Диссертация (1144110), страница 21
Текст из файла (страница 21)
Гомеостазявляется биоинспирированным принципом поддержания внутреннего постоянствасистемы в условиях внутренних и внешних воздействиях, что соответствует задачесохранения устойчивого и корректного функционирования КФС при нарушенияхИБ. Реализация гомеостатической методологии в КФС представляет собойгомеостат – самоорганизующуюся систему, цель которой – обеспечитьподдержание значений наиболее важных параметров КФС в пределах множествадопустимых значений.При реализации гомеостатической методологии обеспечения ИБ КФСнеобходимо четко разделять устойчивые и неустойчивые состояния системы ипонимать, в каких пределах возможно внесение изменений в значения параметровиструктуруКФСдляодновременногопротиводействиявоздействиямзлоумышленника и сохранения корректного функционирования.
Для решенияданной проблемы предложена модель параметрического и структурногопереконфигурированияКФСсиспользованиемпринципагомеостаза,115представляющая систему в виде графа. Такое представление обеспечиваетуниверсальность, полноту моделирования и иерархичность описания системы.По результатам исследований возможных подходов к оценке устойчивостиКФС к деструктивным воздействиям была выделена способность системы кпереконфигурированию, поскольку именно она позволяет наиболее гибко иэффективно реагировать на деструктивные воздействия различного типа. Наоснове выбранного подхода разработан метод оценки безопасности состоянияКФС, основанный на ее устойчивости к деструктивным воздействиям.В разделе также описаны два сценария гомеостаза – параметрический иструктурный, описаны аспекты их применения и требования к КФС для ихреализации.
Сформулирована и доказана теорема о достижимости устойчивостиКФС в условиях деструктивных воздействий.1164СРЕДАРЕАЛИЗАЦИИМЕТОДОЛОГИИОБЕСПЕЧЕНИЯИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КИБЕРФИЗИЧЕСКИХ СИСТЕМВзаимосвязь интеллектуальных компонентов КФС и создание гибкойсетевой инфраструктуры являются ключевыми факторами для развития отраслейпромышленной автоматизации в условиях Industry 4.0 [134].Методология гомеостатического переконфигурирования для обеспеченияИБ КФС также затрагивает сетевую инфраструктуру КФС, осуществляя ееструктурные изменения с целью противодействия деструктивным воздействиямпри одновременном сохранении способности КФС к реализации целевой функции.Всвязисэтим,необходимовыбратьтакуюсредуреализациипереконфигурирования сетевой инфраструктуры КФС, чтобы вносимые изменениямогли быть быстро применены к текущей конфигурации и при этом минимальнозатрагивали работу КФС, не воздействуя на те элементы сетевой инфраструктуры,которые не требуют изменений.Для этого предлагается использовать среду переконфигурирования на базетехнологии ПКС.
Данная технология позволяет гибко и эффективно управлять всейсетевой инфраструктурой КФС, это обеспечивается за счет разделения уровнейуправления и работы конечных сетевых устройств.Удобство использования данной технологии также заключается ввозможности программного внесения изменений, что позволяет разработчикугибко и детально описать все условия изменений, вносимых в структуру сети.Управление сетью реализуется контроллером ПКС, в связи с чем конечные сетевыеустройства выполняют только разрешенные контроллером функции, и даже вслучае их компрометации злоумышленником, эти устройства не будут выполнятьдействия, которые явно не разрешены контроллером, поэтому скомпрометироватьсетевую инфраструктуру КФС посредством влияния на конечные устройства сетизлоумышленник не сможет.1174.1 Требования к среде реализации предложенной методологииобеспечения информационной безопасности киберфизических системНеобходимость динамического переконфигурирования в сочетании сособенностями КФС налагают требования к среде реализации предложеннойметодологии обеспечения ИБ КФС:1.Единство управления всей сетью.
Необходимо иметь возможностьнаблюдать всю информацию о КФС в едином представлении, а не отдельнымиустройствами. За счет единства управления повышается удобство управления,обеспечения безопасности и выполнения ряда других задач.2.Гибкость переконфигурирования. Необходимо иметь возможностьназначать приоритеты различным типам трафика. Такие приоритеты должныобеспечивать отправку управляющих команд по самым быстрым маршрутам илипо маршрутам, имеющим минимальное количество транзитных участков, т.е.увеличить производительность среды обмена данными КФС.
Также должнаобеспечиваться возможность быстрого добавления устройств в сетевую структуруКФС и их исключения из нее.3.Производительность среды сетевого обмена КФС. Необходимо, чтобыизменения в сетевой структуре КФС выполнялись максимально быстро, времяпереконфигурирования должно быть минимизировано. При этом сама сетеваяструктура КФС должна быть масштабируемой и устойчивой к изменению сетевойнагрузки.4.Программная реализация переконфигурирования. Необходимо, чтобывсе переконфигурирование сетевой структуры КФС выполнять исключительнопрограммнымиспособами,безнеобходимостифизическогодоступаккомпонентам системы.5.Предварительная эмуляция. Необходимо, чтобы присутствовалавозможность предварительной эмуляции программной переконфигурированнойсетевой структуры для проверки соблюдения всех условий, которые требуются дляобеспечения устойчивости КФС.1184.2 Выбор среды реализации предложенной методологии обеспеченияинформационной безопасности киберфизических системНа сегодняшний день для организации среды сетевого обмена КФСиспользуются как традиционные компьютерные сети, так и современныетехнологии, такие как самоорганизующиеся сети с динамической топологией, атакже программно-конфигурируемые сети.
Представленным выше требованиям ксреде реализации предлагаемой методологии обеспечения ИБ КФС отвечаетименно технология ПКС по следующим причинам:1.переходаОдной из основных идей технологии ПКС является осуществлениеотуправленияотдельнымиединицамисетевойструктурыкконфигурированию всей сети как единым целым, что призвано обеспечитькомплексность и полноту применяемых правил для распределения нагрузки на сетьи для передачи сетевого трафика, удовлетворяющего необходимым параметрам.Такой подход предоставляет полную картину того, какие проблемы существуют вего сетевой, а также обеспечивает возможность быстрого и удобногопереконфигурирования нужных компонентов сетевой структуры, которые могутобъединять в себе десятки и сотни сетевых устройств.2.Технология ПКС предоставляет возможность реализации собственноймодели классификации сетевого трафика с помощью назначения правил обработкиразличных типов трафика.
Контроллер ПКС может, например, создать правила,обеспечивающие отправку управляющих команд по самым быстрым маршрутамили по маршрутам, имеющим минимальное количество транзитных участков, т.е.увеличить производительность среды сетевого обмена КФС [135]. Однако,существующие решения в ПКС не используют возможность приоритизациисетевых потоков на компонентах сетевой структуры, что позволяет говорить о том,чтопроизводительностьПКСможетбытьповышенапутемвнедрениясоответствующих приоритетов. Для решения данной задачи разработан изапатентован способ адаптивного управления сетевыми потоками данных в ПКС,обеспечивающий динамическую приоритизацию сетевых пакетов.1193.В технологии ПКС увеличение производительности сетевой структурыобеспечивается за счет возможности переконфигурирования сетевой структуры взависимости от характеристик обрабатываемого потока сетевого трафика илисостояния системы.
При этом вся вычислительная нагрузка вынесена с сетевогооборудования на отдельный компьютер (контроллер ПКС), который отвечает запринятие решение и разработку правил передачи данных. Также важно отметить,что OpenFlow-коммутаторы обеспечивают равномерное распределение потоковсетевого трафика, что также увеличивает производительность среды сетевогообмена КФС.4.Технология ПКС выполняет разделение уровня управления сетевойструктурой и уровня передачи данных при помощи специализированногопрограммного обеспечения, которое осуществляет взаимодействие между сетевымустройством и системой управления (контроллером ПКС) функционирующей навыделенном компьютере. При этом все управление осуществляется исключительнопрограммнымспособомсиспользованиемуниверсальногоинтерфейса,реализованного в протоколе OpenFlow.5.За счет выделения функций управления средой обмена данными вотдельный контроллер ПКС, имеющий информацию о всей сетевой структуре, ивозможности программной реализации переконфигурирования параметров иструктуры сети, имеется возможность предварительной эмуляции сетевойструктуры КФС.
Данная возможность направлена на сохранение корректностифункционирования КФС и необходимость соблюсти все функциональныепараметры, которыми система обладала изначально. В соответствии с введеннойграфовой моделью параметрического и структурного переконфигурирования, КФСпредставляет собой граф , вершинами которого являются компоненты системы,взаимодействующие друг с другом посредством обмена данными. Рёбра графа ,E = {e1 ,e2 ,...,ed }иллюстрируют межкомпонентные связи, характеризующие обменданными между компонентами КФС. Таким образом, будет отражено ивзаимовлияние компонентов системы друг на друга. Реализация целевой функции120КФС в рамках графовой модели представляет собой множество технологическихпроцессов, а каждый технологический процесс представляется множествоммаршрутов , являющимся подмножеством множества всех маршрутовграфа .
Тогда целевая функция системы может быть описана как множество12множеств маршрутов = �, , … , }.� = {Поскольку функционирование КФС реализуется путем коммуникации еекомпонентов друг с другом, необходимо, чтобы коммуникация априорно заданногомножества пар компонентов выполнялась всегда, вне зависимости от изменений вконфигурации сети.