IT-специалисты из Тюмени и Москвы на основе онтологического подхода спроектировали и разработали интеллектуального голосового помощника для обеспечения информационной безопасности сетевой инфраструктуры локальных компьютерных сетей.
Решение практических проблем обеспечения информационной безопасности (ИБ) системными администраторами во многом опирается на многолетний опыт работы с цифровой информацией, создающей следующие потенциальные риски: информация может быть раскрыта (конфиденциальность скомпрометирована); модифицирована (целостность нарушена); уничтожена или потеряна (доступность нарушена).
Указанные риски наносят ущерб как напрямую, непосредственно снижая стоимость цифрового актива, так и косвенно — ухудшая репутацию и приводя к юридическим последствиям. Организация может управлять рисками в повседневной деятельности. Стоимость ущерба от события риска ИБ обычно оценивается как произведение вероятности неблагоприятного события и отрицательной суммы стоимости ликвидации его последствий, происходящих в течение конкретного временного периода.
Обычно мера стоимости риска — годовые убытки. Ожидаемую стоимость ущерба можно уменьшить, например, за счет его страхования или снижения вероятности возникновения неблагоприятного события, а также, если событие произошло, путем минимизации последствий.
Это позволяет определить ИБ как управленческий процесс, цель которого заключается в управлении (минимизации стоимости) информационными рисками для бизнеса.
В контексте решения задач обеспечения ИБ компьютерных сетей дополнительную сложность составляет то, что информация о частоте возникновения нежелательных явлений и об их последствиях обычно скрывается. То есть сведений об эффективности мер, которые можно предпринимать для предотвращения нежелательных явлений и/или смягчения последствий, обычно недостаточно или вообще не имеется, поскольку у организаций с проблемами в области ИБ отсутствуют мотивы для сообщения о них.
При этом имеется множество стимулов для замалчивания этой информации. В конечном счете все это затрудняет оценку эффективности тех мер, которые в идеале должны обеспечить: защиту телекоммуникационного оборудования и оконечных устройств (маршрутизаторов, коммутаторов, межсетевых экранов, серверов); соблюдение требований регулятора и корпоративного регламента; защиту от несанкционированного внутреннего или внешнего доступа к информации разной степени конфиденциальности (коммерческая тайна, персональные данные или бухгалтерская информация).
Статья «Применение голосового помощника в качестве виртуального консультанта для администрирования безопасности инфраструктуры локальной компьютерной сети» ученых и инженеров-практиков Александра Захарова, Андрея Шабалина, Шамиля Ханбекова, Дунё Джализоды, Кирилла Пономарева вышла в «Вестнике УрФО. Безопасность в информационной сфере».
В статье, в частности, сказано, что условно, с точки зрения объектов защиты, информационную сеть можно разделить на две составляющие: операционные системы, прикладное программное обеспечение и данные на хостах и серверах и коммуникационная сеть для информационного взаимодействия внутренних и внешних пользователей (маршрутизаторы, коммутаторы и линии связи).
Ученые отмечают, что по сравнению с сетевым оборудованием, операционные системы и прикладное программное обеспечение обновляются чаще, например, вследствие появления новых версий, тогда как коммуникационная сеть достаточно стабильна. Это послужило предпосылкой развития двух подходов к организации и поддержке безопасности информационной сети. В том, что касается операционных систем и прикладного программного обеспечения на конечных устройствах как объектов защиты, то в настоящее время используются постоянно актуализируемые базы и одновременно платформ для сбора и распространения информации об уязвимостях.
Базы содержат описания выявленных уязвимостей, оценку потенциального воздействия и (при наличии) способы их устранения. Можно выделить по крайней мере шесть популярных и поддерживаемых в актуальном состоянии подобных баз. Банк данных угроз безопасности информации «ФСТЭК России» считается ключевым в нашей стране. Принципиально важно, что «ФСТЭК России» поддерживает собственный реестр известных угроз информационной безопасности и уязвимостей программного обеспечения с 2014 года.
Определенная стабильность коммуникационной сети создает специфические условия для обеспечения ИБ. Ученые полагают, что для настройки безопасности непосредственно на сетевых устройствах целесообразно определить набор онтологий, связанных с безопасностью, например, NRL в качестве точного описания концепций безопасности информационной сети на различных уровнях детализации.
Использование онтологий как спецификаций настройки безопасности позволяет создать базу семантических выражений для конфигурирования сетевого оборудования, а дополнительное преимущество данного подхода – возможность анализа, накопления и повторного применения знаний о настройке сетевой безопасности, в том числе и в автоматическом режиме с помощью специализированных программных продуктов.
Результат использования онтологий — не только анализ ситуации с уровнем защищенности конкретной сети, но и создание базы знаний, выступающей в качестве одного из основных компонентов интеллектуального программного обеспечения для интерактивного администрирования с помощью голосового помощника. Ученые спроектировали и разработали на основе онтологического подхода интеллектуального голосового помощника для обеспечения информационной безопасности сетевой инфраструктуры локальных компьютерных сетей.
Программа реагирует на команды, начинающиеся с обращения: «Нева, …». Так, при словах системного администратора – «Нева, включи поддержку SSH версии 2» – сначала речь передается на службe автоматического распознавания речи, которая потом превращает его в текст: «Нева, включи поддержку эсэсаш версии два». Далее данный текст попадает в сервис «Классификатор интентов», задача которого – определить «намерения» пользователя относительно выполнения их программой. Классификатор интентов — машинообучаемая сущность, для которой заранее определяются все ключевые триггерные фразы, помогающие классифицировать намерение пользователя.
Создаются определенные ключевые категории запросов, которые задействуются в ходе работы программы как важнейшие составляющие процесса принятия ею решений. Например, для вышеуказанного текста системой определяется категория запроса «setup_ ssh_pragma_permit_version» по ключевым фразам «включи», «эсэсаш», «версии». Данный запрос попадает в модуль «Менеджер диалогов», который отвечает пользователю сгенерированными на основе шаблонов голосовыми фразами, взаимодействуя с модулем синтеза речи, и, самое главное, принимает решения.
Процесс принятия решений должен быть предсказуемым, так что не может быть, по нашему мнению, основан на машинном обучении (в целях безопасности). А потому основу модуля составляют правила, сценарии и конфигурационные файлы. Здесь нами реализована концепция «формфиллинг», состоящая в том, что системный администратор своими репликами как бы заполняет некую виртуальную форму и, по мере заполнения им всех обязательных полей, задачу можно решить, применив необходимое действие.
При этом менеджер следит за событиями, которые происходят в процессе взаимодействия пользователя с программой, а также — программы с коммуникационными устройствами, что конструирует логику диалога и влияет на процесс принятия решений. Поскольку данный запрос администратора после его семантического тегирования не включал информации о том, на каком сетевом оборудовании администратор хочет изменить конфигурацию, менеджер диалогов после заполнения соответствующей виртуальной формы может запросить недостающую информацию у пользователя (например, имя или тип устройства) или предоставить опцию изменения для текущего активного сетевого оборудования, на который системный администратор ранее произвел навигационный переход.
Ученые считают, что применение технологий, использующих виртуального голосового помощника на основе онтологий в системном администрировании безопасных компьютерных сетей, очень эффективно и способствует повышению уровня компетенций, необходимых системному администратору для организации приемлемого уровня защиты в небольшой локальной компьютерной сети.