолидации данных, состоящие из серии последовательных уровней обобщения, где каждый вышестоящий уровень соответствует большей степени агрегации данных по соответствующему измерению. В этом случае становится возможным произвольный выбор желаемого уровня детализации информации по каждому из измерений. Операция спуска (drilling down) соответствует движению от высших ступеней консолидации к низшим; напротив, операция подъема (rolling up) означает движение от низших уровней к высшим.
3. Инструменты извлечения данных (Data Mining), текстов (Text Mining) и визуальных образов (Image Mining). Интеллектуальный анализ данных (Data Mining) – это процесс поддержки принятия решений, основанный на поиске в данных скрытых закономерностей (шаблонов информации). При этом накопленные сведения автоматически обобщаются до информации, которая может быть охарактеризована как знания.

Одной из самых важных особенностей современных систем поддержки принятия решений является отсутствие возможности оптимизации и ранжирования значений групп показателей на основе их полной совокупности, из-за невозможности существующим математическим методам проводить данные операции. Современные методы требуют предварительного приведения всех критериев к единой числовой оценке.

Способов приведения к единой числовой оценке существует достаточно много, и тот из них, что будет выбран в конечном итоге, может ощутимо повлиять на результаты ранжирования и оптимизации в негативном плане. Необходимо принимать во внимание тот факт, что пользователь, полностью отвечающий высоким требованиям профессионализма в своей области, абсолютно не обязательно должен уметь разбираться в том, какие алгоритмы используется в СПР. Следовательно, все решения, принятые разработчиком в ходе процесса проектирования системы, потенциально могут оказывать влияние на выбор альтернатив. Причем контролировать это влияние пользователь не в состоянии. Описанный выше принципиальный недостаток традиционных СПР, опирающихся лишь на формальные методы свертки, в современных системах сведен к минимуму. Это достигается за счет сопоставления между собой возможных значений групп показателей. Осуществляется этот процесс пользователем в диалоге с системой, а значения сопоставляются в соответствии предпочтениями пользователя. В результате получаем функцию предпочтений, сформированную в системе как результат таких сопоставлений пользователем. В дальнейшем на ее основе осуществляются операции ранжирования и оптимизации. В итоге, формальные методы свертки критериев заменены процедурой определения предпочтений. При этом результаты процедуры выявления предпочтений отражают уникальный подход пользователя к задаче и не подвергаются влиянию со стороны разработчика.

E. Turban выдвинул предположение о списке характеристик идеальной системы принятия решений. По мнению E. Turban идеальная СПР обладает следующими характеристиками:

1. СПР взаимодействует со слабоструктурированными решениями.
2. СПР может быть использована лицами, принимающими решения различного уровня.
3. СПР может быть адаптирована для группового или индивидуального использования.
4. СПР позволяет поддерживать как взаимозависимые, так и последовательные решения.
5. СПР способна поддерживать три фазы процесса решения: интеллектуальную часть, создание и сам выбор.
6. СПР позволяет учитывать различные методы и стили решения, что безусловно будет полезно при решении задачи группой лиц.
7. СПР должна быть гибкой и способной к адаптации к изменениям и организации, и ее внешнего окружения.
8. СПР максимально проста в эксплуатации и модернизировании.
9. СПР повышает эффективность процесса принятия решения.
10. СПР позволяет ЛПР управлять процессом принятия решений с использованием помощи компьютера, но не наоборот.
11. СПР осуществляет поддержку эволюционного использования и способна легко адаптироваться к изменяющимся требованиям.
12. СПР может быть легко создана, если также легко может быть сформулирована логика ее конструкции.
13. СПР способна поддерживать моделирование.
14. СПР способна использовать знания.

На сегодняшний день можно выделить четыре наиболее популярных типа архитектур систем принятия решений:

1. Функциональная СПР.
2. Независимые витрины данных.
3. Двухуровневое хранилище данных.
4. Трехуровневое хранилище данных.

Функциональная СПР (рис. 2) является наиболее простой с архитектурной точки зрения. Такие системы часто встречаются на практике, в особенности в организациях с невысоким уровнем аналитической культуры и недостаточно развитой информационной инфраструктурой.

Рис. 2. Функциональная СПР

Характерной чертой функциональной СПР является то, что анализ осуществляется с использованием данных из оперативных систем.

Преимущества:

1. Быстрое внедрение за счет отсутствия этапа перегрузки данных в специализированную систему.
2. Минимальные затраты за счет использования одной платформы.

Недостатки:

1. Единственный источник данных, потенциально сужающий круг вопросов, на которые может ответить система.
2. Оперативные системы характеризуются очень низким качеством данных с точки зрения их роли в поддержке принятия стратегических решений. В силу отсутствия этапа очистки данных, данные функциональной СПР, как правило, обладают невысоким качеством.
3. Большая нагрузка на оперативную систему. Сложные запросы могут привести к остановке работы оперативной системы, что весьма нежелательно.

Независимые витрины данных (рис. 3) часто появляются в организации исторически и встречаются в крупных организациях с большим количеством независимых подразделений, зачастую имеющих свои собственные отделы информационных технологий.

Рис. 3. Независимые витрины данных

Преимущества:

1. Витрины данных можно внедрять достаточно быстро.
2. Витрины проектируются для ответов на конкретный ряд вопросов.
3. Данные в витрине оптимизированы для использования определенными группами пользователей, что облегчает процедуры их наполнения, а также способствует повышению производительности.

Недостатки:

1. Данные хранятся многократно в различных витринах данных. Это приводит к дублированию данных и, как следствие, к увеличению расходов на хранение и потенциальным проблемам, связанным с необходимостью поддержания непротиворечивости данных.
2. Потенциально очень сложный процесс наполнения витрин данных при большом количестве источников данных.
3. Данные не консолидируются на уровне предприятия, таким образом, отсутствует единая картина бизнеса.

Двухуровневое хранилище данных (рис. 4) строится централизованно для предоставления информации в рамках компании. Для поддержки такой архитектуры необходима выделенная команда профессионалов в области хранилищ данных.

Рис. 4. Двухуровневое хранилище данных

Это означает, что вся организация должна согласовать все определения и процессы преобразования данных.

Преимущества:

1. Данные хранятся в единственном экземпляре.
2. Минимальные затраты на хранение данных.
3. Отсутствуют проблемы, связанные с синхронизацией нескольких копий данных.
4. Данные консолидируются на уровне предприятия, что позволяет иметь единую картину бизнеса.

Недостатки:

1. Данные не структурируются для поддержки потребностей отдельных пользователей или групп пользователей.
2. Возможны проблемы с производительностью системы.
3. Возможны трудности с разграничением прав пользователей на доступ к данным.

В СПР на основе трёхуровневого хранилища данных (рис. 5) хранилище данных представляет собой единый централизованный источник корпоративной информации. Витрины данных представляют подмножества данных из хранилища, организованные для решения задач отдельных подразделений компании.

Рис. 5. Трёхуровневое хранилище данных

Конечные пользователи имеют возможность доступа к детальным данным хранилища, в случае если данных в витрине недостаточно, а также для получения более полной картины состояния бизнеса.

Преимущества:

1. Создание и наполнение витрин данных упрощено, поскольку наполнение происходит из единого стандартизованного надежного источника очищенных нормализованных данных.
2. Витрины данных синхронизированы и совместимы с корпоративным представлением. Имеется корпоративная модель данных. Существует возможность сравнительно лёгкого расширения хранилища и добавления новых витрин данных.
3. Гарантированная производительность.

Недостатки:

1. Существует избыточность данных, ведущая к росту требований на хранение данных.
2. Требуется согласованность с принятой архитектурой многих областей с потенциально различными требованиями (например, скорость внедрения иногда конкурирует с требованиями следовать архитектурному подходу).

Выводы по работе

Таким образом, в результате проделанной работы был выявлен ряд недостатков в системе защиты информации в процессе работы предприятий. Это создает угрозу утечки конфиденциальных данных и создает необходимость применения новых подходов к автоматизации работы сотрудников компании.