Что нас ждёт в будущем: процветание или прозябание?

Не каждый умеет танцевать
под музыку грядущего.
Станислав Ежи Лец

Я хотел бы в этой статье изложить свои мысли о том, что нас ждёт в будущем, вкратце рассказать о новых технологиях, которые уже на пороге и вот-вот разразят новую революцию в мировом сообществе. Я думаю, что разумнее будет начать с описания новых технологий, а уж потом поразмышлять о грядущем.

Молекулярные компьютеры

Молекулярная вычислительная техника является одним из вариантов развития компьютерной индустрии в будущем. Элементы этой техники в сотни раз будут меньше нынешних кремниевых аналогов. Сегодня можно сказать, многочисленные технологии уже отработаны, создание же жизнеспособного прототипа молекулярного компьютера остается пока мечтой.

Искусственный интеллект

Это, на мой взгляд, одно из самых интересных, перспективных и загадочных направлений будущего. Вы только представьте себе как это интересно – машина, способная мыслить как мы. Одна только мысль об этом заставляет нас задуматься о будущем всего человечества. Ведь ИИ – это очень опасная штука!!! Я считаю, что если человечеству удастся создать ИИ, то тогда кинофильмы «Матрица», «Терминатор» и им подобные станут реальностью.

Начало эры искусственного интеллекта приходится на середину прошлого века, когда Алан Тьюринг в своей работе "Может ли машина мыслить?" (оригинальное название - Computing Machinery and Intelligence) сформулировал критерий интеллектуальности, который до сих пор остается основным определением этого понятия.

Поистине, всякое стремление сформулировать четкое определение понятию "интеллект" обречено, оттого что нам не знакома природа интеллектуальности. Попробуйте спросить себя – «Является ли собака интеллектуальным существом» - здесь ответы будут неоднозначными. Единственное действительно интеллектуальное существо, в котором нельзя сомневаться - это человек. Именно из-за этого для определения интеллектуальности компьютерной системы её нужно сравнивать с человеком. Давайте обратимся к энциклопедии и посмотрим, как дать чёткое определение ИИ. ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ, раздел информатики, включающий разработку методов моделирования и воспроизведения с помощью ЭВМ отдельных функций творческой деятельности человека, решение проблемы представления знаний в ЭВМ и построение баз знаний, создание экспертных систем, разработку т. н. интеллектуальных роботов.

Нейронные сети

В последнее время все чаще стали говорить о нейронных сетях. Развиваются целые сегменты математики, изучающие нейронные сети, я даже слышал, что в некоторых университетах появился новый предмет - "Основы нейронных сетей". Что же такое нейронные сети, где и как они применяются?

Я думаю, значит, я существую…

Ещё создатели первых компьютеров хотели научить свои детища "мыслить" – это было не что иное, как попытки создания искусственного интеллекта. Но, как же вынудить железо думать и мыслить? Самым легким вариантом является перерисовка по образу и подобию человека, конкретнее - его мозга. Ну что ж, давайте, разберемся, как же устроен наш с вами мозг.

Наша нервная система состоит из нейронов - тех самых нервных клеток, которые "не восстанавливаются". Нейроны связывают нервные волокна, а те в свою очередь нервные импульсы. Все "мыслительные" процессы в человеческом организме реализованы как передача электрических импульсов между нейронами.

Ну и естественно нужно разобраться, как устроены нейроны? Нужно опять обратиться к умной книжке – энциклопедии. Нейрон (от греч. neuron — нерв), нервная клетка, состоящая из тела и отходящих от него отростков — относительно коротких дендритов и длинного аксона; основная структурная и функциональная единица нервной системы. Нейроны проводят нервные импульсы от рецепторов в центральную нервную систему (чувствительный нейрон), от центральной нервной системы к исполнительным органам (двигательный нейрон), соединяют между собой несколько других нервных клеток (вставочные нейроны). Взаимодействуют нейроны между собой и с клетками исполнительных органов через синапсы. Чтобы понять, что такое синапс, представь себе небольшой переходник, соединяющий коннекторы разных типов. Синапс - это и есть тот самый переходник, соединяющий дендриты нейрона с аксонами других нейронов. Еще одна функция синапса - это усиление сигнала. Множитель увеличения силы импульса принято называть весом синапса. Теперь давайте разберемся с самой нейронной сетью. Нейронная сеть - это набор соединенных между собой нейронов. Функции всех нейронов сети постоянны, а веса и параметры (импульсы) могут изменяться. Нейронная сеть имеет внешние входы и внешние выходы. Мы передаем сети информацию на внешние входы, а получаем преобразованную сетью информацию на внешних выходах. Выходит, что задача нейронной сети - это преобразование одного вектора в другой, причем в процессе преобразования принимают участие все нейроны сети. Ясно, что сейчас мы говорим о математической нейронной сети, а не биологической. Концепция нейронной сети заключается в выборе архитектуры сети и подборе весов сети. Подбор весов - это обучение сети. Получается, что нейронные сети - это нечто среднее между центральным процессором и человеческим мозгом. Но почему же главенствующую роль занимает компьютер, все дело в том, что при создании сети не используется ни одна живая материя и все основано только на математической модели.

Квантовый компьютер

Квантовый компьютер - это система из нескольких (возможно, из довольно большого числа) кубитов. Эти компьютеры призваны преподнести всёму человечеству новые принципиально новые алгоритмы, присутствующие только на бумаге. Самым важным плюсом такого компьютера является его огромная скорость решения различных задач, к примеру, этот компьютер можно использовать для расшифровки такой «идеальной» криптосистемы как RSA.

Internet 2

Возможно, кто-то уже слышал об этом новшестве, но для большинства это ещё неизведанная ступень. Начнем с того, что определим причину создания Internet’a намбер 2. А причина банальна – захламление, коммерциализация нынешнего Internet'a, а всё это, несомненно, тормозит развитие технологий. К тому же, в нынешнем Интернете используется протокол четвертой версии (IPv4), который влечет за собой проблемы с производительностью, не решающиеся полностью даже увеличением пропускных каналов. Неприспособленность к передаче специфического и чувствительного к задержкам трафика (мультимедийные потоки, например голос или видео), отсутствие встроенной защиты информации и другие ограничения протокола тоже являются минусами и-нета. Создать I2 предложили ученые и исследователи США и в 1996 году этот проект начал своё существование и продвижение. Неоспоримым достоинством являются ОГРОМНЫЕ пропускные способности, возможно, вы удивитесь или не поверите, но факт остается фактом - 357 Гигабайт в сети нового поколения были переданы всего за 10 минут!!! Но радоваться тут нечему, Internet 2 доступен только для учебных заведений США. И сейчас нет никаких предпосылок для предоставления свободного доступа к I2, возможно это правильно, ведь Internet 2 создавался не для того, чтобы стать ещё одной мусорной свалкой.

Обзор основных и самых интересных технологий будущего позади, теперь остается подвести черту и сделать определенные выводы.

Когда наступит завтра?

Научный мир не стоит на месте, и, несомненно, рано или поздно все эти технологии будут так же доступны, как телефон и телевидение, которые в период своего появления были признаком крутости. Но не надейся, что подобный прорыв произойдет "вот-вот", да возможно эти ноу-хау и появятся в недалёком будущем, но вот воспользоваться ими, я думаю, получится только у наших потомков. Проблемы решаются медленным, зато стабильным эволюционным развитием, которое может затянуться не на одно десятилетие.

Но всё же не стоит слишком расслабляться и предоставлять все возможности машинам, ведь кто знает, что могут сотворить роботы, способные мыслить подобно человеку. И тогда, как это обычно бывает у фантастов, фильмы «Матрица», «Я робот», «Терминатор» станут явью и нам предстоит борьба за выживание на своей собственной планете, против своих же созданий. Все нужно продумывать на тысячу шагов вперед и не торопить события, потому что выход из под контроля робота, который управляет ядерными зарядами, приведёт к неизбежной катастрофе.

Людям же нужно не отставать от времени и шагать с ним в ногу, чтобы потом не стать рабом, когда только компьютерная элита будет иметь право на свободную жизнь. Если вы потеряетесь в бурлящем котле информационных технологий будущего, то вас ждет не завидное будущее. Нужно двигаться вперед, оставляя нижний уровень тем, кто не хочет развиваться и учиться.

Дата публикации: 01 Февраля 2006
Автор: Злобин Евгений Сергеевич aka ZEVS
http://tpascal.h15.ru/

===============================================================

Оцінка ризиків

С. Лопарев, А. Шелупанов

Вопросы защиты информации № 4, 2003

Учет требований времени, интенсификация научных исследований в различных сферах человеческих знаний, стремительное развитие современных информационных и компьютерных технологий существенно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России в области информационной безопасности. Положение усугубляется и тем обстоятельством, что требования к оценке уровня безопасности корпоративной информационной системы непрерывно изменяются и повышаются. В этой связи возникают вопросы разработки критериев оценки эффективности защиты методов и методик оценки информационных рисков предприятия.

Экспансия информационных технологий в производство и управление современных организаций предопределяют рост информационных инфраструктур организаций, что зачастую приводит к неструктурированному гетерогенному характеру компьютерных сетей и является основой неконтролируемого роста уязвимостей, а также к увеличению возможностей несанкционированного доступа к информации [1].

Практика использования отдельных решений по обеспечению информационной безопасности показывает, что не всегда учитывается фундаментальная проблема достаточность и эффективность систем защиты с точки зрения пользователя. При внедрении различных средств защиты необходимо определить баланс между возможным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищенности информационных ресурсов.

Одним из наиболее важных соображений при выборе методики оценки риска является то, что полученные результаты должны быть эффективны при реализации обеспечения системы защиты информации. Использование сложной методики, требующей точных исходных данных и имеющей на выходе неоднозначные результаты, вряд ли поможет создать эффективную защиту.

Цель оценки риска состоит в том, чтобы определить риск утечки информации из корпоративной сети предприятия. Процесс оценки риска проводится в два этапа. На первом этапе определяют границы сети для анализа и детальную конфигурацию корпоративной сети, т. е. определяется модель компьютерной сети предприятия. На втором этапе проводится анализ риска. Анализ риска разбивается на идентификацию ценностей, угроз и уязвимых мест, оценку вероятностей и измерение риска. Показатели ресурсов, значимости угроз и уязвимостей, эффективности средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например, учитывающими штатные или чрезвычайно опасные воздействия внешней среды.

В настоящее время известно множество табличных методов оценки информационных рисков компании. Эти методы оценивания рисков рекомендованы международными стандартами информационной безопасности, главным образом ISO 17799 (BS 7799). Существенно, что в этих рекомендуемых методах количественные показатели существующих или предлагаемых физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. А существующие или предполагаемые программные ресурсы оцениваются так же, как и физические, т. е. с помощью определения затрат на их приобретение или восстановление.

Наибольшее распространение среди методик оценки рисков получила методика «матрицы рисков». Это достаточно простая методика анализа рисков. В процессе оценки экспертами определяются вероятность возникновения каждого риска и размер связанных с ним потерь (стоимость риска). Причем оценивание производится по шкале с тремя градациями: «высокая», «средняя», «низкая». На базе оценок для отдельных рисков выставляется оценка системе в целом (в виде клетки в такой же матрице), а сами риски ранжируются. Данная методика позволяет быстро и корректно произвести оценку. Но, к сожалению, дать интерпретацию полученных результатов не всегда возможно [2].

Кроме того, в данной области разработан механизм получения оценок рисков на основе нечеткой логики, который позволяет заменить приближенные табличные методы грубой оценки рисков современным математическим методом, адекватным рассматриваемой задаче.

Механизм оценивания рисков на основе нечеткой логики по существу является экспертной системой, в которой базу знаний составляют правила, отражающие логику взаимосвязи входных величин и риска. В простейшем случае это «табличная» логика, в общем случае более сложная логика, отражающая реальные взаимосвязи, которые могут быть формализованы с помощью продукционных правил вида «Если..., то».

Кроме того, механизм нечеткой логики требует формирования оценок ключевых параметров и представления их в виде нечетких переменных. При этом необходимо учитывать множество источников информации и качество самой информации. В общем случае это достаточно сложная задача. Однако в каждом конкретном случае могут быть найдены и формально обоснованы ее решения [1].

Можно выделить следующие подходы разработчиков программных средств анализа рисков к решению поставленной задачи:

• получение оценок рисков только на качественном уровне;
• вывод количественных оценок рисков на базе качественных, полученных от экспертов;
• получение точных количественных оценок для каждого из рисков;
• получение оценок механизмом нечеткой логики.

Ценность инструментального средства анализа рисков определяется в первую очередь той методикой, которая положена в его основу. В настоящее время определенную известность получили такие программные продукты, как Risk Watch (США), CRAMM (Великобритания), COBRA (Великобритания), «АванГард» (Россия), ТРИФ (Россия), КОНДОР+ (Россия) и ряд других. Эти программные продукты базируются на различных подходах к анализу рисков и решению различных аудиторских задач. Остановимся несколько подробнее на анализе этих продуктов.

Программное обеспечение RiskWatch является мощным средством анализа и управления рисками, более ориентированным на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно. В семейство RiskWatch входят следующие программные продукты: для физических методов защиты, для информационных рисков, для оценки требований к стандарту ISO 17799.

В основу продукта RiskWatch положена методика анализа рисков, которая состоит из четырех этапов:

• первый — определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы, базовые требования в области безопасности;
• второй — ввод данных, характеризующих основные параметры системы. На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Последние выводятся путем сопоставления категории потерь и категории ресурсов. Кроме того, задаются частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты;
• третий — количественная оценка. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Фактически риск оценивается с помощью математического ожидания потерь за год. Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment отдача от инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени;
• четвертый — генерация отчетов.

Программное обеспечение RiskWatch имеет массу достоинств, а к недостаткам продукта можно отнести его относительно высокую стоимость.

CRAMM — инструментальное средство, реализующее одноименную методику, которая была разработана компанией BIS Applied Systems Limited no заказу британского правительства. Метод CRAMM позволяет производить анализ рисков и решать ряд других аудиторских задач: обследование информационной системы, проведение аудита в соответствии с требованиями стандарта BS 7799, разработка политики безопасности.

Данная методика опирается на оценки качественного характера, получаемые от экспертов, но на их базе строит уже количественную оценку. Метод является универсальным и подходит и для больших, и для мелких организаций как правительственного, так и коммерческого сектора. Грамотное использование метода CRAMM позволяет получить очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обеспечения организации для обеспечения информационной безопасности непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном итоге избегать неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является определение достаточности для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимость проведения более детального анализа. На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер. Для каждого этапа определяются набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Достоинства метода CRAMM: хорошо структурированный и широко опробованный метод анализа рисков; может использоваться на всех стадиях проведения аудита безопасности информационных систем; в основе программного продукта лежит объемная база знаний по контрмерам в области информационной безопасности, гибкость и универсальность данного метода позволяют его использовать для аудита информационной системы любого уровня сложности и назначения; данный метод позволяет разрабатывать план непрерывности бизнеса. К недостаткам метода CRAMM можно отнести следующее: для его использования требуется высококвалифицированный аудитор; аудит по данному методу процесс достаточно трудоемкий и может потребовать месяцы непрерывной работы; генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; невозможно внести дополнения в базу знаний CRAMM, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации [3].

Система COBRA является средством анализа рисков и оценки соответствия информационной системы стандарту ISO 17799. Данная система реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. В систему COBRA заложены принцип построения экспертных систем, обширная база знаний по угрозам и уязвимостям, большое количество вопросников, с успехом применяющихся на практике.

Программный продукт КОНДОР+ позволяет специалистам (ИТ-менеджерам, офицерам безопасности) проверить политику информационной безопасности компании на соответствие требованиям ISO 17799. КОНДОР+ включает в себя более 200 вопросов, ответив на которые специалист получает подробный отчет о состоянии существующей политики безопасности, а также модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют и не соответствуют стандарту, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Элементам, которые не выполняются, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, могут быть выбраны генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству. Все варианты отчетов для большеи наглядности сопровождаются диаграммами. КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта. Данная система реализует метод качественной оценки рисков по уровневой шкале рисков: высокий, средний, низкий.

ГРИФ — это программный комплекс анализа и контроля рисков информационных систем компаний. В нем разработано гибкое и, несмотря на скрытый от пользователя сложнейший алгоритм, учитывающий более 100 параметров, максимально простое в использовании программное решение, основная задача которого дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании. Данный комплекс делает оценку рисков по различным информационным ресурсам, подсчитывает суммарный риск по ресурсам компании, а также ведет подсчет соотношения ущерба и риска и выдает недостатки существующей политики безопасности. В основе продукта ГРИФ заложена методика анализа рисков, которая состоит из пяти этапов:

• на первом определяется полный список информационных ресурсов, представляющих ценность в исследуемой автоматизированной системе, которые объединяются в сетевые группы;
• на втором осуществляется ввод в систему всех видов информации, представляющей ценность для информационной системы. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т. д.); указывается ущерб по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз (конфиденциальности, целостности, отказа обслуживания);
• на третьем вначале происходит определение всех видов пользовательских групп, затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию;
• на четвертом указывается, какими средствами защиты информации защищены ценная информация на ресурсах и рабочие места групп пользователей. Вводится информация о затратах на приобретение всех применяющихся средств защиты информации и ежегодных затратах на их техническую поддержку, а также на сопровождение системы информационной безопасности;
• на завершающем этапе необходимо ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков.

Отчетная система программного комплекса ГРИФ состоит из трех частей: первая «Информационные риски ресурсов», вторая «Соотношение ущерба и риска», третья «Общий вывод о существующих рисках информационной системы».

Комплексная экспертная система управления информационной безопасностью «АванГард» является программным продуктом, предназначенным для решения задач управления безопасностью в больших территориально-распределенных автоматизированных информационных системах, и призвана облегчать задачи контроля за центральными структурами уровня обеспечения информационной безопасности на местах. Данный комплекс является одним из самых мощных инструментов анализа и контроля рисков отечественного производства. Основные возможности комплекса: гибкая система ввода и редактирования модели предприятия, возможность построения модели рисков, система оценки и сравнения рисков, оценка мер противодействия, построение вариантов комплексов мер защиты и оценка остаточного риска.

Таким образом, программный комплекс «Авангард» призван играть вспомогательную роль в решении задач управления информационной безопасности, а именно обеспечивать полноценный всесторонний анализ, позволяющий сформулировать обоснованный набор целей безопасности, обосновать политику безопасности, гарантировать полноту требований безопасности, контроль выполнения которых нужно осуществлять [4].

Рассмотренные методики позволяют оценить или переоценить уровень текущего состояния информационной безопасности автоматизированной системы, снизить потенциальные потери путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности автоматизированной системы, а также предложить планы защиты от выявленных угроз и уязвимых мест. Важно заметить, что на сегодняшний день существуют многообразные и сложные по своей структуре автоматизированные системы, для которых невозможно подобрать конкретную методику оценки рисков, поэтому для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценкам рисков на основе уже существующих методик.

Таким образом, методику проведения анализа рисков предприятия и инструментальные средства, поддерживающие ее, следует выбирать, учитывая следующие факторы: наличие экспертов в области оценки риска, статистики по инцидентам нарушения информационной безопасности, точной количественной оценки или достаточно оценки на качественном уровне.

Литература

· Балашов П. А., Кислое Р. И., Безгузиков В. П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. 2003. № 5. С. 56-59.

· Александрович Г. Я., Нестеров С. Н., Петренко С. А. Автоматизация оценки информационных рисков компании// Там же. №2. С. 78-81.

· Астахов А. М. Аудит безопасности информационных систем // Там же. С. 90-96.

· Кононов А. А. Автоматизация построения профилей защиты с использованием комплексной экспертной системы «АванГард».

Об авторах: С. А. Лопарев, А. А. Шелупанов, д-р техн. наук, проф.

__________

==================================================

7. технічні, прикладні, системні програмні засоби підтримки та захисту інфомацї