Módszertan kidolgozása logikai, fizikai és humán biztonsági technológiák integrálására intelligens ágenseken alapuló eszközök alkalmazásával Jedlik Ányos projekt NKFP2-00018/2005 KÜRT Zrt. Pannon Egyetem Műszaki Informatika Kar
A projekt közvetlen céljai Integrált biztonsági megoldások kialakítására, tervezésére szolgáló módszertanok kidolgozása A módszertanok gyakorlati alkalmazását támogató szoftvertermékek kialakítása A környezetből érkező információkat feldolgozó, az információk alapján döntéseket hozó intelligens szenzoreszközök tervezése, kialakítása Az integrált biztonsági rendszerek felügyeletére, irányítására alkalmas Integrált Biztonsági Központ tervezése, kialakítása
Az integrált biztonsági rendszer felépítése Az Integrált Biztonsági Rendszer architektúrája Fizikai Objektumok Emberek Felügyelő Ágens Adatok, Információk, Dokumentumok Védendő objektumok Közvetítő csatornák Számítógépes hálózatok Telekom hálózatok Be- és kijáratok Monitor - Elvesztés - Megsemmisülés - Sérülés - Lopás FENYEGETÉSEK Intelligens Szenzorok Adattár Informatikai Biztonsági Központ
Az architektúra alapelemei Felügyelt védelmi elem Alrendszer, szenzor vagy beavatkozó szerv Delegált ágens A környezet érzékelése (a felügyelt védelmi elemmel való kommunikáció) Felügyelő ágens A delegált ágenstől érkező információkat fogadja és adekvát válaszokat ad, a külvilággal való kapcsolat megtestesítője Monitor A védelmi rendszer külső megfigyelése, az ágensek külső vezérlését is megoldja Adattár Vezérlő, monitorozó adatok tárolása
Az 1. munkaszakasz feladatai Előkészítő munkák A további tevékenységek megalapozása Akadémiai és ipari eredmények feltérképezése Kapcsolódás más tudományterületekhez A továbbiakban megvizsgálandó biztonsági rendszerek körének meghatározása Az integrált biztonsági rendszer architektúrájának kidolgozása Módszertan kidolgozása integrált biztonsági megoldások tervezésére, kialakítására, értékelésére Hatékony, formális és bizonyított algoritmusok kifejlesztése a biztonsági rendszerek szintézisére Biztonsági rendszerek formális leírása Biztonsági rendszerek strukturális tulajdonságai Biztonsági rendszerek mértékei Bizonyított algoritmikus szintézis eljárások
Az 1. munkaszakasz dokumentumai Előkészítő munkák Szakirodalmi áttekintés Alkalmazási eredmények áttekintése Védelmi igények feltérképezése Integrált architektúra specifikáció Módszertan kidolgozása integrált biztonsági megoldások tervezésére, kialakítására, értékelésére Matematikai modell kidolgozása Metrikák, mérő és elemző eljárások kidolgozása Optimalizáló és szintézis eljárás kidolgozása
1. Szakirodalmi áttekintés (1) Biztonsági kockázatok Fizikai Logikai Emberi tényezőkkel kapcsolatos kockázatok kiválasztás, felvétel illetéktelen személyek bejutása ipari kémkedés fluktuáció kompetenciák lelkiállapot fizikai állapot motiváció Biztonsági módszerek, módszertanok Fizikai biztonsági szabványok, ajánlások IT biztonsági szabványok, ajánlások Logikai biztonsági szabványok, ajánlások
1. Szakirodalmi áttekintés (2) Érzékelők Biometrikus azonosítás azonosítás alapja megbízhatóság Integrált biztonsági rendszer érzékelői (IT) be- és kiléptető mozgásérzékelő kamera hőmérséklet-érzékelő hangérzékelő füst- és tűzjelző elektromágneses sugárzás-érzékelő Szenzorhálózatok Szenzorok érzékelők, energiafogyasztás kommunikáció, összekapcsolhatóság számítási teljesítmény energiaellátási lehetőség érzékenység fizikai behatásokra Kommunikációs protokollok
2.-3. Alkalmazási eredmények - Védelmi igények feltérképezése (1) Külső és belső fenyegetettségek Rosszindulatú aktivitások Az informatikai rendszer felhasználói (belső) vagy külső személyek szándékos támadásai Természeti és emberi katasztrófák Természetes eredetű katasztrófák (pl. tűzvész), emberi tevékenység következtében kialakult katasztrófa jellegű események Technikai hibák Az informatikai rendszereket érintő, az alkalmazott technikai megoldásoktól függő fenyegetettségek (pl. hardver hibák) Fenyegetések következményei A hatások típusai és mértékei A biztonság aspektusai Rendelkezésre állás (fizikai elemek megléte, épsége) Sértetlenség (szükséges adatok megléte, használhatósága) Bizalmasság (tárolt adatok megfelelő védelme, elérése, kezelése)
2.-3. Alkalmazási eredmények - Védelmi igények feltérképezése (2) Üzleti interjúk az integrált biztonság legfontosabb kérdéseiről neves hazai szakemberekkel Néhány interjú kérdés Ön mit ért bele az integrált biztonságba? Mik lehetnek az előnyei? Mik lesznek/lehetnek Ön szerint a következő 2-3 év (évtizedek) biztonsági fenyegetettségei? Ön szerint a biztonság mely területein tapasztalhatók napjain legnagyobb hiányosságai? Ön mit várna el egy integrált biztonsági rendszertől?
2.-3. Alkalmazási eredmények - Védelmi igények feltérképezése (3) Az interjúk néhány fontos megállapítása Elsősorban az államigazgatási, pénzügyi/banki, ipari és védelmi szervezetek igénylik a biztonsági eljárások integrált használatát. A biztonsági eljárások kidolgozását, az üzembe helyezést meg kell előznie egy részletes kockázatelemzésnek. Napjainkban még nincs igazi együttműködés a különféle biztonsági területek között (pl. informatikai biztonság és objektumvédelem). Az integrált biztonság fogalmába az IT, a fizikai és a humán biztonság mellett az operációs (működési) kockázatokat is bele kell értenünk. A mértékadó szabványoknak meg kell feleljenek a biztonsági eszközök és eljárások (pl. ITIL, COBIT, ISO/IEC 15408,, MeH ITB ajánlásai, stb.) Fontos az alkalmazott eljárások minél magasabb szintű automatizálása A legfontosabb funkcionalitások a biztonsági rendszerekben: Folyamatosan frissített és auditált szakértői tudás Átláthatóság Illeszthetőség a meglévő egyéb rendszerekhez Kedvező LSA feltételek Költség-haszon elemzésen alapuló megtérülési mutatók Gyors reakcióidő és jelentési/döntési útvonalak Az oktatás, a munkatársak biztonságtudatossági szintjének emelése
2.-3. Alkalmazási eredmények - Védelmi igények feltérképezése (4) Üzleti lehetőségek Informatikai védelem információvédelem RFID alkalmazása Anomaly detection (dolgozói profil alapján), a szokásostól eltérő tevékenységek észlelése és elemzése Adatosztályozás, üzleti titok-minták kidolgozása (a biztonsági célú keresések támogatására) Logelemzés Dolgozói teljesítményértékelés Humán profilalkotó eszközök kidolgozása Beléptető rendszer és a számítógép azonosító rendszerének összekapcsolása Intelligens szenzorok alkalmazása Központi információs források feltérképezése és ezen alapuló információbiztonsági bróker szolgáltatás felépítése Statikus humán kérdőívek kidolgozása, elektronikus pszichológiai kérdőívek Speciális humán szenzorok kidolgozása Biztonsági képzések, korszerű oktatási anyagok, esettanulmányok (e-learning)
4. Integrált architektúra specifikáció (1) Hatékony védelmi mechanizmusok biztosítása fizikai, informatikai és humán jellegű fenyegetettségek, illetve ezek kombinációi ellen. a tervezett keretrendszer egyik fő alapköve a komponensek egységes kezelése következmény: az architektúra magas szintjén megjelenő homogenitás
4. Integrált architektúra specifikáció (2) A védelmi rendszer és környezete
4. Integrált architektúra specifikáció (3) A keretrendszer logikai felépítése Valós idejű rendszer emberi döntés Real-time rendszer a védett objektumok felügyeletére és védelmére szenzor mért jel mért jel szenzor AI üzenet AI üzenet AI üzenet szabályok NI üzenet üzenet AI üzenet üzenet szabályok AI üzenet AI szabályok üzenet üzenet beavatkozó jel AI beavatkozó jel Mesterséges intelligencia komponens a realtime beavatkozó rendszer karbantartására felügyelet AI adatok DB AI adatok korábbi tudás adatok adatok NI adatbányászat Tanítás
4. Integrált architektúra specifikáció (4) A biztonsági rendszer tanítása A biztonsági rendszert a tudástárban tárolt információk alapján taníthatjuk Ezen tanulási fázis során a tudástárban felhalmozott ismeretek, valamint a helyi sajátosságok, erőforrások összevetése alapján létrejön a helyi viszonyoknak megfelelő, lokális tudástár A rendszer képes újabb összefüggések feltárására, a szabályrendszer módosítására és bővítésére
5. Matematikai modell kidolgozása (1) Célunk, hogy a biztonsági rendszer formális leírása legyen matematikailag jól megalapozott legyen szemléletes áttekinthetően mutassa a rendszer elemeinek kapcsolódásait, a be- illetve kimeneti jeleket külső személyek (megrendelő) számára is informatív legyen alapot adjon optimalizálási feladatok megoldásához
5. Matematikai modell kidolgozása (2) Az integrált biztonsági rendszer informális leírása tartalmazza a védendő objektum biztonságát ellátó eszközök (fizikai és szoftver) figyelembe veendő halmazát az eszközök be- és kimenetein megjelenő információkat Egy ábrázolási lehetőség Egyszerű irányított gráfokkal való leírás, melynek hátrányai, hogy nem tudjuk megkülönböztetni, hogy két ágens, egy harmadik két különböző bemenetét, vagy egyazon bemenetét biztosítja redundánsan nem egyértelmű Az említett problémákra ad egy megoldást a P-gráf
5. Matematikai modell kidolgozása (3) A biztonsági rendszer topológiáját P-gráffal írjuk le Ebben a páros gráfban az O-típusú csúcsok az ágensre, míg az M-típusú csúcsok az állapotokra utalnak Egy állapotváltozó értéke a legtöbb esetben logikai érték, pl. x bent van az objektumban = true szerkezetű Minden M-típusú csúcs (állapot) rendelkezik annak értékével ez a legtöbb esetben egy logikai érték. Egy állapot pl. x bent tartózkodik az objektumban az állapot megbízhatóságával speciális esetben ez egy [0;1]-beli érték, valószínűség egy időbélyeggel Az időbélyeg megmutatja, hogy az adott információ mikor keletkezett
5. Matematikai modell kidolgozása (4) Példa a rendszer modelljére Tekintsük egy olyan P-gráfot, mely egy objektumban a mozgás érzékelésének egy lehetséges sematikus rajzát mutatja. A mozgás detektálásához két típusú hardver eszközt veszünk igénybe: kamerát és mozgásérzékelő berendezést. Mindkét típusú berendezésből 2-2 áll rendelkezésünkre. Célunk eldönteni ezen ágensekkel, hogy az objektumban észlelhető-e mozgás. Mint az az ábráról leolvasható az 1-2. ágensek a kamerát, míg a 3-4. ágensek a mozgásérzékelő berendezést szimbolizálják. Az M1-M4 anyag-jellegű csomópontok jelzik a rendszerben, hogy az adott O-típusú csomópont (kamera, mozgásérzékelő) észlel-e valamilyen mozgást az objektumban. Ha igen, akkor a megfelelő Mozgási (i=1,,4) változó a true logikai konstanst kapja értékül. Az 5-8. ágensek feladata eldönteni, hogy az egyes berendezések által szolgáltatott jelek (Mozgási) utalnake mozgásra az adott objektumban, ha igen, akkor továbbítják ezt az információt az M5 ill. az M6 csomópontok felé. Bármely ágens jelzése esetén az M7-es csomópont igaz értékkel fog rendelkezni
6. Metrikák, mérő és elemző eljárások kidolgozása (1) Érzékelők és biztonsági megoldások számszerűsíthető paraméterei alkalmazási terület megbízhatóság beruházási és működtetési költség rendelkezésre állás fizikai paraméterek működési tartomány felhasználás hardver és szoftver követelményei
6. Metrikák, mérő és elemző eljárások kidolgozása (2) Például: Hitelesítések összehasonlítása Karakterisztika Titok Elektronikus Biometrikus megbízhatóság jó nagyon jó kitűnő kliens-oldali hardverigény - néha van van kliens-oldali szoftverigény - néha van van tipikus költség [Ft] 0 20.000-10.000- átörökíthetőség nagy kicsi nincs
6. Metrikák, mérő és elemző eljárások kidolgozása (3) Az alkalmazni kívánt érzékelők a következő típusúak Be- és kiléptető rendszer Mozgásérzékelő Kamera rendszer Hőmérséklet érzékelő Hangérzékelő Füst- és tűzjelző Páratartalom érzékelő Elektromágneses sugárzásérzékelő Túlfeszültség érzékelő Ablak-ajtónyitás érzékelő Ablaktörés érzékelő Gázszivárgás érzékelő, analizátor IT biztonsági szoftverek Mobiltelefon használatát mérő eszköz
7. Optimalizáló és szintézis eljárás kidolgozása (1) Célkitűzés Napjainkban a biztonsági fenyegetettségek sokrétűsége különböző védelmi mechanizmusok egyidejű működését követeli meg Hatékony rendszerek fejlesztésére van szükség Célunk a logikai, fizikai és a humán biztonságot ellátó eszközök integrálása Munkánk célja továbbá ezen integrált biztonsági rendszerek matematikai modelljének alapjait megteremteni.
7. Optimalizáló és szintézis eljárás kidolgozása (2) A biztonsági rendszer topológiáját P-gráffal írjuk le A biztonsági rendszerek jellemzői, a gyártó rendszerek tervezéséhez és elemzéséhez kidolgozott analógiával: Gyártó rendszerek Anyag Kiindulási anyag (nyersanyag) Végtermék Biztonsági rendszerek Információ Mért jel Beavatkozó jel
7. Optimalizáló és szintézis eljárás kidolgozása (3) Folyamathálózat-szintézis P-gráf olyan részgráfjának megkonstruálása, mely a lehetőségek és alternatívák körét figyelembe veendő szempontok szerint optimális struktúrát szolgáltat Célunk bevezetni olyan korlátozás és szétválasztás alapú (B&B) algoritmust, amely segítségével választ adhatunk pl. az alábbi kérdésekre: Adott költségkorlát mellett hogyan adható meg maximális megbízhatóságú rendszer? Hogyan tervezhető meg olyan biztonsági keretrendszer, amely rendelkezik egy előre meghatározott minimális megbízhatósági szinttel, ugyanakkor a rendszer beruházási költsége minimális? A feladat megoldására egy matematikailag megalapozott algoritmus került kidolgozásra.
ELÉRHETŐSÉGEK Jedlik Ányos projekt 1. munkaszakasz Az Informatikai Biztonsági Kutató és Fejlesztő Központ weblapja: A Pannon Egyetem Műszaki Informatikai Kar oldala: www.mik.vein.hu A Kürt Zrt. honlapja: www.kurt.hu