Nikin написал(а):Ага, в том районе, где Реджистанс основательно подчищен, командир спецподразделения вдруг начинает активно им интересоваться, поднимая дела уничтоженных и осужденных его членов. А так же он интересуется делами уголовников, которые "закрыты" на одной свалке с интересующими этого командира "политическими". Чем вызван такой интерес? Офицер о чем-то узнал? Почему не доложил наверх?
Служба безопасности так не работает. Она не может осуществлять тотальный контроль, так как просто захлебнется в данных. Поэтому первичная обработка производится автоматически в соответствии с определенными алгоритмами. Ручной анализ проводится только если есть сигнал от алгоритма первичного анализа.
Алгоритмы безопасников делятся на две группы: вероятностные (статистические, корреляционные) и сигнатурные.
Сигнатурные алгоритмы выискивают в потоке событий некоторые, заранее определенные, сочетания событий, сигнатуры. Обратите внимание на слова "заранее определенные". Для того, чтобы запросы "капитана Фрая" были выявлены сигнатурным алгоритмом, необходимо, чтобы кто-то в КИБ заранее задал соответствующую сигнатуру. Например, "офицер КИБ запрашивает личные дела осужденных сочувтствующих Режистансу". Но эта сигнатура бесполезна, так как многим офицерам КИБ необходимо обращаться за подобными делами по службе. Вообще, при таком несерьезном отношении к безопасности - передавать ID человека открытым текстом! - нет никаких объективных причин разводить паранойю. ID подделать нельзя. Это аксиома. Поэтому нет необходимости подозревать, что вместо капитана Фрая в сеть выходит совсем другой человек. Поэтому нет необходимости в соответствующих сигнатурах. Следовательно, нет правил - нет и сигнала безопасникам.
Вероятностные алгоритмы настраиваются на автоматический поиск соответствий между параметрами событий. Например, связь между "ID пользователя" и "среднее число обращений к делам осужденных преступников". Параметры, которые необходимо отслеживать, вводятся руками, так как число парных связей растет как квадрат числа параметров - никаких ресурсов не хватит отслеживать все пары; корреляций между большим числом параметров ещё больше. Затем алгоритм некоторое время работает в режиме обучения, набирает статистику, узнает, какое число событий бывает в среднем. После обучения алгоритм переводится в режим слежения - он сигнализирует об аномальных отклонениях (как это делается, я не буду расписывать, о том есть большая наука: "критерии согласия", "доверительные интервалы" и прочая математическая статистика). В принципе, такой алгоритм мог бы среагировать на активность "капитана Фрая", ибо тот продемонстрировал интерес, который явно отклоняется от нормы. Но! Для этого какой-то параноик должен был включить поиск отклонений по паре <ID, число запросов>. В мире черного теха таких параноиков быть не может - если бы они были, то глобальную дырку в безопасности с радиометками уже бы заделали. Раз дырка есть, значит параноиков нет.
Поэтому я думаю, что поиск в сети от имени чужих радиометок безопасен для ГГ.
Здесь вы можете обсудить фантастическую и историческую литературу.
