The aim of this article is to create a model that simulates the ergatic system operation for controlling information exchange and evaluates its adequacy to the current system. Since in the modern world there is rapid technology development and the volume of the processed information is increasing, the control over information resources is becoming a key aspect, which determines the article relevance. An analysis of Info Watch’s 2022 information leak statistics is presented to better understand the scale of the problem. The subsystem for monitoring image leaks of the ergatic information exchange control systems is analysed. A model made in the CPN-Tools simulation environment is considered, which will allow examining in detail the presented system operation. This model will give the opportunity to evaluate how effective the information exchange control system is in real conditions. At this stage, it will be possible to gain deeper understanding of how the system works and what measures can be taken to improve its functionality. This article makes an important contribution to the field of information control and data security by proposing a methodology and tools for analysing and improving ergatic information exchange control systems.
image leakage, image leakage control subsystem, ergatic information exchange control system, DLP system, protected automated system
Введение
В современном информационном обществе защита данных и информационная безопасность стали приоритетными задачами для организаций и пользователей. В этом контексте использование автоматизированных систем в защищенном исполнении
(АСЗИ), способных эффективно решать проблемы защиты информации, становится все более актуальным. Одной из таких систем является Data Leakage Prevention система (DLP-система) Traffic Monitor. DLP-система контролирует информацию, циркулирующую в сегментах сети передачи данных и локальных персональных электронных вычислительных машинах (ПЭВМ) персонала организации, с целью предотвращения утечек конфиденциальной информации (КИ) и информации, составляющих коммерческую тайну (ИСКТ). Так как у названия DLP-системы нет нормативно-закрепленных понятий, будем называть ее системой контроля информационного обмена (КИО).
Необходимо отметить, что функции системы КИО являются инструментом, посредством которого операторы системы осуществляют свою деятельность в части предотвращения утечек информации. Взаимодействие системы КИО и операторами заключается в выявлении системой в открытом сегменте сети передачи данных (ОС СПД) и ПЭВМ пользователей КИ и ИСКТ.
Результат работы системы КИО проверяет дежурная смена экспертов и фиксирует количество ложноположительных срабатываний или ошибок I-го рода системы. Данные ошибки устраняются путем дообучения классификатора системы КИО промышленно-производственным персоналом.
Так как операторами и экспертами системы выполняется практическая деятельность, при которой проводится интеллектуализированная человекоинформационная связь с системой КИО, то полученный функциональный процесс образует эргатическую систему [6].
На основании вышесказанного, введем термин – эргатическая система контроля информационного обмена (ЭС КИО).
Эргатическая система контроля информационного обмена состоит из ряда подсистем, обеспечивающих предотвращение утечек всех видов информации, в том числе и графической – в виде изображений и графиков.
В данной статье мы рассмотрим модель функционирования подсистемы контроля утечек изображений (ПКУИ) ЭС КИО, а также ее возможности и перспективы в сфере информационной безопасности.
Актуальность
В современном мире в силу конфликтной военно-политической обстановки ужесточаются требования к защите информации, растет объем задач и, как следствие, растет объем обрабатываемой информации. В связи с этим, повышается сложность выполнения работ в данной области и проявляется нехватка человеческих ресурсов. Поэтому АСЗИ могут столкнуться с рядом сложных задач в части обработки больших объемов данных и расширения систем информационной безопасности, которые в свою очередь могут повлечь за собой повышенные риски утечки информации как по субъективным, так и объективным причинам.
По представленному в табл. 1 годовому отчету по отраслевому распределению утечек информации в России, подготовленному компанией InfoWatch [1], можно заметить, что доля утечек информации, произошедших в области высоких технологий составила 28,8 %.
Таблица 1
Отраслевое распределение утечек информации в России за 2022 год
Table 1
Industry distribution of information leaks in Russia for 2022
№ п/п Наименование отрасли Процент от общего количества утечек
1 Банки и финансы 7,3 %
2 Высокие технологии 28,8 %
3 Госорганы и силовые структуры 9,7 %
4 Другое/неопределено 15,5 %
5 Здравоохранение 1,7 %
6 Муниципальные учреждения 3,0 %
7 Образование 4,9 %
Подавляющее количество утечек информации, как представлено на рис. 1, относится к умышленным утечкам – 78,1 % от общего количества утечек за 2021 год и 79,5 % от общего количества утечек за 2022 год.
Рис. 1. Соотношение случайных и умышленных утечек информации среди нарушений внутреннего характера
Fig. 1. The ratio of accidental and intentional information leaks among internal violations
Перед ЭС КИО ставятся задачи по идентификации и классификации КИ и ИСКТ, контролю доступа к информации, мониторингу, обнаружению и предотвращению утечек КИ и ИСКТ, аудита и анализа данных и т.д. Каждая из задач выполняется соответствующей подсистемой ЭС КИО ВН.
Далее мы рассмотрим ПКУИ ЭС КИО, задачей которой является обнаружение изображений, содержащих КИ и ИСКТ на локальных ПЭВМ и предотвращение их утечек как случайных, так и умышленных по каналам ОС СПД организаций.
Модель ПКУИ ЭС КИО
Поэтапно опишем работу ПКУИ ЭС КИО (далее – подсистема):
Шаг 1. DLP-система сканирует трафик ОС СПД организации, а также локальные ПЭВМ пользователей на предмет наличия изображений.
Шаг 2. Обнаруженные изображения попадают в ПКУИ ЭС КИО, где с помощью искусственной нейронной сети (ИНС) определяется наличие в них КИ и/или ИСКТ.
Шаг 3. В случае наличия изображений, содержащих КИ и/или ИСКТ, они передаются на обработку операторам ПКУИ ЭС КИО для проверки точности работы ИНС, в противном случае, изображения покидают ПКУИ ЭС КИО.
Шаг 4. При подтверждении операторами наличия в изображении КИ и/или ИСКТ, оно передается на рассмотрение экспертам, в противном случае, изображение покидает ПКУИ ЭС КИО с отметкой об ошибке классификации ИНС (ошибка I-го рода).
Шаг 5. При подтверждении экспертами наличия в изображении КИ и/или ИСКТ, оно считается обработанным и передается установленным порядком в другие отделы организаций согласно установленных компетенций, в противном случае, изображение покидает ПКУИ ЭС КИО с отметкой об ошибке классификации ИНС и оператором (ошибка I-го рода).
Таким образом, работа ПКУИ ЭС КИО включает в себя три условных уровня проверки изображений, что позволяет предотвращать их утечку в случае наличия в них КИ и/или ИСКТ.
Для формализованного описания и анализа причинно-следственных связей рассматриваемой подсистемы будем использовать математический аппарат сетей Петри. Далее построим ее модель в виде графа N-схемы, который является двудольным ориентированным мультиграфом [7]. Он представляет собой совокупность позиций и переходов, представленных на рис. 2.
Рис. 2. Граф N-схемы ПКУИ ЭС КИО
Fig. 2. N-scheme graph of ILCS ES DLP
Сеть Петри состоит из множества позиций P={p_q }, где q={1"," …,11} и является мощностью множества P; множества переходов T={t_w }, где w={1,…,13} и является мощностью множества T; входной функции I и выходной функции O [2].
Начальная маркировка (вектор разметки) имеет вид μ_0= {1,0,0,1,0,0,1,0,0,0,0}, где единицами обозначены фишки в позициях p_1,〖 p〗_4 и p_7, обозначающие изображение, поступившее в ПКУИ ЭС КИО, ошибку I-го рода оператора и ошибку I-го рода эксперта соответственно.
В табл. 2 опишем функциональное назначение процессов ПКУИ ЭС КИО.
Таблица 2
Описание позиций и переходов процессов функционирования ПКУИ ЭС КИО
Table 2
Description of positions and transitions of ILCS ES DLP functioning processes
Описание позиций Описание переходов
p1 ПКУИ ЭС КИО в готовности получить изображение от DLP-системы t1 Обнаружение изображения DLP-системой в ОС СПД или ПЭВМ организации
p2 ИНС ПКУИ ЭС КИО определяет наличие КИ и/или ИСКТ в изображении t2 ПКУИ ЭС КИО принимает в обработку поступившее изображение
p3 Оператор готов принять изображение от ИНС t3 Получение изображения, не содержащее
КИ и/или ИСКТ от ИНС ПКУИ ЭС КИО
p4 Ошибка I-го рода оператора t4 Получение изображения,
содержащее КИ и/или ИСКТ от ИНС
ПКУИ ЭС КИО
p5 Оператор определяет
наличие КИ и/или ИСКТ в изображении t5 Оператор принимает в обработку
поступившее изображение
p6 Эксперт готов принять изображение от ИНС t6 Вероятность ошибки I-го рода оператора
p7 Ошибка I-го рода эксперта t7 Получение изображения,
содержащее КИ и/или ИСКТ от оператора
p8 Эксперт определяет
наличие КИ и/или ИСКТ в изображении t8 Эксперт принимает в обработку
поступившее изображение
p9 Изображение, содержащее КИ и/или ИСКТ обработано t9 Вероятность ошибки I-го рода эксперта
p10 Получение от оператора и/или эксперта неверно классифицированного изображения (ошибка I рода) t10 Получение изображения,
содержащее КИ и/или ИСКТ от эксперта
p11 Изображение, не содержащее
КИ и/или ИСКТ обработано t11 Получение изображения,
не содержащее КИ и/или ИСКТ от оператора
t12 Получение изображения,
не содержащее КИ и/или ИСКТ от эксперта
t13 Получение изображения, не содержащее КИ и/или ИСКТ от дежурной смены
На основании вышеописанных позиций и переходов, создадим соответствующие им математические модели. Функция входных позиций перехода имеет вид:
D_1={D_1 (t_2),D_1 (t_3),D_1 (t_4),D_1 (t_5),D_1 (t_7),D_1 (t_8),D_1 (t_10),D_1 (t_11),D_1 (t_12),D_1 (t_13)}, (1)
где: D_1 (t_2 )={p_1 };D_1 (t_3 )={p_2 };D_1 (t_4 )={p_2 };D_1 (t_5 )={p_3,p_4 };D_1 (t_7 )={p_5 };D_1 (t_8 )={p_6,p_7 };D_1 (t_10 )={p_8 };D_1 (t_11 )={p_5 };D_1 (t_12 )={p_8 };D_1 (t_13)={p_10}. (2)
Функция выходных позиций перехода имеет вид:
D_2={D_2 (t_1 ),…,D_2 (t_13)} (3)
где: D_2 (t_1 )={p_1 };D_2 (t_2 )={p_2 };D_2 (t_3 )={p_11 };D_2 (t_4 )={p_3 };D_2 (t_5 )={p_5 };D_2 (t_6 )={p_4 };D_2 (t_7 )={p_6 };D_2 (t_8 )={p_8 };D_2 (t_9 )={p_7 };D_2 (t_10 )={p_9 };D_2 (t_11 )={p_10 };D_2 (t_12 )={p_10 };D_2 (t_13)={p_11} (4)
Для представления всех возможных связей между позициями и переходами сети Петри создадим матрицу инцидентности – табл. 3. С помощью нее предоставляется возможность определить, какие переходы могут активироваться из текущих позиций, что впоследствии поможет нам моделировать поведение системы и определить, какие переходы могут произойти при заданных условиях. Также мы сможем проанализировать свойства нашей сети Петри, такие как достижимость, активность и ограниченность.
Таблица 3
Матрица инцидентности сети Петри
Table 3
Petri net incidence matrix
p_1 p_2 p_3 p_4 p_5 p_6 p_7 p_8 p_9 p_10 p_11
t_1 1 0 0 0 0 0 0 0 0 0 0
t_2 -1 1 0 0 0 0 0 0 0 0 0
t_3 0 -1 0 0 0 0 0 0 0 0 1
t_4 0 -1 1 0 0 0 0 0 0 0 0
t_5 0 0 -1 -1 1 0 0 0 0 0 0
t_6 0 0 0 1 0 0 0 0 0 0 0
t_7 0 0 0 0 -1 1 0 0 0 0 0
t_8 0 0 0 0 0 -1 -1 1 0 0 0
t_9 0 0 0 0 0 0 1 0 0 0 0
t_10 0 0 0 0 0 0 0 -1 1 0 0
t_11 0 0 0 0 -1 0 0 0 0 1 0
t_12 0 0 0 0 0 0 0 -1 0 1 0
t_13 0 0 0 0 0 0 0 0 0 -1 1
В результате анализа матрицы инцидентности установлено, что данная сеть обладает свойствами:
1) достижимости, т.к. имеется хотя бы одна возможная траектория достижения маркера начальной позиции μ_0 в μ_q, где q = 11;
2) активности, т.к. возможно срабатывание любого перехода данной сети из множества T={t_w }, где w = 13;
3) ограниченности, т.к. в процессе функционирования сети во всех позициях наблюдается число маркеров, не превышающее заданное.
Для оценки адекватности модели действующей системе, в среде CPN-Tools, была разработана имитационная модель ПКУИ ЭС КИО.
Для проверки адекватности необходимо сравнить статистические характеристики выборочной совокупности классифицированных изображений, полученные имитационной моделью, и характеристики генеральной совокупности классифицированных изображений. В качестве характеристик генеральной совокупности классифицированных изображений будем считать статистические данные, представленные специалистами организации.
Рис. 3. Имитационная модель ПКУИ ЭС КИО
Fig. 3. Simulation model of ILCS ES DLP
В табл. 4 представлены вычисленные статистические данные выборочной и гипотетической генеральной совокупностей классифицированных изображений.
Таблица 4
Статистические данные выборочной и гипотетической генеральной совокупностей классифицированных изображений
Table 4
Statistics of sample and hypothetical populations of classified images
№ п/п Наименование характеристики Статистические данные выборочной совокупности
классифицированных изображений, при количестве прогонов n=1111 имитационной модели Статистические данные генеральной совокупности классифицированных изображений
1 Дисперсия классифицированных изображений D_в=0,044614 D_г=0,049296
2 Среднее квадратическое
отклонение классифицированных изображений σ_в≈0,211 σ_г≈0,222
3 Выборочная средняя классифицированных изображений x ̅_в=0,0468 x ̅_г=0,052
Выборочная средняя классифицированных изображений x ̅_в выборочной совокупности классифицированных изображений является несмещенной оценкой выборочной средней классифицированных изображений x ̅_г генеральной совокупности классифицированных изображений, тогда:
M(X ̅_в )=a (5)
где X ̅_в – среднее арифметическое одинаково распределенных случайных величин выборочной совокупности классифицированных изображений.
Приняв во внимание, что каждая из величин X_в имеет то же распределение, что и генеральная совокупность классифицированных изображений, заключаем, что числовые характеристики этих величин и генеральной совокупности классифицированных изображений одинаковы. В частности, математическое ожидание a каждой из величин равно математическому ожиданию признака X_г генеральной совокупности классифицированных изображений:
M(X_г )=x ̅_г=a (6)
Заменив в формуле (5) математическое ожидание a на x ̅_г, окончательно получим:
M(X ̅_в )=x ̅_г (7)
Далее воспользуемся критерием проверки нулевой гипотезы H_0:a=a_0. Учитывая, что выборочная средняя классифицированных изображений является несмещенной оценкой генеральной средней классифицированных изображений, нулевую гипотезу можно записать так:
M(X ̅_в )=a_0 (8)
Таким образом, требуется проверить, что математическое ожидание выборочной средней классифицированных изображений равно гипотетической генеральной средней классифицированных изображений.
По формуле (9) найдем наблюдаемое значение критерия проверки нулевой гипотезы:
|U_набл |=(x ̅_в-a_0)√n⁄σ_в (9)
Подставив полученные значения в формулу (9), получим:
|U_набл |=(0,0468-0,052)∙33,33⁄0,211=0,821.
По условию, конкурирующая гипотеза имеет вид a≠a_0, поэтому критическая область – двусторонняя.
По формуле (10) найдем критическую точку u_кр:
Ф(u_кр )=((1-β))⁄2 (10)
где β – уровень значимости, т.е. вероятность совершить ошибку I-го рода при отвержении верной нулевой гипотезы. Получим Ф(u_кр )=((1-0,01))⁄2=0,495. По таблице функции Лапласа находим u_кр=2,58.
Так как |U_набл |<u_кр – нет оснований отвергнуть нулевую гипотезу, другими словами, выборочная и гипотетическая генеральная средние классифицированных изображений различаются незначимо. Таким образом, была доказана адекватность имитационной модели действующей системе.
Далее определим минимальное число прогонов имитационной модели. Так как случайные значения выходных характеристик имитационной модели некоррелированны и распределены одинаково, то число прогонов N имитационной модели, необходимое для того, чтобы истинное среднее x0 классифицированных изображений с вероятностью (1-γ), где γ – надежность оценки результатов работы модели, лежало в интервале y ̅±b, определяется следующим образом [3]:
N=(Z_(x⁄2)^2∙ σ_x^2)/b^2 (11)
где Z_x^2 – квантиль порядка γ⁄2 стандартного нормального распределения; σ_x^2 – дисперсия случайной величины x; b – доверительный интервал.
Так как значение дисперсии случайной величины до начала имитационного эксперимента и выборочное среднее уже определены, то вычислим предварительную оценку необходимого числа прогонов N, подставив значения в (11):
N=(〖2,58〗^2∙ 0,044614)/〖0,01〗^2 ≈2969,
где 2,58 – значение из таблицы интегральной функции Лапласа, т.к. квантиль порядка γ⁄2=0,99/2=0495.
Таким образом, для проверки точности имитационной модели, определяющую количество изображений, содержащих и не содержащих КИ и/или ИСКТ необходимо выполнить 2969 прогонов.
Заключение
Анализируя тенденции утечек информации в сфере информационной безопасности, требования, предъявляемые к АСЗИ и обеспечению информационной безопасности, и возможности ПКУИ ЭС КИО, мы можем сделать вывод о том, что представленные функции системы являются мощным инструментом, обеспечивающим предотвращение утечек информации, в сфере информационной безопасности.
Проанализировав имитационную модель, представленную в статье, и доказав ее адекватность действующей системе и определив точность модели, мы предоставляем возможность разработать на ее основе новые модели и алгоритмы повышения эффективности функционирования ПКУИ ЭС КИО, например, таких как снижение ложноположительных и ложноотрицательных срабатываний системы и перераспределение ее ресурсов [5].
1. Analysis of the Information Security Industry [Internet]. 2023 [cited 2023 Oct 15]. Available from: https://www.infowatch.ru/analytics/utechki-informatsii
2. Peterson J. Petri Net Theory and the Modelling of Systems. Moscow: Mir; 1984.
3. Utkina VF, Kryuchkova YuV, editors. Reliability and Efficiency in Technology: Directory: N17 in 10 Volumes. Volume 3, Efficiency of Technical Systems. Moscow: Mechanical Engineering; 1988.
4. Gmurman V.E. Probability Theory and Mathematical Statistics. Moscow: Yurayt; 2017.
5. Bugorsky M., Sizonenko A. Performance Improvement Model Subsystems of Image Leakage Control of Automated System in Protected Performance due to Rational Redistribution of Resources. The Bulletin of the Voronezh Institute of High Technologies [Internet]. 2022 [cited 2023 Oct 15]. Available from: https://www.elibrary.ru/item.asp?id=50096595
6. GOST 43.4.1-2011. Informational Ensuring of Equipment and Operational Activity. System “Man - Information” No. 1243-st. [Internet]. 2013 Jan 01 [cited 2023 Oct 15]. Available from: https://docs.cntd.ru/document/1200094359
7. Sovetov B.Ya., Yakovlev S.A. Systems Modelling. 3rd ed. Moscow: Vysshaya Shkola; 2001.