August 2013 Download this article as a PDFAbstract

Все чаще нашей критической инфраструктуры управляется и контролируется компьютерами и информационными сетями, которые их соединяют. Кибер террористов и других злонамеренных субъектов понимают экономические и социальные последствия, что успешная атака на этих системах может иметь. Хотя важно, что мы защититься от таких нападений, это столь же необходимо, чтобы мы понимаем, как лучше всего реагировать на них. В статье представлены сильнейший path метод анализа всех возможных путей подверженности риску,-независимо от того, как косвенные или обходных они могут быть-в сетевой модели инфраструктуры и операций. Метод делает прямое использование экспертных знаний о сущности и отношения зависимости без необходимости каких-либо моделирования или любые другие модели. С помощью анализа пути направленного графа модели критической инфраструктуры, планировщики могут моделировать и оценить последствия потенциального нападения и разработки устойчивых ответных мер.

Введение

Комплекс связанность инфраструктуры, процессов, товаров и услуг в нашем обществе порождает риск. Отказ любой конкретной системы или службы может привести к далеко идущим вред, распространяются через сети других систем. Ярким примером этого является электрической электроэнергии, что калека большая часть Онтарио и северо-востоке США в августе 2003 года. Активируя событие ошибка программного обеспечения в системе управления номер в Огайо, и это позволило катастрофические напряжения каскадного через сетку распределения питания. Помимо обычных прямых последствий сбоя питания непредвиденные косвенные последствия наблюдались также в области телекоммуникаций, продуктов питания и транспортных секторов. Например в Детройте, жители потеряли давление воды из-за неудачных насосов в системе водоснабжения. Однако отсутствие давления в системе привело потенциального загрязнения питьевой воды, что привело в «кипятить воду Консультативный» после того, как давление было восстановлено.

Для того, чтобы защитить общество, мы должны связаться с нашими связанности. Модели необходимы для подготовки всех признанных рисков тем, что меры могут быть приняты как устойчивость, насколько это возможно для наших общин, предприятий, правительств и сред.

Как правило анализ рисков, систем связи сложных зависимостей осуществляется с помощью моделирования. (Конструктивное моделирование — это компьютерная программа, в которой программные компоненты имитируют поведение субъектов инфраструктуры. Динамика систем (http://en.wikipedia.org/wiki/System_dynamics) обеспечивает рамки и инструменты для построения конструктивного моделирования. Однако такие модели регулируются математических уравнений, которые трудно калибровки против реального мира. Сбор данных и сложных компьютерных программ необходимы для создания полезной модели. Следовательно имитационные модели, длительным и дорогостоящим.

Эта статья представляет метод, называемый сильнейший path метод, который развивается с момента начала подготовки к решению проблемы 2000 года или «Y2K». Парадигма, а также средства вычисления и вывода графики функций, осуществляется под торговой маркой RiskOutLook как на базе java программное обеспечение, доступное исключительно из глубокой логики решения Инк

Сильнейший path метод сажен все потенциальные пути воздействия риска,-независимо от того, как косвенные или обходных они могут быть-в сетевой модели инфраструктуры и операций. Метод делает прямое использование экспертных знаний о сущности и отношения зависимости без необходимости каких-либо моделирования или любые другие модели. Он может однако, включать результаты моделирования и других моделей, если они доступны.

Эта статья представит метод сильнейших пути как моделирования парадигма, основанная на анализе риска, который использует путь анализа в сети представление сущностей и связей в среде интерес. Статья начинается с описания основных идей в парадигме. Далее он предоставляет справочную информацию по анализу рисков и пути анализа в представлениях сетей с целью разработки инструментов для анализа рисков, используемый в методе сильнейших path. Далее пример проблемы используется для демонстрации практического использования метода и инструментов. И наконец рассматриваются последствия такого подхода для плановиков и руководителей и предоставляются выводы.

Моделирование парадигмы

Современное общество можно рассматривать как совокупность сетей, которые пересекаются и взаимодействуют друг с другом. Есть транспортные сети, сети связи, энергетических сетей, производственно-сбытовых цепочек, распределительных сетей, социальных сетей, кибер сетей и так далее. В частных предприятий и государственной службы, от национального уровня до уровня местных общин планировщики обычно делят их планирование домена на последовательной подгруппы, называемых секторами. Например на провинциальном уровне чрезвычайного планирования в Онтарио, Канада, определены следующие сектора:

  • Питание
  • Вода
  • Электричество
  • Связь
  • Здравоохранение
  • Финансы
  • Природный газ
  • Масло
  • Транспорт
  • Правительство
  • Общественная безопасность и безопасность

Каждый сектор принимает материалы из других секторов и с помощью актеров и деятельности производит выходы, которые в свою очередь приняты в качестве вклада других секторов. Кроме того, есть внутренние и внешние элементы управления и правила, которые регулируют деятельность любого сектора, а также мониторинга и проверки агентов, кто наблюдает за деятельностью и процессами.

Планировщики описывают свои домены с точки зрения актеров, действия, элементы управления, агенты, входы и выходы, которые существуют в их секторе. Для целей анализа рисков отдельных и значимых субъектов, которые существуют в секторе будет передан как сущности. Взаимодействие между двумя сущностями называют отношения. Используя математический объект, известный как направленный граф, RiskOutLook создает сеть модель сущностей и связей, воплощающим планировщик домена. Сущности будут моделироваться как узлы в графе и отношения будут смоделированы как ссылки в графе, которые называются краями. Потому что все края имеют направление от одной сущности к другой, граф является направленный граф.

Зависимость — особый тип отношения, в котором транзакция между двумя сущностями. Транзакция может быть физическое (например, электричество или вода) или non физические (например, данных или инструкций). Риски в нашем обществе, которые в результате связности можно охарактеризовать как вытекающие из отношений зависимости. Сила отношения измеряется по весу, называется степень зависимости.

Прямая зависимость отношения хорошо изучены экспертами домена; косвенных зависимостей являются более сложными. Моделирование и анализ необходимо проверить или исправить интуиции и обобщения экспертных знаний во всеобъемлющую оценку последствий прямых и косвенных зависимостей и связанных с этим рисков.

Риск и анализ зависимостей

Для целей анализа инфраструктуры риск является возможность потери (Роу, 1988). Сильнейший path метод описывает потери с помощью двух измерений: i) степень воздействия и ii) вероятности возникновения. Метод затем приступает к совокупных оценок совокупного воздействия, в результате нескольких путей воздействия потери через пути в модели сети.

Оценки вероятности возникновения могут быть сделаны с точки зрения «степень веры» или «экспертное заключение». Для целей моделирования инфраструктуры опыт показывает, что масштаб высокий, средний и низкий является достаточным. Высокой вероятности события считаются более чем 80% вероятности возникновения и низкой вероятности события считаются менее 20% вероятности возникновения в течение интервала времени рассматриваемого; Поэтому все остальные события имеют средней вероятности возникновения. Более сложные модели могут быть созданы для ситуаций, которые развиваются несколько временных интервалов.

Инфраструктура называется «fail» если она падает ниже порогового уровня ожидаемых или требуемых результатов. Из этого определения мы разрабатываем следующие критерии степени прямой зависимости:

  1. Если сбой сущности x неизбежно приводит к сбою сущности y, то y имеет высокий прямая зависимость x, и наоборот x имеет высокое прямое влияние на y.
  2. Если сбой сущности x приводит к деградации сущности y до того, что y должны принять резервный план или прибегать к альтернативной операционной процедуры для того, чтобы остаться выше ожидаемого порога, то y имеет средний прямая зависимость на x и наоборот x имеет средне непосредственное влияние на y.
  3. Если сбой сущности x приводит к значительной деградации y сущности, но y может оставаться выше ожидаемого порога без значительного изменения процедуры, то y имеет низкий прямая зависимость x и наоборот x имеет низкое прямое воздействие на y.
  4. Если отказ лица x не приводит к значительной деградации сущности y, то y имеет нулевой прямой зависимости x и наоборот x имеет нулевое прямое влияние на y.

Направленный путь в направленный граф представляет собой последовательность узлов со свойством, что каждый узел последовательности подключен к своему продолжателю по краю. Например, на рисунке 1 {s→w→x→y} — направленный путь, тогда как {s→w→x→v}, поскольку {x→v} не существует.

Рисунок 1

Рисунок 1. Ориентированный граф с взвешенных краями (красный/твердые = высокое влияние, оранжевый/барашек = среднего воздействия, желтый/пунктир = низкое воздействие)

Для того, чтобы получить метод оценки влияния каждого узла в графе на все узлы в графе, используется путь анализа. В частности, анализ будет использоваться для идентификации пути наиболее сильное воздействие, с любого узла x для любого узла y (включая x сам). Пути наиболее сильное воздействие, называют сильнейшим путей. Чтобы визуально показать силу воздействия направленного графа (например, рис. 1), края кодируются следующим образом: красный/твердые для высокого удара, оранжевый/штриховые для среднего воздействия и желтый/пунктиром для низкого удара.

Мы описали эффект высокого непосредственное влияние события на прямой зависимости. Однако нам также необходимо оценить влияние среднего прямого воздействия и низкое прямое воздействие на прямой зависимости. Есть еще два аспекта для этой оценки: i) степень пусковым воздействия событий и ii) степень прямой зависимости.

Это разумно ожидать, что сильное активируя событие будет иметь незначительное влияние, если степень зависимости является низким, в то время как даже относительно слабым инициирующим событием будет ощущаться, если высока степень прямой зависимости. Таким образом, мы оцениваем, что распространяемые воздействие может быть не выше меньшее пусковым степени воздействия и степень зависимости. Например согласно этому принципу, средней степени активируя влияние, действуя более низкой степени прямая зависимость вызовет низкое воздействие, поскольку степень прямой зависимости является низким, в то время как средне воздействия триггера, действуя более высокой степени прямой зависимости может вызвать среднего воздействия из-за высокой степени прямой зависимости.

Как мы продвигаемся по пути на рисунке 1, наше правило распространения сравнивает наименьшей степени края мы не сталкивались с степенью следующего края на пути и задает пусковым степень влияния на меньшее значение. Таким образом косвенная зависимость любого узла на другой узел вдоль выбранного пути определяется наименьшей степени края по этому пути. Например рассмотрим график на рисунке 1 и все пути подключения s к t. Эти четыре пути показаны на рисунке 2 и можно описать следующим образом:

  • Путь 1 = {s→t}
  • Путь 2 = {s→w→x→y→z→t}
  • Путь 3 = {s→u→v→x→y→z→t}
  • Путь 4 = {s→u→y→z→t}

Рисунок 2

Рисунок 2. Все пути подключения s к t в графе, показанный на рисунке 1

Использование правила распространения, мы находим, что влияние s на t из пути 1 низкая по (s, t), влияние s на t из пути 2 является средней по (s, w) и (x, y), влияние s на t от Path 3 является низким по (u, v) и (v, x)и влияние s на t является высоким из 4 пути в силу всех его краев, является высокая степень. Таким образом косвенная зависимость t на s высокий и самый сильный путь — это путь 4.

Исходя из прямого воздействия и вероятности отказа каждого узла в сочетании с возможностью измерения сильнейших путь от одного узла к любой другой, мы можем вычислить другие полезные метрики. Для узлов x и z в любой направленный граф, мы можем вычислить:

  1. Сильный путь воздействия x на z: Это сильный путь степень зависимости z от x, умноженный на прямое воздействие x.
  2. Совокупное воздействие x на z: Это включает термин для каждого пути, который существует от x до z. Аналогично функции биномиальное вероятности, этот показатель усугубляет последствия всех терминов.
  3. Глобальное воздействие x на весь граф: Под «глобальным», мы подразумеваем влияние любого узла x на всей диаграмме. Этот показатель рассчитывается влияние x на каждый узел z в графе и суммирование условий.
  4. Глобальная уязвимость x из всего графа: Совокупное уязвимость x со всех узлов в модели является биномиальное вероятность того, что вызовет сбой события любого узла x к сбою.
  5. Индекс риска х: Индекс риска сущности является продуктом глобального воздействия сущности времени ее глобальной уязвимости. Эта метрика предоставляет единый Оценка для сравнения риска среди всех сущностей в модели.

И наконец мы опишем, как найти сильный путь степень зависимости между всеми парами узлов. Путем адаптации любой «кратчайший путь» алгоритм мы можем найти сильный путь от любого узла x z узел следующим образом:

  1. В графе удалите все края, за исключением высокой степени.
  2. Если кратчайший путь от x до z существует, то это сильный путь и z имеет высокую зависимость от x.
  3. В противном случае установите края средней степени в граф.
  4. Если кратчайший путь от x до z существует, то это сильный путь и z имеет средний зависимость от x.
  5. В противном случае установите низкой степени края в граф.
  6. Если кратчайший путь от x до z существует, то это сильный путь и z имеет низкая зависимость от x.
  7. В противном случае z имеет нулевой зависимость от x.

Практическое применение метода

В этом разделе мы используем модель сети пример для иллюстрации практического использования метода сильнейших пути. Пример, показанный на рисунке 3, — небольшой инфраструктуры модель с 10 организациями: Питьевая вода, местного распределения электроэнергии, природного газа для хранения и транспорта, Услуги скорой помощи, местных ресторанов и кафе, распределение местных продуктов питания, фермы производства продовольствия, здравоохранения Канады/продовольственной инспекции, больницы & клиники и кибер сетей.

Для каждого из этих сущностей, степень воздействия была пропорционально распределена, как указано номер на левой стороне каждого узла на рисунке 3: высокая (Оценка = 7, темно-оранжевый), средний (Оценка = 5, оранжевый), или низкий (Оценка = 3, желтый). Кроме того, вероятность неудачи была пропорционально распределена для каждой сущности, как указано номер на правой стороне каждого узла: высокая (Оценка = 7, темно оранжевая рамка), средний (Оценка = 5, оранжевая граница), или низкий (Оценка = 3, желтая граница).

Рисунок 3

Рисунок 3. Модель небольшой инфраструктуры

Есть 30 прямой зависимости отношения, которые были забил высокий (оценка = 9, красные края), средний (Оценка = 5, оранжевые края) и низкая (Оценка = 3, желтые края). Все сущности, за исключением местных электрического распределения были оценены как средне зависимость от кибер сетей. Местного распределения электроэнергии, однако, был забит как имеющий высокую зависимость от кибер сетей.

После того, как осуществляется путем анализа и оценки для глобальной уязвимости и глобального воздействия вычисляются, гистограмма показателей риска могут создаваться, как показано на рисунке 4. Столбцы представляют собой индекс риска оценки аранжировано от низкий балл высокий балл, слева направо. Высоким риском сущность в модели является локальной электрической распределения. Второе высшее сущность является местное распределение продовольствия. На средний уровень риска являются три подразделения: Здравоохранения Канады/продовольственной инспекции, местных ресторанов и кибер сетей. Остальные сущности имеют относительно низкий уровень риска.

Рисунок 4

Рисунок 4. Гистограмма показателей риска для модели, показанной на рис. 3

Несмотря на то, что кибер сетей оценивается как средний уровень риска в модели, мы все еще можем оценить все обусловленные этим последствия были на провал. На рисунке 5 показана под сеть отношений высокой зависимости в модели.

Рисунок 5

Рисунок 5. Отношения высокой зависимости для примера модели, показанной на рис. 3

Из этой подсети мы можно изолировать пути высокой отдачи, вытекающих из кибер сетей сущности, как показано на рисунке 6.

Рисунок 6

Рисунок 6. Пути высокой отдачи от кибер сетей сущности для модели, показанной на рис. 3

Хотя только местные распределения электроэнергии имеет высокую прямую зависимость киберсетей, на рисунке 6 показано, что местные распределения продовольствия, местных продуктов питания розетки, больницы & клиники и службы скорой помощи будут все не если бы киберсетей неудачу.

Обсуждение

Сильнейший path метод предоставляет инструмент для оценки и определения приоритетности рисков. Индекс риска обеспечивает глобальную степень риска для каждой сущности в модели. Это описание риска имеет стратегическое значение для директивных органов в том, что он дает им стратегические приоритеты каждой сущности.

Кроме того с сильным path метод глобального воздействия и глобальную уязвимость каждой сущности в модели оценивается так что отдельных приоритетов – на основе воздействия или уязвимости — для лиц, принимающих решения. Таким образом любой сценарий высокого воздействия можно определить, независимо от того, как вряд ли это произойти. С другой стороны возможные ситуации запускающего события для сценариев, вряд ли можно определить из пути анализа.

С сильнейшим path метод оценивается влияние каждого узла на каждом узле в модели. Следовательно лица, принимающие решения можно сделать планы на основе выявленных путей подверженности риску. Планы снижения рисков и чрезвычайных планов могут принимать во внимание цепочки событий, которые в противном случае могли бы остались незамеченными.

Модель на основе метода сильнейших пути можно сделать настолько подробными, как это требуется для принятия решений требований проектировщиков или менеджеров, которые будут использовать его. Сущности должны включать уровень детализации, которая имеет важное значение в условиях интереса. Например кибер сети могут быть смоделированы на уровне отдельных серверов и компьютеров, а также прямые соединения, которые связывают их вместе. Эта модель может также включать сущности и связи, что источники питания модель и распределение власти.

В ситуациях, когда сущности и отношения изменяются с течением времени ориентированной на время модель может быть построена с использованием интервалов времени, которые представляют периоды, когда изменения не происходят среди сущностей и связей. Например рассмотрим больницу, которая имеет генератор резервного питания с 36 часов топлива для поддержания его во время сбоя питания. При t = 0, больница имеет средней зависимости от распределения местного питания из-за своей резервной системы. Как только начинается сбой питания, он имеет высокую зависимость от резервного генератора до t = 36 часов. К этому времени он должен приобрести больше топлива или его необходимо выключить и считается потерпели неудачу, если низкая вероятность наличия топлива к тому времени. Все сущности с высокой зависимостью от этой больницы, также не будет работать на t = 36 часов.

Заключение

Сильнейший path метод является парадигмой для моделирования инфраструктуры риска с помощью направленного графа. Модели создаются из сущностей, которые оцениваются с степенью воздействия и вероятности отказа, а также отношения зависимости между сущностями, которые забил за степень зависимости в соответствии с четко определенными критериями.

Парадигма позволяет знания экспертов, которые будут использоваться для анализа рисков инфраструктуры. Результаты других аналитических моделей, таких как моделирование, также могут быть включены в модель. В результате выполнения анализа пути, такие модели выявить потенциальные последствия невыполнения любого субъекта на всех остальных. Это позволяет на случай непредвиденных обстоятельств планировщикам предвидеть все результаты в любой ущерб инфраструктуре.

Метод сильнейших пути и RiskOutLook программного обеспечения в настоящее время используются аварийного управления Онтарио для управления рисками в критической инфраструктуры. Провинции Нью-Брансуик и Саскачеван скоро начнет проекты по созданию аналогичных моделей инфраструктуры.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
1 голосов были поданы, с средняя оценка 5 звезд

Ключевые слова: критической инфраструктуры, кибербезопасности, направленный граф, моделирование, анализ пути, анализ рисков, моделирование, метод сильнейшим пути

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.