300 н ииююня –– 0033 ииюлляя ю 2201144 гг..mitsobi.ru/wp-content/uploads/2018/06/2014.pdfМАТЕРИАЛЫ 233

ММААТТЕЕРРИИААЛЛЫЫ

2233--ЙЙ ННААУУЧЧННОО--ТТЕЕХХННИИЧЧЕЕССККООЙЙ ККООННФФЕЕРРЕЕННЦЦИИИИ

ММЕЕТТООДДЫЫ ИИ ТТЕЕХХННИИЧЧЕЕССККИИЕЕ ССРРЕЕДДССТТВВАА ООББЕЕССППЕЕЧЧЕЕННИИЯЯ

ББЕЕЗЗООППААССННООССТТИИ ИИННФФООРРММААЦЦИИИИ

3300 ииююнняя –– 0033 ииююлляя 22001144 гг..

ПРИ УЧАСТИИ

Федеральная служба

безопасности РФ

Федеральная служба охраны РФ

Федеральная служба по финансовому

мониторингу

Федеральная служба по техническому и

экспортному контролю

УЧРЕДИТЕЛИ И ОРГАНИЗАТОРЫ

- Комитет по информатизации и связи Санкт-Петербурга - Комитет по науке и высшей школе Санкт-Петербурга

ФГБОУ ВПО «СПбГПУ»

ИКМОО «Ассоциация защиты информации»

ЗАО «НПП «СТЗИ»

Генеральный спонсор

Главный спонсор

Партнёры СПб Филиал

ОАО «НПК «ТРИСТАН»

Санкт-Петербург, 2014

ISSN 2305-994X

2

Методы и технические средства обеспечения безопасности информации:

Материалы 23-ей научно-технической конференции 30 июня – 03 июля 2014 года.

СПб.: Изд-во Политехн. ун-та, 2014. 122 с.

Приводятся тезисы докладов, отражающие теоретические и практические

проблемы обеспечения безопасности информационных технологий, а также вопросы

подготовки и переподготовки специалистов в этом направлении.

Предназначаются для преподавателей, научных сотрудников и инженерно-

технических работников, занимающихся проблемами информационной безопасности.

Ответственный за выпуск – заслуженный деятель науки РФ, доктор технических

наук, профессор П.Д. Зегжда

Сборник печатается без редакторских правок. Ответственность за содержание

тезисов возлагается на авторов.

ЗАО «НПП «СТЗИ», 2014

Санкт-Петербургский государственный

ISSN 2305-994X политехнический университет, 2014

3

ВВЕДЕНИЕ

Сборник составлен по материалам 23-ей научно-технической конференции

«Методы и технические средства обеспечения безопасности информации», Санкт-

Петербург 30 июня – 03 июля 2014 г. посвященный решению проблемных задач

кибербезопасности, относящихся к чрезвычайно актуальной, динамически

развивающейся отрасли обеспечения безопасности обработки и передачи информации

в системах критического назначения, к которым принято относить системы

управления финансами, связью, транспортом и, конечно, ядерной энергетики.

В настоящее время постиндустриальное общество находится в состоянии

перманентной информационной революции, текущим этапом которой является

глобальная компьютеризация систем управления промышленными объектами и их

интеграция в сеть Интернет, что неизбежно повышает их доступность для

потенциальных нарушителей и увеличивает их уязвимость с точки зрения

информационной безопасности. Почти каждую неделю средства массовой информации

рассказывают о новых компьютерных преступлениях, взломах систем, сетевых атаках.

В условиях постоянно растущего числа атак, создания механизмов их

автоматизации, а также значительной зависимости информационной инфраструктуры и

АСУ (в т. ч. военного и специального назначения) от электронных средств доступа и

обмена информацией, ущерб даже от самых незначительных атак может быть

катастрофическим. Известны случаи применения современных информационных

технологий традиционно считающихся вредоносными (программ с функциями вирусов,

сетевых атак) для агрессивного воздействия на информационную инфраструктуру и

АСУ военного назначения других государств.

Более того, компьютеризация персональных средств связи и бытовой техники

сделала элементы умного дома частью глобального киберпространства. Современная

эпоха характеризуется абсолютной интернетизацией общества — Интернет как

универсальная среда, позволяющая с помощью открытых протоколов транзитивно

замкнуть все информационные аспекты экономики, политики и частной жизни в единое

киберпространство. Соответственно, появилось понятие «кибербезопасность», т.е.

безопасность киберпространства, характеризующее новый класс угроз,

эксплуатирующих транзитивность связей для реализации атак или для доставки средств

их осуществления.

В связи с этим возникает необходимость постоянно анализировать передовые

решения в области информационных технологий с целью прогнозирования изменения

характера угроз информационной безопасности и определения наиболее

перспективных и актуальных направлений исследований и разработок в этой области,

упреждающих тенденции развития угроз. Имеющийся опыт работы в этой сфере

показал, что технологии нападения и защиты неразрывно связаны друг с другом, и что

создать эффективное решение можно только опираясь на глубокие знания о методах и

технологиях, используемых противоположной стороной.

Попытка проанализировать основные тенденции появления новых угроз

безопасности и механизмов их осуществления, на современном этапе развития

информационных технологий позволяет выявить следующие тенденции:

Появление новых типов компьютерных атак, характеризующихся смещением

объекта воздействия от данных и программ к системам управления направленным на

вывод из строя информационных систем промышленного оборудования;

4

Целью современных атак является полный перехват управления и

навязывание новых алгоритмов функционирования атакуемой системы;

Атака трансформируется в планируемую кибероперацию, направленную

против тщательно выбранного объекта и включающую предварительные этапы по

подготовке, разработке средств преодоления защиты и обеспечению скрытности

источника нападения;

Постоянно совершенствуются механизмы автоматизации доставки вредящего

программного обеспечения от поиска уязвимостей и создания эксплойтов до методов

социальной инженерии в социальных сетях. Появление специфической услуги hacking

of service в виде сети сайтов и программных средств типа «Black hole»

свидетельствует о том, что производство средств нарушения безопасности и их

доставки превратилось в вполне легальную IT-отрасль.

Современные компьютерные атаки отличающиеся перечисленными

особенностями принято называть киберугрозами. Характерными для них являются

следующие признаки:

Целенаправленность атаки, даже в том случае, если оно осуществляется

транзитивно через промежуточные узлы.

Использование широкого арсенала способов для достижения цели.

Использование суперкомпьютеров для создания новых сценариев атак,

систем сканирования, вмешательства в управление производством,

криптоанализа. Учитывая, что мы вошли в эпоху кибервойн,

суперкомпьютер - возможность создания нового оружия.

Привлечение независимых разработчиков для реализации атаки.

Борьба за контроль над глобальной инфраструктурой киберпространства.

Создавшееся положение ставит новые задачи перед исследователями и

разработчиками методов и средств противостояния киберугрозам, что и составляет

содержание проблемы обеспечения кибербезопасности, которой посвящен настоящий

выпуск журнала.

Сегодня разработчики средств обеспечения кибербезопасности ставят перед собой

следующие задачи:

Быть на шаг впереди в «гонке кибервооружений» и технологий информационной

безопасности, заранее выявляя условия появления и реализации киберугроз, тем

самым опережая киберпреступность и устраняя возможности.

Повышение квалификации персонала, обслуживающего IT-инфраструктуру

критических объектов и информированию потребителе в области информационной

безопасности.

Исследование уязвимостей как новый подход к оценке степени защищенности.

Интеграция информационных технологий и средств защиты в составе защищенных

АСУ, устойчивых к кибератакам.

Развитие технологии виртуализации как мощного механизма защиты:

o построение защищенных платформ с использованием технологии

виртуализации.

Исследования моделей политики безопасности систем с размытым периметром,

Internet и систем и средств контроля и управления безопасностью в таких системах.

Переход к понятию кибербезопасности создает предпосылки для создания новой

парадигмы построения средств обеспечения безопасности современных IT, которая

http://yandex.ru/yandsearch?clid=1779518&lr=2&text=hacking%20of%20service%20&msp=1

http://yandex.ru/yandsearch?clid=1779518&lr=2&text=hacking%20of%20service%20&msp=1

5

включает:

Пересмотр моделей управления доступом, учитывающих открытость, гибкость и

распределенность современных IT-систем.

Признание технологии виртуализации как мощнейшего средства защиты,

обеспечивающего базу для доказательства изоляции одной части системы от

другой, что позволяет перейти от понятия «защищенной системы» (от

фиксированного множества угроз) к понятию «система с прогнозируемым

поведением».

Реализация принципа разделения среды обработки информации и средств защиты.

Построение теоретических основ управления динамической защитой

(адаптирующейся к текущим угрозам) как объекта автоматического регулирования

с понятием зоны устойчивости, последействием(инерционностью) динамическими

характеристиками.

Разработка подходов к оценке эластичности (настраиваемости) и

масштабируемости системы безопасности.

Большую роль играет стремление максимально автоматизировать управление

функциями защиты, адаптировав их к конкретным условиям и, в перспективе, к потоку

дестабилизирующих факторов.

Эволюция парадигмы защиты

Анализ существующих тенденций позволяет сделать ретроспективной вывод о

смене парадигмы защиты, которые условно могут быть определены как статистическая,

активная, адаптивная и динамическая.

Статическая защита исходит из определения наиболее опасных угроз, функции

противодействия, которые необходимо реализовать, и класс защиты, которому должна

соответствовать система. Набор функций защиты должен быть адекватен угрозам.

Основной недостаток такой технологии состоит в ограничении набора угроз,

расширение которого может привести к несостоятельности защиты.

Остальные технологии защиты включают более или менее развитую систему

контроля состояния системы, что позволяет расширить класс угроз, которым

противостоит защита, и сделать ее многорубежной, что позволяет развивать систему

путем подключения дополнительных средств или административных мер,

направленных на поддержание безопасности.

В основу предлагаемой систематизации технологий защиты положено два

основных показателя: наличие средств анализа состояния системы и среды ее

функционирования, а также используемые критерии безопасности (см. таблицу 1).

Таблица 1 - Характеристики существующих технологий построения защиты

Характер

защиты

Объекты мониторинга

Методы

оценки

безопасности

Основные

характеристи

ки Состояние

системы

Состояние

системы

защиты

Обмен с

окружаю

щей

средой

Статическая отсутствуе

т

отсутствуе

т

частичны

й

оценка по

нормативным

Адекватность

угрозам

6

документам

Активная частичный отсутствуе

т

анализ

входящей

информац

ии

анализ

информацион

ной среды

Надёжность

анализа

входящей

информации

Адаптивная частичный частичный

анализ

входящей

информац

ии

контроль

состояния

средств

защиты

Толерантност

ь к угрозам,

устойчивость

управления

Динамическая полный полный

анализ

входящей

информац

ии и

каналов

связи

мониторинг


системы,

оценка рисков

Инвариантно

сть защиты,

достаточност

ь,

устойчивость

к

уязвимостям

Настоящий сборник включает следующие разделы:

I. Перспективные направлении я в обеспечении кибербезопасности систем

критического назначения

1.1 Проблема импортозамещения и обеспечения технологической

независимости

1.2 Кибербезопасность и противоборство в инфосфере

1.3 Создание доверенной национальной платформы и безопасность

виртуальных систем

1.4 Безопасные операционные системы с управляемым доступом

II. Криптографические методы и средства защиты информации

III. Безопасность сетевых технологий и обнаружение сетевых атак

IV. Анализ, контроль безопасности и механизмы угроз программного

обеспечения

V. Проблема методического обеспечения подготовки кадров

7

РАЗДЕЛ 1. СОВРЕМЕННЫЕ ТЕХНОЛОГИИ ОБЕСПЕЧЕНИЯ

БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ И

ТЕЛЕКОММУНИКАЦИЙ

Подраздел 1.1. Проблема импортозамещения и обеспечения технологической

независимости

Зегжда Д. П.

ОБЕСПЕЧЕНИЕ ТЕХНОЛОГИЧЕСКОЙ НЕЗАВИСИМОСТИ РФ В ОБЛАСТИ

ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

ФГБОУ ВПО «Санкт-Петербургский государственный политехнический

университет», г.Санкт-Петербург

Обеспечение суверенности права Российской Федерации в информационном

обществе может быть достигнуто только при условии обеспечения технологической

независимости российской отрасли ИКТ от иностранных компаний. Под

технологической независимостью понимается свобода в принятии стратегически

важных технических и экономических решений о направлениях развития отрасли ИКТ,

не обусловленная политикой иностранных компаний.

Основная угроза, которую влечет за собой отставание от мирового уровня ИКТ и

технологическая зависимость от лидеров мирового рынка – это растрачивание

драгоценных (в первую очередь интеллектуальных) ресурсов впустую, топтание целой

отечественной отрасли на месте.

Обретение независимости должно происходить одновременно на всех уровнях

ИКТ – от аппаратной платформы и общесистемного ПО до приложений, используемых

миллионами пользователей. Разумеется, при этом совсем не стоит повторять тот путь,

который прошли западные компании за последние десятилетия – на это не хватит

никаких ресурсов – ни финансовых, ни квалифицированной рабочей силы.

Суть предлагаемого подхода, позволяющего преодолеть сложившиеся

противоречия и обеспечить технологическую независимость, используя одновременно

решения различных компаний и разные версии продуктов, состоит в реализации

следующих положений.

1) Предлагаемые решения должны быть компактными, не зависеть от

сторонних разработок, иметь крайне ограниченный объем кода и поддерживаться

сравнительно небольшими командами высококвалифицированных разработчиков.

2) Создание базовой национальной платформы, обеспечивающей

автономность, т.е. инвариантной к средствам обработки информации (в том числе

зарубежным), которые должны функционировать под контролем отечественных

средств. Достигается подобный результат за счёт создания виртуальной среды,

создание, управление и контроль которой обеспечивается средствами отечественной

разработки.

3) Создание таких инновационных элементов ИКТ, которые позволят

полностью контролировать функционирование информационных систем, обеспечивая

доверие и безопасность, но в то же время будут востребованы конечными

пользователями, причем не только государственными и корпоративными, но и

массовыми.

4) Безопасность ИКТ – это не только защита государственной тайны и борьба с

кибертерроризмом. В настоящее время это один из мощнейших факторов,

оказывающих влияние на развитие рынка ИКТ. Таким образом, безопасность ИКТ, в

8

которой у российских специалистов имеются достаточно серьезные достижения и

квалификация, может послужить тем рычагом, который поднимет всю отечественную

отрасль ИКТ, обеспечив доверенность используемых систем и минимизацию рисков.

Таким образом, в основу стратегии обретения независимости отечественной

отрасли ИКТ предлагается положить следующие базовые технологии.

создание отечественного высоко производительного параллельного

вычислителя;

разработка защищенной и доверенной операционной среды на основе

технологии гибридных ОС и отечественного гипервизора, позволяющих

полностью контролировать работу импортных операционных систем;

создание платформы отечественного телекоммуникационного оборудования

с использованием механизмов распараллеливания;

создание системы контроля за функционированием импортного

телекоммуникационного оборудования;

создание независимой системы взаимодействия в сети Интернет,

обеспечивающей подлинность абонентов и защиту передаваемого трафика;

Разработанные на основе этих технологий ключевые инновационные элементы

должны служить плацдармами, захватив и удержав которые возможно начать

направлять движение ИКТ и начать проводить независимую политику. Еще раз

отметим, что обязательным условием успеха является крайняя ограниченность объема

этих ключевых элементов, – имеющихся ресурсов должно хватить на их реализацию с

адекватным качеством.

Калинин М.О.

ПРИМЕНЕНИЕ ТЕХНОЛОГИИ ПРОГРАММНО-КОНФИГУРИРУЕМЫХ СЕТЕЙ ПРИ

ПОСТРОЕНИИ ОТЕЧЕСТВЕННОГО ЗАЩИЩЕННОГО

ВЫСОКОПРОИЗВОДИТЕЛЬНОГО СЕТЕВОГО ОБОРУДОВАНИЯ



С развитием вычислительных сетей актуализируется задача создания нового

подхода к управлению сетевым трафиком, непосредственно связанная с обеспечением

сетевой безопасности. В настоящее время активно развивается технология программно-

конфигурируемых сетей (ПКС), в основе которой лежит разделение функций

управления сетевой инфраструктурой и собственно передачи данных по сети. Функции

управления реализуются в выделенном компоненте контроллере ПКС,

представляющем собой компьютер-сервер, управляющий сетевым OpenFlow-

совместимыми оборудованием.

Контроллер ПКС обеспечивает динамический анализ текущего состояния всех

подключенных устройств. На контроллере ПКС установлена сетевая операционная

система, которая обеспечивает работу функций принятия решения, перенесенной на

сервер из сетевого устройства. Такая многоуровневая программная архитектура

системы реализует концепцию программно-конфигурируемой безопасности. К задачам

такой системы управления сетью относятся: сбор сведений о сетевом оборудовании,

сбор данных о взаимодействиях сетевого оборудования и о текущем состоянии

сетевого оборудования, настройка сетевого устройства в зависимости от уровня

9

сетевой нагрузки и требований безопасности.

Сервисы управления и оптимизации размещается между интерфейсом

управления ПКС и сервисами управления, осуществляющими выработку новых правил

передачи данных.

Сервисы обеспечения безопасности включают следующие компоненты:

‒ детектор конфликтов, осуществляющий корреляцию новых правил,

добавляемых сервисами управления и оптимизации ПКС;

‒ подсистема аутентификации на основе введенных ролей;

‒ компонент загрузки сетевой политики безопасности;

‒ компонент принятия решений о добавлении (или удалении) записей в таблице

сетевых потоков.

Уровень сервисов обеспечения


Уровень сервисов управления и

оптимизации

OpenFlow-коммутатор

(OpenFlow-маршрутизатор)

Контроллер программно-конфигурируемой сети

1. Прием пакета

2. Обработка

3. Создание новой записи

в таблице сетевых потоков

ЗаписьПакет

Пакет Пакет

Предложенная система обеспечивает безопасную настройку сетевых ресурсов и

защиту от обхода сетевой политики безопасности в сетях данного типа. Новая

парадигма программного управления сетевыми устройствами, перенос функций

принятия решений с потенциально недоверенного оборудования (чаще всего

иностранного производства) на выделенный сервер, открытость архитектуры ПКС и

протокола OpenFlow, позволяют разрабатывать отечественные защищенные

программно-конфигурируемые коммутаторы и маршрутизаторы.

10




Подраздел 1.2. Кибербезопасность и противоборство в инфосфере

Бирюков Д.Н., Ломако А.Г.

СИНТЕЗ УПРЕЖДАЮЩЕГО ПОВЕДЕНИЯ СИСТЕМ КИБЕРБЕЗОПАСНОСТИ В

ИНФОРМАЦИОННОМ КОНФЛИКТЕ

Военно-космическая академия имени А.Ф. Можайского, г.Санкт-Петербург

Для формирования сценариев упреждающего поведения в информационном

конфликте предлагается применять системы кибербезопасности, построенные на

основе гиромата [1], способного в процессе функционирования строить модель

окружающей киберсреды и синтезировать программу действий в соответствии с

целями, состоящими в поддержании требуемого уровня защищённости от возможных

информационно-технических воздействий (ИТВ).

На современном этапе развития средств обеспечения информационной

безопасности назрела объективная необходимость создания систем, способных

осуществлять предупреждение и заблаговременное пресечение ИТВ на защищаемые

ресурсы [2]. Наиболее близкими по функционалу к искомым системам, являются

системы предотвращения вторжений.

Как видится, способность к предотвращению должна опираться на три базовые

способности: “обнаружение”, “предупреждение” и “пресечение”. При этом в рамках

“обнаружения” и “предупреждения” должно осуществляться прогнозирование

развития наблюдаемых ситуаций, идентификация возможных задач, требующих

решения, и построение моделей собственных действий, приводящих к предотвращению

возможных негативных последствий. Приведённая последовательность мероприятий

выстроена по результатам анализа способности человека действовать и принимать те

или иные решения с определенным упреждением в отношении ожидаемых

событий [3]. В основе рассмотренной способности лежит свойство “Антиципация” [4].

В ходе создания прототипа антиципирующей киберсистемы осуществлено

моделирование нескольких механизмов упреждающего поведения человека,

основанного на некоторых возможностях памяти и функциях работы с ней.

Хорошо известно, что память человека можно условно разделить на долговременную

(ДП) и кратковременную (КП) память. Информация в КП поступает из ДП либо из

окружающей среды. При более подробном рассмотрении ДП, было обращено внимание

на принципиальные отличия недекларативной и декларативной памяти.

Недекларативная память применяется в тех ситуациях, в которых проявляются

некоторые формы научения, претворяющиеся скорее в действия, нежели в явные

воспоминания (пример – классическое формирование условных рефлексов). Человек в

состоянии контролировать достаточно сложные системы без очевидного сознательного

обращения к правилам, лежащим в их основе.

Декларативная память – это память о событиях, фактах, объектах и т.п. На

результаты декларативного научения влияет глубина осознания наблюдаемых явлений

и процессов. В рамках декларативной памяти выделяют семантическую память, знания

в которой представляются в виде схем: сценариев и каркасов. Сценарии имеют дело со

знаниями о событиях и их последовательностях [5]. Каркасы – это структуры знаний,

имеющие отношение к какому-то аспекту мира (например, к какому-то объекту).

11

Предлагается недекларативную память называть ассоциативно-рефлекторной

памятью (АРП), а декларативную память – ассоциативно-семантической

памятью (АСП). Естественно предположить, что и АРП, и АСП могут в той или иной

мере способствовать построению сценариев упреждающего поведения.

На вход гиромата, способного осуществлять построение сценариев

упреждающего поведения, могут поступать как данные от обучающей системы, так и

данные от системы сенсоров (в общем случае “вход” может быть одним). Поступившие

данные помещаются в базу знаний (элемент АСП), организованную в виде онтологии,

построенной с учётом отношения аппроксимации между заносимыми в неё

данными [6]. В то же время данные, поступившие на вход системы, инициируют

распространение ассоциативного сигнала по ассоциативной ресурсной сети,

однозначно связанной с онтологией предметной области. Это в свою очередь приводит

к срабатыванию определённого условного рефлекса, функционирующего на основе

АРП и направленного на разрешение идентифицированной, но семантически

неосознанной задачи. В этом случае реализация условного рефлекса и есть решение

задачи, порождённое на основе АРП. Если соответствующий условный рефлекс не

сформирован, то система осуществляет идентификацию задачи и поиск решения на

основе знаний, представленных в АСП.

Как идентификацию потенциальных задач, так и поиск способов их решения,

система кибербезопасности производит путём осуществления правдоподобных

умозаключений, основанных на механизме вывода по аналогии. Очевидно, что может

сложиться такая ситуация, при которой в системе могут отсутствовать знания,

позволяющие осуществить вывод новых знаний по аналогии. В этом случае

предлагается реализовать возможность получения новых знаний о возможных

процессах, путём комбинирования имеющихся допустимых функций (действий). При

реализации данного способа, система должна учитывать свойства взаимодействующих

(конфликтующих) сторон, что должно значительно сократить количество порождаемых

спецификаций возможного поведения системы кибербезопасности.

Список литературы

1. Поспелов Д. А., Пушкин В. Н. Мышление и автоматы. М.: Советское радио, 1972.

2. Бирюков Д.Н., Ломако А.Г. Подход к построению системы предотвращения

киберугроз // Проблемы информационной безопасности. Компьютерные системы. –

С-Пб.: Изд-во Политехн. ун-та, 2013. №2. – С. 13-19.

3. Бирюков Д.Н., Ломако А.Г. Построение систем информационной безопасности: от

живых организмов к киберсистемам // Защита информации. INSID.

Горбачев И.Е., Еремеев М.А., Андрушкевич Д.В.

МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ОЦЕНИВАНИЯ

ЭФФЕКТИВНОСТИ ДЕЙСТВИЙ СТОРОН ИНФОРМАЦИОННОГО

КОНФЛИКТА В ИНФОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ


Руководствуясь основными принципами и методами квалиметрии предлагается

потенциал информационного воздействия (ИВ) каждой из сторон информационного

конфликта (ИК) в инфотелекоммуникационных системах (ИТКС) охарактеризовать

12

вектором )'B,"A;'A(YYlkk

П

3

П

3 . С позиции теории эффективности

целенаправленных процессов [1] данный вектор П

3Y есть показатель виртуального

качества результатов ИВ, и включает в себя три группы компонент: ,r,vY П

3 , где

v – показатель результативности ИВ, r – ресурсоемкость ИВ, – оперативность ИВ.

Здесь )"B,'B(AAll'k'k

– технические характеристики и параметры

системы ИВ (СИВ), )"B,'B(AAll"k"k

– характеристики и параметры технологии

(процесса организации) ИВ (ПрИВ); 'l

B – характеристики условий функционирования

(УФС) системы ИВ (характеристики ИТКС), "l

B – характеристики условий

применения (УПС) системы ИВ (характеристики системы защиты объекта атаки). "l

B

обуславливают требуемые )B(Y"l

д

3 для нападающей стороны результаты ИВ, т.е.

)Y(Y д

3

П

3 . Соотношение )Y(Y д

3

П

3 представляет собой формальное выражение

цели ИВ, в то время как содержательно цель ИВ может определяться по-разному. В

результате, результативность ИВ предлагается описывать вектором

)B,B,A,A(Y)Y,Y(YY"l'l"k'k

ИВ

3

д

3

П

3

ИВ

3

ИВ

3 .

Структурная схема операционного комплекса ИВ (КОМ – командование, ОУП – орган

управления процессом ИВ)

Неопределенность ИВ )Y,Y(Y дПИВ характеризуется вероятностью достижения

цели операции ИВ

ДЦP и является показателем эффективности ИВ. Так как критерий

пригодности ИВ принимает вид }Y{Y:G д

3

П

3Ц , то })Y{Y(PP д

3

П

3

ИВ

ДЦ . Далее

определяются требования ТР

ДЦP к эффективности ИВ ИВ

ДЦP , формулируется и реализуется

критерий пригодности ТР

ДЦ

ИВ

ДЦЦЭ PP:G и производится собственно оценивание

эффективности ИВ.

В зависимости от динамики обстановки требования ТР

ДЦP к показателю

эффективности ИВ

ДЦP , так и сам ИВ

ДЦP будут меняться, и как следствие, являются

случайными величинами – ТР

ДЦP , ИВ

ДЦP . В результате общий критерий эффективности

13

действий сторон информационного конфликта для первой стороны будет иметь вид

ТР*ТР2

ДЦ

2

ДЦ

ТР1

ДЦ

1

ДЦ

* P)PP()PP(P , для второй ТР*ТР1

ДЦ

1

ДЦ

ТР2

ДЦ

2

ДЦ

* P)PP()PP(P .

Величина *P в соответствии с [2,3] носит название стохастического

супериндикатора второго порядка и может характеризовать дважды неопределенную

ситуацию неопределенности в информационных конфликтах.


1. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования

целенаправленных процессов и целеустремленных систем. – М.: АСТ, 2006. – 504 с.

2. Петухов ГБ Методы теории стохастической индикации в прикладной кибернетике.

Л.: ВИКИ им. А.Ф.Можайского, 1975.

3. Подход к применению методов стохастической индикации в задачах оценивания

эффективности защиты информации в автоматизированных системах // Материалы

XXII научно-практической конференции “Методы и технические средства обеспечения

безопасности информации” – С-Пб.: Изд-во Политехн. ун-та, 2013. – С. 20-21.

Горбачев И.Е., Еремеев М.А.

ОСОБЕННОСТИ ТЕХНОЛОГИИ МАСКИРОВАНИЯ ИНФОРМАЦИОННЫХ

РЕСУРСОВ С ПРИМЕНЕНИЕМ ОБМАННЫХ СИСТЕМ И УПРАВЛЕНИЕМ

ПОВЕДЕНИЕМ НАРУШИТЕЛЯ


В настоящее время в области информационной безопасности особую роль

приобретают средства противодействия компьютерным атакам (КА). Существующим

их недостатком сегодня является неспособность предупреждать и своевременно

пресекать деструктивное воздействие на информационные ресурсы (ИР).

При невозможности пресечения КА одним из путей снижения риска их

деструктивного воздействия на ИР является создание ложного объекта атаки. Основная

идея заключается в формировании у противника ложного представления об объекте

атаки по результатам ведения им компьютерной разведки (КР). Одним из возможных

направлений разрешения этой проблемы является маскирование ИР путем введения в

контур защиты объекта обманной системы (ОБС), имитирующей работу реальной

системы и/или отдельных ее элементов (операционных систем, портов, сервисов,

хостов, сегментов сети), в том числе и присущих им уязвимостей. Как следствие,

противник вынужден принимать решения в условиях априорной и текущей

неопределенности.

Во избежание неточностей в понимании технологии маскирования ИР

представляется необходимым содержательно описать процесс маскирования ИР, а для

доказательства полноты решаемых задач – его формализовать. Объектом исследования

является конфликт двух сторон – ОБС и средств КР противника. Задача каждой из

сторон – повлиять на процесс принятия решений (ПР) другой стороны в свою пользу.

Исследование данного конфликта требует математического аппарата: 1)

охватывающего многомерность и неоднозначность процессов, протекающих в

конфликтной среде, различную информированность сторон и рефлексию; 2)

координирующего сенсорную и технологическую информацию на основе различных

14

методов квалиметрии; 3) учитывающего слабопредсказуемость ситуаций и способность

сторон оперативно изменять цели (критерии эффективности).

Необходимо различать две категории предметов, подлежащих изучению при

исследовании процессов ПР в условии конфликта. Первую составляют правила выбора

оптимальной стратегии поведения в заданных условиях в зависимости от качества и

количества информации о противнике. Определением этих правил занимается

исследование операций, широко использующее теоретико-игровые модели

конфликтных ситуаций. Однако теория игр как аппарат страдает концептуальной

неполнотой. Теория игр ищет решение, оптимальное или рациональное в среднем, в то

время как виды конфликта ситуационны и уникальны. Априорная дефиниция возможных

стратегий сторон практически недостижима, те стратегии, которые лежат на

поверхности, в конфликте представляют наименьшую ценность – главная задача сторон

– обнаружить скрытые возможности другой стороны, что и позволяют сделать ОБС.

Теория игр исходит из принципа минимума среднего риска, что совершенно

неприемлемо для конфликта. В конфликте каждая сторона готова рисковать, исходя из

предположения “больше риск – больше возможный успех”, поэтому в конфликте

действует принцип допустимого риска (который нередко бывает максимальным).

Последнее обстоятельство представляется решающим, так как его невозможно

исправить никаким развитием теоретико-игрового метода. Следовательно, определить

рациональное поведение в конфликте игровой подход не позволяет.

Вторая категория предметов связана со спецификой осознания в мышлении

человека конфликтной ситуации и исследования систем, «наделенных разумом». Здесь

в качестве математического аппарата для формализации вполне применим аппарат

алгебры конфликта Лефевра [1]. Аппарат позволяет фиксировать процессы имитации

рассуждений одного противника другим – рефлексивная игра, а также исследовать

явления взаимного рефлексивного управления – процесса передачи оснований для

неверного ПР противником – дезинформация, сокрытие, провокация.

Для формального описания процесса маскирования ИР и исследования его свойств,

например, на этапе внешнего проектировании ОБС [2], необходимо разработать

гибридную математическую модель, включающую основные положения теории

конфликта [3], алгебры конфликта Лефевра и, в отдельных случаях, теорию игр. Для

проведения исследования эффективности противоборства ОБС и противника необходимо

следовать основным положениям теории эффективности целенаправленных процессов [4].

Процесс маскирования ИР формально можно представить в виде

последовательного выполнения следующих этапов (задач):

1) этап разработки информационно-вычислительной структуры (ИВС) обманной

среды с целью качественной имитации ИР;

2) этап реконфигурации ИВС обманной среды с целью привлечения усилий

типового противника;

3) этап формирования рефлексивного управления противником с помощью

обманной среды с целью его исследования.

Первую задачу можно отнести к классу задач структурно-параметрического

синтеза, рассматриваемых в рамках теории [5]. На втором этапе исследуется

динамический подход к анализу структур, описываемых графами. Здесь во времени

меняется сама структура системы – происходит процесс генерации (эволюционной

адаптации) структуры под тип противника. В рамках третей задачи проблема состоит в

самом описании противника как уникального объекта управления, учета в этом

описании не только специфической структуры и функционирования его средств КР, но

15

и его поведения, и возможностей эволюции объекта во времени. Требуется уметь на

едином языке описать как объект управления и его функционирование, так и процедуру

управления им. При работе с такими объектами необходимо использовать методы,

основанные на теории искусственного интеллекта [6].


1. Лефевр В.А., Смолян Г.Л. Алгебра конфликта. – М.: Знание, 1968. – 66 с.

2. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования

целенаправленных процессов и целеустремленных систем. – М.: АСТ, 2006. – 504 с.

3. Дружинин В.В., Конторов Д.С., Конторов М.Д. Введение в теорию конфликтов. –

M.: Радио и связь, 1989. – 288 с.

4. Петухов Г.Б. Основы теории эффективности целенаправленных процессов. – С.-

Пб.: ВКА им. А.Ф. Можайского, 1989. – 225 с.

5. Калинин В.Н., Резников Б.А. Теория систем и управления (структурно-

математический подход). – Ленинград.: ВИКИ, 1978. – 417 с.

6. Поспелов Д.А. Ситуационное управление: теория и практика. – М.: Наука. – Гл.

ред. физ.-мат. лит., 1986. – 288 с.

Зегжда Д.П., Степанова Т.В.

ПРОТИВОБОРСТВО В КИБЕРПРОСТРАНСТВЕ.

ПОДХОДЫ К ФОРМАЛИЗАЦИИ ЗАДАЧИ


университет», г. Санкт-Петербург

Цифровая инфраструктура в настоящее время стала одним из наиболее важных

стратегических активов, использующихся при взаимном противодействии не только

отдельных злоумышленников и рядовых пользователей, но и правительственных и

террористических организаций. Таким образом, можно говорить о кибервойнах,

разворачивающихся в сети Интернет, которая, в свою очередь, служит основой для

функционирования большого числа критически важных распределенных систем и

сервисов.

Целью моделирования информационного противоборства является формирование

методологической базы для единообразного описания систем, функционирующих в

киберпространстве, и обеспечение возможности предиктивного анализа их состояний.

Сейчас чаша весов, определяющих результат противоборства, склоняется в пользу

злоумышленников, и это определяет требования к выходным параметрам модели:

результаты моделирования нужны специалистам по кибербезопасности для разработки

стратегий защиты и нейтрализации угроз. Таким образом, модель информационного

противоборства должна обладать следующими свойствами: верифицируемость,

предиктивность, инкапсуляция информации о состоянии систем в максимально сжатом

виде при минимальных потерях выразительности.

Существующие модели киберпространства и информационного противоборства в

основном относятся к классу динамических аналитических моделей, многие из которых

являются вероятностными в силу стохастической природы нецеленаправленных атак.

Также распространен многоагентный подход к моделированию, отражающий природу

16

большинства киберсистем, макросостояние которых определяется набором

микросостояний сущностей (агентов), взаимодействующих друг с другом в некотором

структурированном пространстве.

Выбор методов моделирования обуславливается, в первую очередь, тем, какие

данные могут быть переданы на вход модели. Системы, участвующие в

противоборстве, характеризуются сотнями переменных, описывающих программное и

аппаратное обеспечение хостов, принципы и алгоритмы поведения, предпринимаемые

действия и т.п. Следовательно, модель противоборства имеет дело с обработкой

«больших данных» (big data), основные свойства которых: большой объем, высокая

скорость поступления/обновления и разнообразие. Следующая проблема связана с

принципиальной невозможностью подтверждения подлинности источников входных

данных. Входная информация для моделирования собирается с помощью множества

датчиков, функционирующих в рамках исследуемой инфраструктуры, и в этом смысле

проводится мета-анализ киберпространства (изучение предмета с помощью самого

предмета – по аналогии с метатеорией сознания, например). Если сравнить

исследование киберпространства и киберугроз с разведкой в реальном мире, то в

случае киберпространства наше положение гораздо менее выигрышно, так как нет

возможности получения информации из нескольких независимых источников.

Внешним по отношению к изучаемой области является только человек, но сложность

задачи моделирования не позволяет ограничиться экспертным анализом ситуации.

Полнота модели противоборства также недостижима: во-первых, в силу

неопределенности полноты знаний о структуре киберпространства; во-вторых, из-за

частичного отсутствия знаний о поведении противника. Здесь имеет смысл говорить о

двух классах неизвестных: «known unknowns» – например, время следующей атаки; и

«unknown unknowns» – например, информация о принципиально новых классах угроз.

Еще один фактор, который необходимо учесть при моделировании –

киберпространство, которое часто считается нейтральным фоном для

разворачивающегося киберконфликта – далеко не всегда нейтрально из-за воздействий

систем-участников на окружающую их среду.

Перечисленные проблемы накладывают ограничения на теоретическую базу,

пригодную для построения модели информационного противоборства в

киберпространстве, и в этом смысле упрощают выбор методов моделирования за счет

сокращения множества допустимых вариантов. В cущности, полнота решения

указанных проблем – один из критериев качества рассматриваемых моделей, а также

показатель возможности адаптации и доработки моделей из смежных областей

исследования.

Коноплев А.С., Бусыгин А.Г.

ИСПОЛЬЗОВАНИЕ НОВЫХ ВОЗМОЖНОСТЕЙ КИБЕРПРОСТРАНСТВА ДЛЯ

СОЗДАНИЯ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ ДАННЫХ

ООО «НеоБИТ», г.Санкт-Петербург

Применение средств криптографической защиты информации при передаче

информации в сети Интернет обеспечивает целостность и конфиденциальность

передаваемых данных. Однако сопровождающиеся при этом отклонения от шаблонных

значений, такие как увеличившаяся частота обмена сетевыми пакетами или высокая

17

частота повторных передач, являются достаточными для того, чтобы наблюдатель мог

идентифицировать отправителя и получателя сообщений, а также сделать вывод о

возможности возникновения некоторого значимого события. Данная проблема может

быть решена путем организации скрытых каналов передачи данных (СКПД),

позволяющих сохранить в секрете сам факт передачи информации (рис. 1).

Рисунок 1 – Общая схема функционирования скрытого канала передачи данных

СКПД могут быть использованы легитимными участниками

коммуникационного процесса для обеспечения дополнительной секретности при

передаче служебных данных. Также данные методы могут быть применены

нарушителем для организации скрытых каналов утечки информации, управления бот-

сетями и прочей вредоносной активности. Указанные подходы к использованию СКПД

ставят перед легитимными участниками коммуникационного процесса две

противоположные задачи: разработка эффективных методов скрытной передачи

конфиденциальных данных и обнаружение скрытых каналов утечки информации,

организованных нарушителем. Обе эти задачи требуют проведения анализа СКПД по

следующим критериям:

пропускная способность канала передачи данных;

сложность эксплуатации;

сложность обнаружения.

В работе проведено исследование СКПД, представлена их классификация, а

также проведен анализ СКПД по указанным выше критериям. По принципу генерации

сетевого трафика СКПД можно классифицировать как активные и пассивные.

Пассивный СКПД при передаче сообщения не генерирует собственный сетевой трафик,

18

а использует проходящие через него сторонние сетевые пакеты. Такой метод скрытной

передачи данных отличается повышенной стойкостью к обнаружению, сложностью

реализации и, как правило, ограниченной пропускной способностью.

По принципу осуществления синхронизации между источником и приемником

СКПД разделены на синхронные и асинхронные. Синхронные СКПД требуют наличия

механизма временной синхронизации между источником и приемником сообщений.

Передаваемые данные кодируются при помощи временных интервалов между

некоторыми событиями, возникающими в процессе открытой коммуникации между

источником и приемником. Таким образом, передаваемый сетевой трафик не содержит

закодированных сообщений.

Асинхронные СКПД не требуют наличия механизма синхронизации. Данные

кодируются либо при помощи их явной записи в поля сетевых пакетов, либо при

помощи формирования специальных последовательностей пакетов, не содержащих

скрываемого сообщения. Примером последнего служит преднамеренное изменение

последовательности отправки сетевых пакетов. Асинхронные СКПД более просты в

реализации, чем синхронные, а также позволяют добиться большей пропускной

способности. Однако при этом сетевой трафик, генерируемый источником, в

значительной мере отличается от шаблонов легитимного сетевого трафика и требует

дополнительной маскировки.

Представленные в работе классификация СКПД и анализ методов их

обнаружения предоставляют возможность выбора оптимального с точки зрения

производительности, сложности обнаружения и эксплуатации СКПД, разработки

автоматизированных средств их обнаружения, тем самым позволяя повысить уровень

защищенности современных автоматизированных систем.

Павленко Е.Ю., Калинин М.О.

ВЫЯВЛЕНИЕ ПРИНАДЛЕЖНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ К БОТ-СЕТЯМ С

ПОМОЩЬЮ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ



В настоящее время наблюдается тенденция к распространению бот-сетей на базе

мобильных устройств с целью поиска уязвимых хостов, реализации атак типа

«распределенный отказ в обслуживании», рассылка спама. Функционирование бот-

сетей характеризуется одновременными действиями большого количества бот-агентов.

Для большинства пользователей канал обмена SMS-сообщениями в настоящее время

считается доверенным (например, он используется в качестве метода авторизации

оплаты при проведении банковских операций). Высокий уровень доверия в сочетании с

постоянно снижающейся стоимостью отправки SMS, привело к тому, что

злоумышленники активно используют мобильные телефоны для распространения

спама по SMS.

Для обнаружения принадлежности мобильных устройств к бот-сетям,

создаваемых для рассылки SMS-спама, предлагается метод искусственных иммунных

систем (ИИС).

19

Предлагаемая искусственная иммунная система обучается на позитивных

примерах: достоверных SMS-сообщений, которые формирует модель поведения

пользователя.

После того, как искусственная иммунная система сформирует популяцию

антител (набор сигнатур), система должна рассчитать значение целевой функции для

каждого антитела. В ИИС по обнаружению SMS-спама целевой функцией является

наименьшее значение аффинности для данного антитела и всех сигнатур корректных

сообщений. Если средняя степень аффинности, рассчитанная по формуле расстояния

Евклида, больше порогового значения, система будет создавать множества антител до

тех пор, пока все они не будут удовлетворять данному значению.

После получения удовлетворяющей целевой функции популяции антител ИИС

осуществляет клональную селекцию, в процессе которой создается популяция клонов

антител, для каждой из которых производится мутация клонов, а затем сравнение

аффинности всех элементов. Если мутированное антитело лучше, чем родитель, то

последний заменяется данным мутированным антителом.

После проведения клональной селекции рассчитывается показатели аффинности

между антителами с помощью расстояния Хэмминга. Если расстояние Хемминга

между двумя антителами не превышает порог удаления, антитело с худшим значением

целевой функции удаляется из популяции, а антитело с лучшим значением целевой

функции заносится в базы данных рабочих антител. Если размер базы данных рабочих

антител недостаточен, популяция может быть дополнена с помощью проведения

предыдущих шагов для вновь сгенерированных сигнатур.

Для формирования сигнатур сообщения используются следующие параметры:

количество знаков (букв, слов, пробелов, знаков препинания) в SMS-сообщении;

количество телефонных номеров в SMS-сообщении; количество URL-адресов SMS-

сообщении

.ИИС перехватывает SMS-сообщение, которое должно быть отправлено с

телефона, и формирует сигнатуру данного сообщения, которая является антигеном. Для

данной сигнатуры рассчитывается степень аффинности с библиотекой антител, если

полученные значения Евклидова расстояния ниже порогового значения, данное

сообщение классифицируется как «легитимное» и передается в модуль отправки, а его

сигнатура добавляется в библиотеку достоверных сообщений, иначе система

классифицирует сообщение как спам и запрещает его отправку. Для повышения

точности работы системы и адаптации к изменениям в поведении пользователя в

случае определения SMS-сообщения как спам, система может задать вопрос о том,

является ли данное сообщение спамом, пользователю мобильного устройства. Если

система правильно определила сообщение как спам, то работа системы не меняется, в

случае же ошибочного определения, система должна доработать свое множество

антител, сгенерировав и проверив новые антитела.

Предложенная искусственная иммунная система позволяет выявить SMS-спам

на мобильном устройстве как один из признаков вовлеченности мобильного устройства

в бот-сеть.

20




Подраздел 1.3. Создание доверенной национальной платформы и безопасность

виртуальных систем

Бутусов И.В.

ДОВЕРЕННАЯ ПРОГРАММНО-АППАРАТНАЯ СРЕДА КАК ОСНОВА

ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

УПРАВЛЕНИЯ ОРГАНОВ ВОЕННОГО И ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ

ОАО «Концерн «Системпром», г.Москва

В настоящее время активно развивается достаточно широкий спектр методов и

технологий информационного воздействия как на отдельные средства вычислительной

техники, так и на информационно-телекоммуникационные системы и АСУ органов

военного и государственного управления (ОВГУ), реализация которых направлена на

получение несанкционированного доступа к информационным ресурсам.

Системы военного и государственного управления рассматриваются в качестве

основных объектов комплексного воздействия, направленного на завоевание

информационного превосходства и нарушение (затруднение) управления страной и

Вооруженными Силами, поэтому доверенную программно-аппаратную среду (ДПАС)

АСУ ОВГУ необходимо рассматривать в качестве одного из основных объектов

информационного воздействия потенциального противника, а обеспечение ее

информационной безопасности в различных условиях обстановки становится одной из

основных задач системы комплексного информационного противоборства.

ДПАС должна обеспечить функционирование АСУ ОВГУ в любых условиях

обстановки: в мирное время, включая критические и чрезвычайные ситуации, в

угрожаемый период, в период военных конфликтов, локальных и региональных войн,

при ограниченных и масштабных операциях противника с использованием неядерного

и ядерного оружия и массированных ракетно-ядерных ударах по территории России.

Основой построения перспективных современных систем специального

назначения в защищенном исполнении, соответствующим высоким требованиям к их

функциональным возможностям, надежности и функциональной устойчивости в

условиях современного информационного противоборства является использование при

их построении доверенной программно-аппаратной платформы (среды).

Однако широкое использование зарубежных аппаратно-программных средств

объективно вносит в системы управления неконтролируемые уязвимости. Очевидно,

что полностью доверенная аппаратно-программная среда критически важных систем

управления должна базироваться исключительно на средствах отечественной

разработки. Только в этом случае можно гарантированно обеспечивать требуемые

уровни надежности и защищенности, а также отсутствие неконтролируемых

уязвимостей («входов» в систему). Вместе с тем в настоящее время масштабы

использования зарубежных аппаратно-программных средств в системах управления

рассматриваемого класса (как функционирующих, так и разрабатываемых) таковы, что

единовременный отказ от их использования и переход на отечественные невозможен.

Единственной разумной альтернативой является поэтапный переход на отечественные

аппаратно-программные средства в критически важных составных частях систем

21

управления.

Доверенность – это строгое, гарантированное соответствие необходимым

требованиям в части информационной безопасности, надежности и функциональной

устойчивости в условиях современного информационного противоборства при

соблюдении определенных условий технологической независимости. Главный

критерий «доверенности» - соответствие требованиям информационной безопасности в

современных условиях информационного противоборства.

Под доверенной программно-аппаратной средой (ДПАС) понимается

совокупность технических и программных средств, организационных мер,

обеспечивающих создание, применение и развитие систем специального назначения в

защищенном исполнении, отвечающих необходимым требованиям информационной

безопасности, надежности и функциональной устойчивости, подтвержденных

сертификатами соответствия (заключениями) в соответствующих обязательных

системах сертификации Российской Федерации.

ДПАС АСУ ОВГУ – это совокупность программно-аппаратных средств,

обеспечивающих создание (развитие, модернизацию) АСУ и имеющих полный

комплект конструкторской, программной и эксплуатационной документации. Средства

ДПАС АСУ должны быть сертифицированы установленным порядком по требованиям

безопасности информации.

Термин «доверие» в приложении к программно-аппаратной среде означает, что

соответствующие программные и аппаратные средства обладают только теми

функциональными возможностями и техническими характеристиками, которые

приведены в документации и эти возможности и характеристики соответствуют

требованиям Заказчика.

Основными критериями «доверенности» ДПАС АСУ являются:

информационная безопасность при обязательном соответствии требованиям

сертификации; технологическая независимость; обеспечение гарантий технической

поддержки на всех этапах жизненного цикла АСУ; аттестованное по требованиям

информационной безопасности производство программно-аппаратных средств.

Обязательным условием обеспечения «доверия» является сертификация, которая

способна выполнить технически и методически корректные и гарантированно полные

проверки аппаратуры и программного обеспечения на соответствие заданным

требованиям.

Реализация требований доверенности к аппаратной среде предполагает:

применение основных и вспомогательных технических средств,

прошедших специальную проверку и специальные исследования и получивших

заключение о спецпроверке и предписание на эксплуатацию;

обязательную сертификацию по требованиям безопасности информации к

СВТ по требуемому классу защиты всех технических средств (составных частей) из

состава изделия (системы специального назначения);

использование аппаратных средств защиты информации (СЗИ)

российской разработки, прошедших сертификационные исследования программных

средств на отсутствие недекларируемых возможностей и безопасность исходных кодов,

а также подтверждение реально декларируемых возможностей;

использование сертифицированных активных и пассивных технических

средств защиты информации (генераторы шума, фильтры, экраны и т.д.).

22

ЛИТЕРАТУРА

1. Бородакий Ю.В., Лободинский Ю.Г. Информационные технологии в военном

деле (основы теории и практического применения) М.: Горячая линия – Телеком, 2008

г.

2. Бородакий Ю.В., Боговик А.В., Карпов Е.А., Курносов В.И., Лободинский

Ю.Г., Масановец В.В., Паращук И.Б. Основы теории управления в системах

специального назначения. - Учебник. М.: Изд. Управление делами Президента

Российской Федерации, 2008 г.

3. Бородакий Ю.В., Миронов А.Г., Добродеев А.Ю., Болдина М.Н., Бутусов И.В.

Перспективные системы защиты информации должны быть интеллектуальными //

Защита информации. INSIDE. 2013. № 2. С. 48-51.

4. Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Доверенная среда-основа

гарантированной безопасности // «Information Security/Информационная безопасность».

2013. № 2. С. 36-37.

5. Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Кибербезопасность как

основной фактор национальной и международной безопасности XXI века (часть 1, 2)//

Вопросы кибербезопасности №1 (1). 2013 г., № 1(2). 2014 г.

Залогин В.Н.

ЗАЩИЩЕННАЯ ВИРТУАЛЬНОСТЬ – ЭТО РЕАЛЬНОСТЬ

ЗАО «С-Терра СиЭсПи», г.Москва

Рассмотрены особенности защиты виртуальной инфраструктуры с помощью

новых, современных средств обеспечения безопасности. В частности, будут

определены основные принципы работы виртуального шлюза безопасности,

преимущества его применения и вопросы, возникающие при использовании.

Применимы ли возможности, которые открывает появление нового мощного, но в то

же время простого, средства защиты в виртуальной среде, для защиты облачной

инфраструктуры? Возможно ли полностью обезопасить обмен данными в виртуальной

среде? Докладчик рассмотрит задачи, стоящие как перед разработчиком виртуального

шлюза безопасности, так и перед пользователем виртуальных вычислительны систем и

сетей.

Зегжда Д.П., Никольский А.В.

ИСПОЛЬЗОВАНИЕ АППАРАТНОЙ ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ ДЛЯ

ЗАЩИТЫ ДОВЕРЕННОГО ПРИЛОЖЕНИЯ В НЕ ДОВЕРЕННОЙ ОПЕРАЦИОННОЙ

СИСТЕМЕ



Доверие является ключевым аспектом безопасности. Доверие к некоторому

компоненту системы означает, что он не только работает корректно, но и обладает

23

ожидаемым поведением, поэтому доверенные компоненты используются для

построения средств защиты. Когда в информационной системе используется

технология виртуализации, то появляется новый механизм обеспечения доверия в

такой системе – это гипервизор. Его можно использовать в качестве такого механизма,

потому что он контролирует все события в системе, выполняясь на самом нижнем

уровне, и поэтому он обладает самыми высокими привилегиями в системе. Рассмотрим

возможность обеспечения доверия к компонентам системы с помощью гипервизора в

различных вариантах его использования.

Технология виртуализации на сегодняшний день стала настолько популярной,

что аппаратная поддержка этой технологии (Intel VT-x и AMD-V) присутствует в

домашних компьютерах пользователей и постепенно начинает использоваться в

мобильных устройствах. Поэтому исследование возможностей гипервизора для

повышения доверия к компонентам информационных систем является актуальной

задачей.

Среди научных исследований в этой области следует отметить

исследовательскую работу Terra [1], которая посвящена созданию доверенного стека

виртуализации для последующего обеспечения удаленного доступа к виртуальным

машинам. Кроме того необходимо выделить исследовательский проект HyperWall [2],

который предлагает аппаратную доработку компьютера, в результате чего

обеспечивается работа доверенных виртуальных машин в случае использования не

доверенного гипервизора.

Среди различных конфигураций системы, включающей в себя как доверенные,

так и не доверенные компоненты в рамках настоящего исследования будет

рассматриваться следующая: под управлением доверенного гипервизора

функционирует одна или несколько виртуальных машин, а внутри виртуальных машин

работает не доверенная операционная система, которая помимо не доверенных

приложений содержит и доверенные. В качестве практического примера такой

конфигурации можно привести использование доверенного крипто-провайдера в не

доверенной операционной системе. Таким образом, можно сформулировать

следующую задачу: обеспечение защиты доверенного приложения в не доверенной

операционной системы с помощью доверенного гипервизора. Поскольку доверенное

приложение, обладающее ожидаемым поведением, работает под управлением не

доверенной операционной системы и вынуждено работать вместе с другими не

доверенными приложениями, то для его защиты, и как результат сохранения доверия к

этому приложению, необходимо обеспечить следующее:

1. Корректность данных поступающих в доверенное приложение на обработку.

2. Целостность используемой доверенным приложением памяти.

3. Целостность данных, генерируемых приложением.

Доверенный гипервизор в рассматриваемой конфигурации обладает рядом

ключевых возможностей, которые могут быть использованы для защиты доверенного

приложения:

1. Мониторинг всех событий в системе, в том числе событий приложений и

ядра операционной системы.

2. Проверки совершаемых действий и данных, путем сравнения их с эталоном,

который может быть заложен в гипервизор заранее.

3. Изменения поведение системы, в том числе и изменение поведения ядра

операционной системы.

Для обеспечения корректности данных, поступающих в доверенное приложение,

24

гипервизор перехватывает событие, по которому данные подаются на обработку в

доверенное приложение, и производит их проверку. Для осуществления проверки

данных гипервизор может использовать не только эвристические функции и метод

сравнения значений с эталоном, но и предоставлять пользователю возможность

проверять данные. Последнее допустимо, благодаря тому, что гипервизор имеет

прямой доступ к оборудованию и может приостанавливать работу виртуальной

машины, на время проверки данных пользователем.

Важной особенностью гипервизора является то, что в рамках изменения

поведения системы внутри виртуальной машины гипервизор может защищать любую

область памяти путем подмены данных в этой памяти для программ и других

компонентов операционной системы внутри виртуальной машины, создавая теневые

копии этих данных. Таким образом, для обеспечения целостности данных и кода

доверенного приложения гипервизор подменяет значения этой памяти для всех

компонентов в системе кроме непосредственно доверенного приложения. В результате

при попытке изменить код или данные доверенного приложения другие компоненты

системы будут вносить изменения лишь в теневые копии этой памяти, а реальные

данные доверенного приложения не пострадают. Достоинством предлагаемого метода

является то, что для других компонентов системы, не являющихся доверенными, не

возникает никакой ошибки и они продолжают работать дальше.

Еще одной особенностью гипервизора является то, что доверенные приложения

могут передавать данные в доверенный гипервизор напрямую без вовлечения

операционной системы. В результате для обеспечения целостности данных,

полученных в результате работы доверенного приложения, они могут быть направлены

в гипервизор (при этом не доверенное программное обеспечение не будет иметь

возможность их перехватить), а затем переданные далее другим приложениям. Кроме

того, если в качестве доверенного приложения в системе выступает доверенный

отображатель, то гипервизор может передавать в него данные от других доверенных

приложений напрямую без операционной системы, используя тот же механизм.

Поскольку запуск доверенного приложения может произойти уже в процессе

работы не доверенной операционной системы, то гипервизор может осуществить

идентификацию доверенного приложения, например, по запросу этого доверенного

приложения, путем сравнения кода и данных приложения с эталоном.

В результате можно сделать вывод о том, что доверенный гипервизор может

стать средством защиты доверенных приложений в не доверенной операционной

системе, поскольку все используемые им для защиты возможности основываются на

аппаратном обеспечении. Широкая распространенность аппаратного обеспечения с

поддержкой технологии виртуализации делает возможным использование

предлагаемого подхода защиты доверенных приложений для защиты пользовательских

данных на их персональных компьютерах.


ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ ДОВЕРЕННОГО ПРИЛОЖЕНИЯ В

НЕДОВЕРЕННОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ С ПОМОЩЬЮ ГИПЕРВИЗОРА



Доверие к средствам защиты является ключевым аспектом информационной

25

безопасности. Понятие «доверие» по отношению к программному обеспечению

означает, что оно, во-первых, функционирует корректно, без ошибок и сбоев, и, кроме

того, обладает предсказуемым поведением, не нарушающем установленные

ограничения. Именно такие требования предъявляются к ключевым компонентам

программных средств защиты, в частности к криптографическим средствам, которые

изначально разрабатываются с применением специализированных технологий и

методик разработки, средств тестирования и верификации.

Однако, в большинстве случаев, программные средства не могут

функционировать самостоятельно, они выполняются в некоторой операционной среде,

как правило, в некоторой операционной системе (ОС), которая может существенно

влиять на функционирование приложений и сервисов и таким образом способна

поставить под сомнение доверенность таких средств. В случае, если сама ОС является

доверенной, такой проблемы не возникает, но таких систем немного и широкого

распространения они не имеют в силу объективных причин. Поэтому весьма

актуальной является задача обеспечения доверия к функционированию доверенных

приложений в недоверенной среде.

На взгляд авторов эффективным способом решения этой задачи является

использование технологии виртуализации и специальных мониторов-гипервизоров,

полностью контролирующих работу всех программных средств. Технология

виртуализации на сегодняшний день стала настолько популярной, что аппаратная

поддержка этой технологии (Intel VT-x и AMD-V) присутствует не только в серверах,

но и в домашних компьютерах пользователей и даже в мобильных устройствах.

Среди исследований в области использования технологии виртуализации для

решения задач безопасности следует отметить проект построения доверенных

вычислений, развиваемый группой ученых во главе с профессором М. Розенблюмом из

Стэндфордского университета, в результате которого была предложена платформа на

базе доверенного монитора виртуальных машин, использующая криптографические

протоколы идентификации собственных компонентов [1]. Кроме того Сзефер и Ли из

Принстонского университета предложили ряд усовершенствований аппаратного

обеспечения, которые позволяют обеспечить защиту данных для виртуальной машины,

запущенной в недоверенном или вредоносном гипервизоре [2].

Среди различных конфигураций систем, включающих как доверенные, так и

недоверенные компоненты будем рассматривать следующую: под управлением

доверенного гипервизора функционирует одна или несколько виртуальных машин, в

которых работает недоверенная ОС, в которой помимо недоверенных приложений

присутствуют и доверенные. В качестве практического примера такой конфигурации

можно привести доверенный криптопровайдер, функционирующий в недоверенной

ОС.

В общем случае работа доверенного приложения характеризуется тремя

ключевыми признаками:

1. На вход доверенному приложению поступают только достоверные данные

(отсутствует возможность подмены значений этих данных).

2. Само приложение обрабатывает входные данные ожидаемым способом

(отсутствуют недокументированные возможности и иные отклонения в поведении

приложения).

3. На выходе приложения формируются достоверные данные, значения которых не

могут быть подменены в процессе передачи их пользователю.

При помещении доверенного приложения в недоверенную среду эти свойства

26

могут быть нарушены, поэтому необходимо обеспечить защиту такого приложения,

сохранив доверие к нему. Для обеспечения защиты доверенного приложения

предлагается использовать доверенный гипервизор, который обладает двумя

свойствами:

1. Доверенный гипервизор функционирует непосредственно на физическом

оборудовании, в отличие от ОС, которая в этом случае будет функционировать

внутри виртуальной машины.

2. Доверенный гипервизор контролирует поведение всего программного обеспечения

внутри виртуальной машины, включая поведение ядра недоверенной ОС.

Благодаря аппаратной технологии виртуализации доверенный гипервизор

приобретает следующие возможности:

Прямой доступ к любой области памяти виртуальной машины.

Перехват управления в случае возникновения в виртуальной машине

событий, связанных с доступом к заданной области памяти на чтение, запись

или выполнение.

Прямой доступ к оборудованию, в том числе к устройствам отображения и

ввода данных.

Подмена значений в заданной области памяти виртуальной машины,

прозрачно для программного обеспечения.

Остановка и возобновление выполнения виртуальной машины с любой

инструкции программного обеспечения внутри нее в любой момент времени.

С помощью этих функций, основанных на аппаратной поддержке, доверенный

гипервизор может обеспечить защиту доверенного приложения следующим образом:

1. Достоверность входных данных для доверенного приложения обеспечивается

путем перехвата этих данных гипервизором при попытке выполнить код

доверенного приложения и проверкой достоверности этих данных. Для проверки

достоверности доверенный гипервизор может использовать эвристические методы,

метод сравнения с эталонными значениями или предоставить возможность

пользователю самому принять решение о достоверности данных, используя прямой

доступ гипервизора к оборудованию отображения.

2. Для защиты алгоритма функционирования доверенного приложения гипервизор

должен обеспечить сохранение целостности кода этого приложения. Для этого

доверенный гипервизор должен, во-первых, идентифицировать код доверенного

приложения в памяти виртуальной машины перед его выполнением методом

сравнения с эталоном, а во-вторых, защитить этот код от несанкционированного

доступа. Подмена значений в области памяти с кодом доверенного приложения в

случае несанкционированного доступа со стороны недоверенных приложений

позволяет не только защитить данные, но и сохранить работоспособность

недоверенного программного обеспечения.

3. Доверенный гипервизор обеспечивает достоверность данных, полученных в

результате работы доверенного приложения, путем перехвата управления сразу

перед выполнением кода недоверенного программного обеспечения, и

последующей передачи этих данных непосредственно потребителю.

Таким образом доверенный гипервизор может стать надежным средством

защиты доверенных приложений в недоверенной среде, поскольку все используемые

для этого функции основываются на аппаратном обеспечении. Широкая

распространенность аппаратного обеспечения с поддержкой технологии виртуализации

27

делает возможным использование предлагаемого подхода для защиты доверенных

приложений в недоверенной ОС.

Список источников:

1. Garfinkel T., Pfaff B., Chow J., Rosenblum M., Boneh D. Terra: a virtual

machine-based platform for trusted computing [Электронный ресурс] / Garfinkel

T., Pfaff B., Chow J., Rosenblum M., Boneh D. – SIGOPS, October 19–22, 2003,

Bolton Landing, New York, USA – Режим доступа:

http://suif.stanford.edu/papers/sosp03-terra.pdf – Яз. англ. (дата обращения

01.06.2014)

2. Szefer J., Lee R. Architectural Support for Hypervisor-Secure Virtualization

[Электронный ресурс] / Szefer J., Lee R. – ASPLOS, Март 2012, London,

England, UK – Режим доступа:

http://palms.princeton.edu/system/files/asplos2012_wfooter.pdf – Яз. англ. (дата

обращения 01.06.2014)

http://suif.stanford.edu/papers/sosp03-terra.pdf

http://palms.princeton.edu/system/files/asplos2012_wfooter.pdf

28




Подраздел 1.4. Безопасные операционные системы с управляемым доступом

Арчинеков Е. М., Ефанов Д. В., Рощин П. Г.

МЕЖПРОЦЕССНОЕ ВЗАИМОДЕЙСТВИЕ В ОПЕРАЦИОННОЙ СИСТЕМЕ С

МАНДАТНЫМ МНОГОУРОВНЕВЫМ УПРАВЛЕНИЕМ ДОСТУПОМ НА ОСНОВЕ

D-BUS

Федеральное государственное унитарное предприятие «Центральный научно-

исследовательский институт экономики, информатики и систем управления»,

г.Москва

Ядро Linux располагает только базовыми средствами межпроцессного

взаимодействия: каналы, сокеты, разделяемая память. Они не подходят для

использования в графической среде, где требуется сложное межпроцессное

взаимодействие: удаленный вызов процедур, передача сообщений, сигналов.

Современным решением является D-Bus — системная служба, предоставляющая

широкий спектр возможностей высокоуровневого межпроцессного взаимодействия.

В операционной системе с мандатным многоуровневым управлением доступом,

обладающей многооконной графической средой, возникает задача передачи

информации с учётом уровней безопасности процессов. D-Bus располагает широким

спектром возможностей по управлению информационными потоками, однако данные

средства не учитывают передачу по D-Bus сообщений с различными уровнями.

В докладе представлены методы улучшения совместимости служб D-Bus,

функционирующих в многоуровневой графической среде, а также метод безопасного

запуска графических приложений.

Предлагается метод реализации механизма многоэкземплярности на уровне

служб D-Bus. В основе лежит контроль всех передаваемых через D-Bus данных

с помощью диспетчера доступа, встроенного в ядро операционной системы,

и отвечающего за системную политику безопасности. Для каждого нового уровня

безопасности D-Bus обеспечивает запуск нового независимого экземпляра процесса,

обслуживающего методы, которые требуются для работы графических приложений

с данным уровнем. D-Bus позволяет улучшить безопасность системы путём разделения

объектного кода библиотеки интерфейсов и использующего эту библиотеку процесса,

что позволяет разработать более строгие политики безопасности для приложений

и библиотек. Таким образом, обеспечивается изоляция обрабатываемой информации

между уровнями, при этом не требуется модификация существующих приложений

и служб. Механизм многоэкземплярности реализован как специально

модифицированная служба D-Bus, совместимая со стандартной реализацией.

Метод запуска приложений с уровнями состоит в разрыве обратной связи

в отношении «родитель-потомок», существующей при традиционном использовании

системного вызова fork(). Приложения запускаются специальной службой, которая

выполняет очистку переменных окружения и не требует от клиента необходимости

ожидания завершения процесса. При этом блокируются все каналы передачи данных

между родителем и потомком. В разработанной авторами реализации запуск нового

приложения осуществляется путём вызова метода интерфейса с использованием

29

службы D-Bus. При этом клиенту предоставляется возможность указать уровень,

с которым будет запущен процесс. Данная реализация позволяет использовать

безопасный метод запуска графических приложений в любой программе: панели

управления, файловом менеджере, терминале без изменения системной политики


Данные методы используются в операционной системе «Заря», обладающей

средствами защиты, отвечающими требованиям к третьему классу защищённости

согласно РД ГТК.

Девянин П.Н., Куликов Г.В., Хорошилов А.В.

КОМПЛЕКСНОЕ НАУЧНО-ОБОСНОВАННОЕ РЕШЕНИЕ ПО РАЗРАБОТКЕ

ОТЕЧЕСТВЕННОЙ ЗАЩИЩЕННОЙ ОССН ASTRA LINUX SPECIAL EDITION

УМО ИБ, ОАО «НПО РусБИТех», ИСП РАН, г. Москва

Разработка защищенной операционной системы (ОС) – сложный наукоемкий

процесс, требующий концентрации усилий многих отечественных центров

компетенции в области теории и практики информационной безопасности. В ряде

случаев неудачи при создании таких ОС являлись следствием неспособности их

разработчиков обеспечить, во-первых, сопровождение и развитие ОС, ее необходимую

функциональность, а, во-вторых, обосновать, в том числе строго научно, что

реализованные для защиты ОС технические решения действительно позволяют достичь

заданных целей безопасности.

В связи с этим разработка отечественной защищенной операционной системы

специального назначения (ОССН) Astra Linux Special Edition [1] изначально велась

путем сочетания усилий специалистов по созданию механизмов защиты ОС и

представителей научного сообщества. Данная ОССН является в настоящее время

единственной в Российской Федерации отечественной ОС, сертифицированной во всех

трех системах сертификации средств защиты информации (МО, ФСТЭК и ФСБ

России), на ее основе созданы и внедрены в органах исполнительной власти, на

предприятиях промышленности около двухсот автоматизированных систем в

защищенном исполнении, в том числе обеспечивающих защиту информации с грифом

до «совершенно секретно» включительно. В МО России ОССН принята на снабжение.

Так как традиционно механизм управления доступом рассматривается как

основа обеспечения безопасности систем с мандатным управлением доступом, то

научно-обоснованным техническим решением для его реализации в ОССН стала

мандатная сущностно-ролевая ДП-модель (сокращенно, МРОСЛ ДП-модель) [2, 3]. В

данной модели обеспечивается сочетание мандатного управления доступом,

мандатного контроля целостности с перспективным ролевым управлением доступом.

При этом особое внимание уделено детальному описанию правил преобразования

состояний системы, которые классифицированы на де-юре правила (всего 34), которые

требуют реализации в ОССН, то есть приводящие к «реальным» изменениям ее

параметров: изменению множеств прав доступа ролей, получению доступов субъект-

сессий (например, процессов ОССН) к сущностям (например, файлам, каталогам) или

ролям и т.д.; и де-факто правила (всего 10), которые не требуют реализации в ОССН,

так как используются в модели для отражения факта получения субъект-сессией де-

факто владения (захвата контроля) субъект-сессиями или факта реализации

30

информационного потока по памяти или по времени. Де-юре правила задаются на

основе предположений о свойствах механизмов мандатного и ролевого управления

доступом и мандатного контроля целостности, которые включают требования к их

реализации по следующим основным направлениям:

права доступа ролей или административных ролей к субъект-сессиям и доступы

субъект-сессий друг к другу, административные права доступа и иерархия ролей

или административных ролей;

доступы и права доступа, права доступа владения, администрирование прав

доступа ролей, административных ролей, доступ к сущностям в иерархии

сущностей;

получение и администрирование параметров, имен сущностей, субъект-сессий,

ролей или административных ролей;

создание, переименование или удаление сущностей, ролей или

административных ролей или «жестких» ссылок на них, создание, удаление

субъект-сессий, изменение их ролей-«владельцев»;

администрирование учетных записей пользователей, получение их параметров,

индивидуальные роли учетных записей пользователей, доступы субъект-сессий

к ним;

текущие уровни доступа субъект-сессий, уровни конфиденциальности

сущностей, ролей или административных ролей, параметрически

ассоциированных сущностей, администрирование их уровней

конфиденциальности;

текущие уровни целостности субъект-сессий, сущностей, ролей или

административных ролей, параметрически ассоциированных сущностей,

администрирование их уровней целостности;

специальные сущности для доступа к элементам системы с высоким уровнем

целостности;

нарушение правил мандатного управления доступом.

В теории компьютерной безопасности важнейшим результатом исследования

формальной модели безопасности логического управления доступом и

информационными потоками, как правило, считается обоснование в ее рамках условий

безопасности или, наоборот, нарушения безопасности рассматриваемых систем. Для

этого в МРОСЛ ДП-модели приводятся определение безопасного начального состояния

системы (состояния, в котором отсутствуют запрещенные информационные потоки по

памяти или по времени, фактическое владение субъект-сессиями друг другом,

информационные потоки по памяти или доступы к сущностям, параметрически или

функционально ассоциированным с субъект-сессиями, не нарушают правил мандатного

контроля целостности) и определение трех смыслов нарушения безопасности системы:

в смысле мандатного контроля целостности, позволяющее недоверенной

субъект-сессии с низким уровнем целостности захватить контроль (фактическое

владение) над доверенной субъект-сессии с высоким уровнем целостности;

в смысле Белла-ЛаПадулы, результатом которого является создание

запрещенного информационного потока по памяти «сверху-

сущности с высоким уровнем конфиденциальности к сущности с низким

уровнем конфиденциальности;

31

запрещенного информационного потока по времени «сверху-вниз» между

сущностями.

С использованием этих определений в модели сформулированы и обоснованы

достаточные условия безопасности системы в смыслах мандатного контроля

целостности и Белла-ЛаПадулы, заключающиеся в обеспечении:

корректности уровней конфиденциальности и целостности сущностей,

функционально ассоциированных с субъект-сессиями;

корректности уровней конфиденциальности и целостности, а также прав доступа

на чтение к сущностям, параметрически ассоциированным с субъект-сессиями;

функциональной и параметрической корректности всех доверенных субъект-

сессий относительно всех доверенных субъект-сессий и сущностей;

абсолютной функциональной и параметрической корректности каждой субъект-

сессии относительно всех сущностей и субъект-сессий с совпадающим уровнем

конфиденциальности.

Исследование условий безопасности системы в смысле контроля

информационных потоков по времени как наиболее сложное планируется осуществить

в дальнейшем.

Ввиду того, что МРОСЛ ДП-модель достаточно детально описывает механизм

управления доступом реальной ОССН, ее текстуальное представление в

математической нотации достигло такого размера, что оценить корректность всех

математических формулировок и утверждений становится не просто. Кроме того,

следуя развитию ОССН, в модель приходится вносить изменения, и, следовательно,

процесс обоснования корректности заданных в ее рамках условий безопасности

требуется повторять многократно.

Для того, чтобы добиться объективности и воспроизводимости рассуждений о

свойствах модели, и там, где это возможно, максимально автоматизировать этот

процесс, модель переводится в формализованную нотацию Event-B [4]. При этом

элементам, задающим в рамках МРОСЛ ДП-модели состояния системы, в

формализованной нотации ставятся в соответствие переменные состояния, а де-юре и

де-факто правилам преобразования состояний – события Event-B. Инварианты на

переменные состояния описывают свойства внутренней согласованности элементов

МРОСЛ ДП-модели. При помощи инструментов дедуктивной верификации платформы

Rodin [5] доказывается, что любое преобразование состояния, заданное событиями

Event-B, сохраняет все инварианты состояния, что позволяется убедиться в

корректности формализации МРОСЛ ДП-модели. Такая же техника применяется и для

доказательства безопасности системы.

Далее МРОСЛ ДП-модель адаптируется к интерфейсам механизма управления

доступом ОССН, основанном на Linux Security Module (LSM) [6], формализуется в

нотации Event-B и ее свойства доказываются аналогично исходной модели. Затем эта

модель транслируется в нотацию ACSL [7], которая позволяет сформулировать

требования непосредственно к реализации интерфейса LSM на языке Си с учетом всех

его особенностей. Требования описываются в виде предусловий и постусловий

интерфейсных операций и затем при помощи методов дедуктивной верификации,

реализованных в инструменте Why3 [8], доказывается, что реализация модуля

управления доступом ОССН соответствует этим требованиям. Поскольку для

доказательства применяются дедуктивные методы, то это означает, что программа

является корректной, т. е. соответствующей своей спецификации, на всех входных

32

данных и при всех условиях, если выполняются предположения лежащие в основе

методов и инструментов. В число таких предположений входит корректная работа

компилятора при трансляции программы на языке Си в машинные инструкции и

корректная работа библиотечных функций, находящихся за границами

верифицируемого кода.

Таким образом, при разработке ОССН на основе МРОСЛ ДП-модели

выполняется следующая последовательность этапов.

1. В математической нотации описывается МРОСЛ ДП-модель, формулируются и

обосновываются заданные в ее рамках условия безопасности.

2. Модель представляется в формализованной нотации Event-B и при помощи

платформы Rodin проводится дедуктивное доказательство ее свойств.

3. Модель адаптируется к интерфейсам механизма управления доступом ОСНН, с

использованием нотации ACSL задаются спецификации функций механизма

управления доступом ОССН и при помощи инструмента Why3 обосновывается

корректность их реализации.

Если переход со второго на третий этап может быть хотя бы частично

автоматизирован, то переход от математической нотации к формализованной может

быть осуществлен только «вручную», что повышает риск возникновения

несоответствия двух представлений МРОСЛ ДП-модели. В связи с этим сделан выбор в

пользу разработки модели только в формализованной нотации Event-B. Эта нотация

достаточно «выразительна» для адекватного представления всех элементом МРОСЛ

ДП-модели, и, кроме того, может в дальнейшем стать прообразом отечественного

стандарта языка описания моделей механизма логического управления доступом в

защищенных компьютерных системах при осуществлении их сертификации.

Подводя итог вышесказанному, следует отметить, что для разработки ОССН

Astra Linux Special Edition сформировано комплексное научно-обоснованное

техническое решение, заключающееся в создание ее механизма управления доступом,

начиная с абстракции МРОСЛ ДП-модели, через формальную верификацию и

дедуктивное доказательство ее свойств, к обоснованию адекватности реализации

модели непосредственно в программном коде ОССН. В дальнейшем планируется

распространение этого решения на процесс разработки других механизмов защиты

ОССН.


1. Операционные системы Astra Linux. URL: http://www.astra-linux.ru/.

2. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и

информационными потоками. Учебное пособие для вузов. 2-е изд., испр. и доп. М.:

Горячая линия — Телеком, 2013. 338 с.: ил.

3. Девянин П.Н. Администрирование системы в рамках мандатной сущностно-ролевой

ДП-модели управления доступом и информационными потоками в ОС семейства

Linux // Прикладная дискретная математика. 2013. № 4(22). С. 2240.

4. Abrial J.-R. Modeling in Event-B: System and Software Engineering. Cambridge

University Press, 2010.

5. Abrial J.-R., Butler M., Hallerstede S., Hoang T. S., Mehta F., Voisin L. Rodin: An Open

Toolset for Modelling and Reasoning in Event-B. International Journal on Software Tools

for Technology Transfer, 12(6), рр. 447-466, 2010.

6. Wright C., Cowan C., Smalley S., Morris J., Kroah-Hartman G. Linux Security Modules:

33

General Security Support for the Linux Kernel. Proc. of the 11-th USENIX Security

Symposium, pp. 17-31, 2002.

7. ANSI/ISO C Specification Language. URL: http://frama-c.com/acsl.html.

8. Filliatre J.C., Paskevich A. Why3: Where programs meet provers. In: Felleisen,

M., Gardner, P. (eds.) Proceedings of the 22nd European Conference on Programming

Languages and Systems. pp. 125–128. ESOP’13, Springer-Verlag, Berlin, Heidelberg

(2013). URL: http://dx.doi.org/10.1007/978-3-642-37036-6_8.

Куваев В.О., Саенко И.Б.

ПОДХОД К РЕШЕНИЮ ЗАДАЧИ РАЗГРАНИЧЕНИЯ ДОСТУПА В РАЗНОРОДНОМ

ИНФОРМАЦИОННОМ ПРОСТРАНСТВЕ

Военная академия связи, СПИИРАН, г.Санкт-Петербург

В настоящее время концепция «единого информационного пространства» (ЕИП)

привлекает достаточно пристальное внимание практически всех исследователей и

разработчиков информационных систем. В современных исследованиях эта концепция

рассматривается как направление, определяющее дальнейшее развитие

информационного обеспечения в целях создания сетеориентированных гетерогенных

информационных систем коллективного пользования. Гетерогенность означает, что

данные ресурсы ЕИП являются разнородными по содержанию и форматам

представления и, кроме того, они могут отличаться по критериям и методам

обеспечения безопасности. В результате разграничение доступа в разнородном

информационном пространстве становится достаточно сложной задачей.

Для ее решения предлагается подход, основанный на двухэтапном моделировании

системы разграничения доступа к ресурсам ЕИП. На первом этапе формируется

концептуальная модель системы разграничения доступа в ЕИП, в которой отражаются

основные понятия данной предметной области и отношения между ними.

Концептуальная модель обеспечивает понятийный базис системы управления доступа.

На втором этапе модель насыщается формальной семантикой за счет использования

онтологического представления правил разграничения доступа в ЕИП.

Концептуальная модель в качестве исходных данных использует: 1) частные

системы разграничения доступа, реализованные в отдельных автоматизированных

системах (АС), объединенных с помощью ЕИП; 2) субъекты доступа в каждой АС;

3) объекты доступа в каждой АС; 4) полномочия доступа в каждой АС. Выход модели

определяется совокупностью отображений частных систем разграничения доступа в

результирующую систему разграничения доступа ЕИП. При этом поддерживаются

ограничения, определяющие условия, что объединение субъектов и объектов доступа

отдельных АС составляет, соответственно, множества субъектов и объектов доступа

результирующей системы разграничения доступа ЕИП.

Насыщение модели формальной семантикой обеспечивается за счет

использования различных онтологий. Онтологическая модель по определению

способна описывать и оперировать имеющимися сегментами разнородной

информации. При этом уже реализованные информационные сегменты не требуют

коренной переработки, так как применение онтологий в данном случае может быть

реализовано в виде независимой программно-информационной надстройки над уже

имеющимися информационными массивами.

34

Предлагается использовать уже известные существующие онтологии (например,

онтологию General Privacy Ontology, в которой содержатся понятия, представляющие

различные аспекты управления доступом к информации, в том числе и персональной),

дополнив их уточняющими обобщенными описаниями политик доступа.

Получившаяся в результате выполнения этих операций онтология позволяет

реализовать метод семантического управления доступом к ресурсам ЕИП,

заключающийся в проведении логического вывода на онтологии. Для этого в

онтологию добавляются экземпляры-описания удовлетворяющих ей ситуаций и

отношений с составляющими их экземплярами-компонентами. При установлении

факта принадлежности экземпляра-описания к некоторому классу политики доступа

принимается решение о разрешении доступа. В противном случае делается вывод, что

данная ситуация доступа не удовлетворяет заданной политике, и принимается решение

о запрете доступа.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-13159,

14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН

(контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS

и государственного контракта №14.ВВВ.21.0097.

Фроимсон М.И., Панфилов Л.А., Улейкин Е.Ю.

РАЗРАБОТКА ЗАЩИЩЕННОЙ ОПЕРАЦИОННОЙ СИСТЕМЫ ДЛЯ МОБИЛЬНЫХ

УСТРОЙСТВ

Национальный Исследовательский Ядерный Университет «МИФИ», г.Москва

Тенденции развития области мобильных технологий таковы, что мобильные

устройства получили повсеместное распространение и являются неотъемлемой частью

жизни практически любого человека. Ценность обрабатываемой в мобильных

устройствах информации повышается. Помимо стандартных функций осуществления

телефонных вызовов и обмена короткими текстовыми сообщениями, современные

мобильные устройства позволяют хранить гораздо больший набор данных, в том числе

книгу контактов, отметки календаря, записную книжку, информацию о банковских

карточках, текстовые документы и многое другое.

Повышение защищенности операционной системы, под управлением которой

может функционировать мобильное устройство может быть достигнуто различными

методами. Основными подходами являются создание средств защиты информации,

устанавливаемых поверх имеющейся операционной системы, а также разработка

операционной системы либо интеграция средств защиты информации с уже

имеющейся операционной системой.

Наиболее целесообразно для разработки средств защиты мобильной

операционной системы будет воспользоваться методом доработки существующей

операционной системы и интеграции средств защиты с операционной системой.

В качестве базовой операционной системы может быть выбрана операционная

система с открытым либо частично открытым исходным кодом, преимущественно

используемая для персональных компьютеров либо преимущественно используемая

для мобильных устройств.

Факторы интуитивной понятности пользователю, наличия широкого спектра

прикладного программного обеспечения, а также малая трудоемкость поддержки могут

35

быть достигнуты при использовании в качестве базовой операционную систему,

преимущественно используемую для мобильных устройств.

В связи с тем, что наибольшую популярность среди пользователей имеет

операционная система Android, и рост ее популярности продолжается, а также с учетом

открытости большей части исходных текстов указанной операционной системы, в

качестве базовой операционной системы выбрана ОС Android.

Так как в основе операционной системы Android лежит ядро Linux, то

реализация механизмов защиты предполагается на уровне ядра. Также реализуются

механизмы получения доступа к средствам защиты информации на более высоком

уровне.

Для обеспечения совместимости с существующим программным обеспечением

осуществляется доработка некоторых компонентов операционной системы.

Предлагаемая архитектура защищенной операционной системы на базе

операционной системы Android представлена на рисунке 1.

Рисунок 1. Архитектура защищенной мобильной операционной системы на базе

операционной системы Android.

Каркас приложений

Приложения

Главный экран Телефон Контакты БраузерПриложения

Менеджер деятельностей

Менеджер оконКонтент-

провайдерСистема

представлений

Менеджер пакетов

Менеджер телефонии

Менеджер ресурсов

Менеджер расположения

Менеджер уведомлений

ПриложенияПриложения

Библиотеки

Менеджер поверхностей

Open GL ES

SGL

Мультимедиа

Шрифты

SSL

SQLite

WebKit

Системная библиотека

Среда выполнения

Библиотеки ядра

Виртуальная машина Dalvik

Ядро Linux

Драйвер дисплея

USB-драйвер

Драйвер камеры

WiFi-драйвер

Драйвер флэш-памяти

Драйвер звука

Драйвер IPCМенеджер

управления эн.

Загрузчик

Модуль VPN

Контроль целостности

Драйвер криптодиска

Контроль целостности

Библиотеки СКЗИ (шифрование, хеширование, хранение КИ)

Библиотеки СКЗИ Java

Модифицирован для управления процессом установки «доверенного» ПО

Модифицирован для работы с криптодиском

Настройка управления доступом сторонних приложений к ф-ям устр-ва

Отслеживание НСД

Настройка ключевой инф.

Управление настройками VPN

Модифицирован для управления доступом сторонних приложений к функциям устройства

36

При доступе к сети Интернет обмен траффиком происходит по следующему

сценарию:

зашифрованные данные с мобильного устройства передаются в корпоративную

сеть по сети Интернет;

при получении данных в корпоративной сети происходит их дешифрование и

анализ с использованием DPI;

далее в случае если поступивший запрос должен быть передан в сеть Интернет,

осуществляется его передача и получение ответа;

полученный ответ анализируется средствами DPI;

если запрос является легитимным, осуществляется шифрование траффика и его

передача на мобильное устройство через сеть Интернет.

Для обеспечения корректного функционирования мобильного устройства по

данной схеме на мобильном устройстве необходимо реализовать поддержку VPN

(виртуальная частная сеть).

37

РАЗДЕЛ 2. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ

ИНФОРМАЦИИ

Анашкина Н.В., Петухова Н.Н., Шурупов А.Н.

СРАВНИТЕЛЬНЫЙ АНАЛИЗ ДЕТЕРМЕНИРОВАННОГО И ВЕРОЯТНОСТНОГО

ЭВРИСТИЧЕСКИХ АЛГОРИТМОВ ЛОКАЛЬНОГО ПОИСКА

УМО ИБ, г. Москва

Вещественное линейное неравенство от n переменных называется

информативным, если задаваемая им гиперплоскость пересекает n-мерный булев куб.

Булева пороговая функция (б.п.ф.), задаваемая неинформативным линейным

неравенством, является константой. В случае, если определение б.п.ф. выглядит как

1

1

,..., 0n

n i i

i

f x x w x T

,

то множество б.п.ф., задаваемых информативными неравенствами указанного выше

вида, включает в себя все б.п.ф. за исключением константной функции − единицы.

Отметим, что в контексте решения систем уравнений использование только

информативных неравенств в эквивалентной ей системе линейных неравенств (СЛН)

сокращает избыточность СЛН [2].

Проверка информативности неравенства сводится к нахождению расстояния от

задаваемой им гиперплоскости до центра n-мерного булева куба. В дальнейшем будем

рассматривать только целочисленные информативные линейные неравенства (ЦИЛН).

Для решения СЛН использовались эвристические алгоритмы имитации отжига

(SA) и Балаша [1, 4]. Система окрестностей алгоритма имитации отжига представляет

собой шары единичного радиуса в смысле метрики Хемминга. Алгоритм Балаша

использован в модификации, для которой в случае попадания алгоритма в тупиковое

состояние предпринимается попытка выхода из него путём опробования состояний,

отличающихся на расстояние, равное единице в том же смысле.

Сравнительный анализ применения алгоритмов проведён для случайных СЛН,

определённых в работе [4]. Для алгоритма имитации отжига использовались

следующие значения параметров: длина стационарной цепи Маркова равна 50;

начальная температура равна 20 000°; тип шаговой функции для изменения

температуры – закалка со значением коэффициента 0.995; число шагов ограничено

100 000. Для алгоритма Балаша число попаданий в тупиковые ситуации было

ограничено значением 11.

Проведено 10 серий экспериментов, в каждом из которых находились решения

для 800 систем. Варьировались число переменных СЛН (30 или 60) и число неравенств,

кратное числу переменных (коэффициент кратности равен 1, 2, 3 и 10). Каждая серия

задавалась типом неравенств в СЛН. Рассматривались следующие характеристики

СЛН: возможность наличия нулевых коэффициентов; ограничение на максимальную

абсолютную величину значений коэффициентов; возможность использования точного

значения порога. В таблице 1 приведены усреднённые результаты работы алгоритмов.

38

Таблица 1

Корреляция успеха между алгоритмами при решении СЛН

алгоритм Балаша

итого для SA не решено решено

SA не решено 21% 2% 23%

решено 16% 61% 77%

итого для Балаша 37% 63%

В целом надёжность алгоритма имитации отжига выше, чем у алгоритма

Балаша. Однако временные характеристики алгоритма Балаша в среднем лучше на два

порядка. В таблице 2 приведены среднее время нахождения решения алгоритмами и

процент найденных одинаковых решений.

Таблица 2

Дополнительные параметры сравнения алгоритмов

серия % одинаковых решений время работы в сек.

отношение SA алгоритм Балаша

2 33% 23,7 0,3 76,7

3 22% 19,1 0,2 116,5

4 26% 24,4 0,2 134,4

5 63% 13,9 0,2 68,0

6 65% 13,8 0,2 68,9

7 65% 13,9 0,2 60,6

8 64% 4,7 0,2 21,4

9 62% 4,8 0,2 24,6

10 63% 4,7 0,2 22,4

Среднее 51% 66,0

На основании проведенного эмпирического сравнения алгоритмов можно

сделать вывод о том, что вероятностный метод локального поиска обеспечивает

большую надёжность при нахождении решения, однако требует большее время работы

по сравнению с детерминированным методом. Показано, что в среднем алгоритмы

находят одинаковые решения с вероятностью, близкой к 0,5. Таким образом, ни одному

из них нельзя отдать предпочтения при решении целочисленных СЛН. Рекомендуется

сначала использовать алгоритм Балаша для нахождения приближения к решению, а

затем применить алгоритм имитации отжига.

В докладе также рассматривается вопрос о методике оценки эффективности

эвристических методов. Предлагается процедура формирования ССЛН.


1. Анашкина Н.В. Обзор методов решения систем линейных неравенств // Вестник

московского университета леса Лесной вестник, № 1(32), 2004. С.144-148.

2. Балакин Г.В., Никонов В.Г. Методы сведения булевых уравнений к системам

пороговых соотношений // Обозрение прикладной и промышленной математики.

Т.1, вып.3, 1994. С.389-401.

3. Балакин Г.В. Линейные псевдобулевые неравенства // Математические вопросы

криптографии. Т.1. вып.3, 2010. С.5-18.

39

4. Кочетов Ю.А. Вероятностные методы локального поиска для задач дискретной

оптимизации // Дискретная математика и её приложения: Сб. лекций

молодёжных и научных школ по дискретной математике и её приложениям.

М.: Изд. Центра прикладных исследований при мех.-мат. фак. МГУ, 2001. –

С. 84-117.

5. Подольский В.В. Оценки весов персептронов (полиномиальных пороговых

булевых функций). Автореферат дисс. на соискание уч. степени к.ф.-м.н. по

спец.01.01.06. М., МГУ им М.В. Ломоносова, 2009.

Аносов В.Д., Покровский А.В.

ВЕРХНЯЯ ОЦЕНКА АЛГЕБРАИЧЕСКОЙ ИММУННОСТИ ОТОБРАЖЕНИЙ

В/ч 43753, г.Москва

Множество отображений, действующих из nV

в

tV , обозначим символом ,n tF .

Множество булевых функций от n переменных обозначим .nF Полный прообраз

элемента ( )ny V , где ,n tF обозначим как 1( )y .

Определение. Множеством аннуляторов отображения ,n tF и вектора

( )ny V называется 1Ann( , ) | ( ) 0 ( ) .ny g g x x y F

Определение. Алгебраической иммунностью отображения ,n tF

называется ( )

AI( ) min deg( ) | Ann( , ) 0 .ny V

g g y

‚

В случае 1t в явном виде получается определение алгебраической

иммунности булевой функции (см., например, [3]). Понятие алгебраической

иммунности отображения характеризует его устойчивость к методу решения

нелинейных систем, предложенного в работах [1] и [2], при котором левые части

уравнений решаемой системы рассматриваются как координатные функции

отображения.

Естественный вопрос, который возникает при исследовании алгебраической

иммунности, это вопрос о ее максимальном значении и достижимости этой оценки. В

случае, когда отображение является булевой функциейnf F

выполняется

неравенство (см., например, [3]) AI( ) .2

nf

„

В случае 1t … удалось доказать более общую теорему, из которой как следствие

получается предыдущий результат.

Теорема. Для алгебраической иммунности отображения ,n tF справедлива

оценка 2log | ( ) | 1

AI( ) .2

nn V

„

Литература

1 Armknecht F. Algebraic attacks on certain stream ciphers− Mannheim: Universität

40

Mannheim, 2006. − 217 p.

2 Armknecht F., Krause M., Single- and Multi-output Boolean Functions with Maximal

Algebraic Immunity // LCNS – 2006 − V. 4052 – Part 2 − P. 180−191

3 Meier W., Pasalic E., Carlet C. Algebraic Attacks and Decomposition of Boolean

Functions //LCNS – 2004 − V.3027 − P.474 − 491

Архангельская А.В., Когос К.Г.

О ПРОПУСКНОЙ СПОСОБНОСТИ СКРЫТЫХ КАНАЛОВ, ОСНОВАННЫХ НА

МОДУЛЯЦИИ ДЛИН ПЕРЕДАВАЕМЫХ ПАКЕТОВ

Национальный исследовательский ядерный университет «МИФИ», г.Москва

В настоящее время и на прогнозируемую перспективу сохранится тенденция

широкого использования сетей пакетной передачи данных. Направление «всё через IP»

(all-over-IP) активно развивается, охватывая всё новые области применения. Широкое

использование этих технологий делает весьма актуальной угрозу негласного

использования особенностей протокола IP для скрытной передачи защищаемой

информации по каналам связи, выходящим за пределы объектов информатизации, на

которых она обрабатывается. Отечественные и зарубежные исследования показывают,

что эта угроза сохраняется даже при передаче информации в зашифрованном виде, т.к.

построение скрытого канала возможно путем использования длин пакетов и временных

интервалов для кодирования информации [1]. Данная работа посвящена исследованию

пропускной способности скрытых каналов, основанных на изменении длин

передаваемых пакетов, в условиях противодействия.

Известные меры противодействия данной угрозе, состоящие в так называемой

«нормализации» параметров IP-трафика, т.е. передаче IP-пакетов фиксированной

длины с фиксированными заголовками через равные промежутки времени, приводят к

существенному снижению эффективности использования пропускной способности

каналов связи и увеличению стоимости их использования. С другой стороны,

А.А. Грушо математически доказана возможность построения нарушителем

«невидимого» скрытого канала в случае знания нарушителем системы защиты [2]. В

связи с этим, в фокусе данной работы находится исследование стохастических методов

противодействия, а именно противодействия путем увеличения длин передаваемых

пакетов случайным образом.

Особую актуальность рассматриваемой угрозе придаёт ставшая публично

известной активность американских спецслужб по внедрению в коммерческие

программное обеспечение и аппаратные средства технологий негласного получения

доступа к информационным ресурсам по каналам общего пользования, в частности

раскрытая Э. Сноуденом (E. Snowden). Известно, что на эту деятельность Агентство

национальной безопасности ежегодно тратит около 250 млн. долларов, лишь фирме

RSA заплачено 10 млн. долларов за внедрение уязвимости в её продукты [3].

Рассмотрим модель исследуемого скрытого канала. Пусть L – максимальная

длина пакета в битах. Отрезок [1,L] разобьем на L/n диапазонов: [1,n], [n+1,2n] и т.д.,

где n – параметр скрытого канала. Без потери общности рассуждений считаем, что n|L.

Пусть нарушитель имеет алфавит из L/n символов, тогда для отправки символа с

номером i, i=1,…, L/n, злоумышленник посылает пакет, длина l которого удовлетворяет

неравенству: inlni )1( . Пропускная способность скрытого канала при отсутствии

41

противодействия равна )/(log 2 nL бит/пакет. Заметим, что при равновероятном

распределении символов алфавита, используемого нарушителем, и случайном

равновероятном выборе длины пакета из необходимого диапазона, при передаче

информации по скрытому каналу индуцируется равномерное распределение длин

пакетов, что позволяет считать такую модель скрытого канала стойкой к обнаружению.

Для противодействия утечке информации по представленному скрытому каналу

длина каждого пакета перед отправкой случайным образом увеличивается на

количество бит, равномерно распределенное на отрезке [0,a]. Дополнительная нагрузка

на канал связи равняется a/2 бит/пакет. При условии знания нарушителем способа

защиты выбор равномерного распределения предоставляет наибольшую

неопределенность в определении диапазона на стороне получателя. Выбор левой

границы отрезка [0,a] продиктован минимизацией дополнительной нагрузки на канал

связи. Заметим, что если длина l пакета перед отправкой должна была быть увеличена

на a бит, a0 , где Ll , то будет отправлен пакет, имеющий длину

Ll mod бит.

В работе была поставлена задача определения максимальной пропускной

способности скрытого канала в условиях предложенного способа противодействия, т.е.

определения количества информации, которое можно передать по скрытому каналу как

функции от a, L. Далее, если задан допустимый уровень пропускной способности

скрытого канала b (например, 1 бит/с согласно стандарту TCSEC [4]), то при

разработке средства защиты необходимо выбрать a как функцию от L и b .

При помощи методов теории информации определена пропускная способность

скрытого канала как функция от a, n, L; найдено значение n, при котором пропускная

способность принимает наибольшее значение. Заметим, что выражение для расчета

пропускной способности будет разным в зависимости от того, какое значение

принимает

n

a. Рассмотрены следующие случаи: 1) na ; 2) nan 2 ; 3)

nan 32 ; и т.д. Тогда максимальная пропускная способность в первом случае равна

1log 2 a

L бит/пакет и достигается при n=a; во втором случае равна

2

1log 2

a

L

бит/пакет и достигается при n=a/2; в третьем случае равна 3

1log 2

a

L бит/пакет и

достигается при n=a/3. Исходя из полученных результатов, выдвинута гипотеза: если

niain )1( , то максимальная пропускная способность достигается при n=a/(i+1).

Тогда при niain )1( максимальная пропускная способность скрытого канала

равна 1

1log 2

ia

L бит/пакет, а максимальная (по всем диапазонам) не достижимая

граница пропускной способности равна a

L2log бит/пакет. Если гипотеза верна, то при

разработке средства защиты следует выбирать 2/La .

Перспективным направлением дальнейших исследований является

доказательство выдвинутой гипотезы, а также исследование влияния предложенного

способа ограничения пропускной способности на другие модели скрытых каналов.

42


1. Архангельская А.В., Когос К.Г. О подходе к противодействию утечке

информации по скрытым каналам // Безопасность информационных технологий. –

2013. – № 4. – С. 10 – 20.

2. Грушо А.А. Скрытые каналы и безопасность информации в компьютерных

системах // Дискретная математика. – 1998. – Том 10, выпуск 1. – С. 3-9.

3. Попсулин С. Ведущий мировой разработчик шифров снизил их надежность за

взятку $10 млн от властей США // CNews, 2013. -

http://www.cnews.ru/top/2013/12/23/vedushhiy_mirovoy_

razrabotchik_shifrov_snizil_ih_nadezhnost_za_vzyatku_10_mln_ot_vlastey_ssha_554403

(дата обращения 03.06.2014).

4. Department of Defense Trusted Computer System Evaluation Criteria. – DoD

5200.28 – STD, December 26, 1985.

Архангельский В.Г.1, Епишкина А.В.

2

О ПРИМЕНЕНИИ ЗАКОНА «ОБ ЭЛЕКТРОННОЙ ПОДПИСИ» 1ФГАНУ ЦИТИС,

2НИЯУ «МИФИ», г.Москва

Всем памятны перипетии принятия нового закона, заменившего закон «Об

электронной цифровой подписи». Наконец, закон вступил в силу, и были приняты

необходимые подзаконные акты. Появились и средства, соответствующие новому

закону.

Поскольку одним из основных мотивов принятия нового Закона было

стремление учесть опыт применения закона «Об электронной цифровой подписи» и

внести соответствующие изменения, а также учесть современные реалии

информатизации общества, мы имеем право анализировать практику применении

нового Закона с точки зрения реального её улучшения.

В целях этого анализа, отметим, что, несмотря на общее слово "подпись" в

терминах "электронная подпись" и "собственноручная подпись", две эти подписи

имеют существенные отличия. Назовем наиболее существенные из них:

1. Отчуждаемость - возможность завладеть средством электронной подписи

(ЭП) в объеме, достаточном для выполнения подписи, в том числе, незаметно для ее

обладателя.

2. Зависимость средств ЭП от третьих лиц, например, в корпоративной системе

от разработчика и поставщика программного обеспечения, администратора и т.д.

3. Гарантии идентичности отображаемого, того, что видит подписывающий, и

того содержимого, для которого вычисляется ЭП. В частности, это предполагает

отсутствие функций динамической модификации электронного документа (формулы,

функции, макросы и т.д.), а также зловредного программного обеспечения, способного

исказить отображаемое (интерпретируемое) содержание

4. Адекватность средств интерпретации. В момент проверки ЭП должны

использоваться средства просмотра или средства интерпретации, обеспечивающие

идентичность отображения подписанного документа читающему и проверяющему

подпись с тем, что видел или предполагал подписывающий.

5. Ограниченность периода времени, в течение которого могут использоваться

http://www.cnews.ru/top/2013/12/23/vedushhiy_mirovoy_razrabotchik_shifrov_snizil_ih_nadezhnost_za_vzyatku_10_mln_ot_vlastey_ssha_554403

http://www.cnews.ru/top/2013/12/23/vedushhiy_mirovoy_razrabotchik_shifrov_snizil_ih_nadezhnost_za_vzyatku_10_mln_ot_vlastey_ssha_554403

43

ключи ЭП и сохраняется значимость подписи.

6. Невозможность в процессе экспертизы установить состояние аффекта,

стресса, нахождения под принуждением.

Далее обратимся к действующему законодательству. Как в старом законе «Об

электронной цифровой подписи», так и в новом законе «Об электронной подписи» [1],

сроки действия ключа электронной подписи (ЭП) и ключа проверки ЭП не

различаются, а говорится лишь о сроке действия сертификата ключа проверки ЭП.

Нормативные документы ФСБ РФ эти сроки различают и устанавливают, что срок

действия ключа проверки ЭП и, соответственно, сертификата не может превышать срок

действия ключа ЭП более чем на пятнадцать лет [2, ст. 36]. Эта норма явно указывает,

что сроки действия ключей могут различаться.

В то же время закон «Об электронной подписи» признает ЭП действительной в

случае действительности сертификата на момент подписи или ее проверки [1, ст. 11]. В

тексте статьи, как и во всем законе, нет ни слова про срок действия ключа подписи.

Следовательно, Закон признаёт возможность подписания документов ключом, срок

действия которого по криптографическим соображениям истёк.

Таким образом, возникают две проблемы: юридическая и техническая.

1. Проблема юридическая. Даже если средства ЭП при ее проверке

устанавливают, что она создана после окончания срока действия ключа ЭП, нет

юридических оснований признать подпись недействительной.

2. Проблема техническая. Среди обязательных полей сертификата ключа

проверки ЭП отсутствует срок действия ключа ЭП, а если он отсутствует, то средство

ЭП должно обладать информацией о сроке действия ключа ЭП, установленном для

того средства, которым подпись была сформирована. Более того, срок действия ключа

ЭП может быть установлен каким-либо документом (регламентом удостоверяющего

центра или актом организации, использующей ЭП, и т.п.) в пределах срока,

установленного для средства ЭП. В результате проверка соблюдения срока действия

ключа ЭП при подписании конкретного документа оказывается неразрешимой без

привлечения дополнительной информации.

Может ли вышеизложенное привести к негативным последствиям, например,

позволить совершить мошенничество?

Рассмотрим следующую ситуацию. Сотрудник организации получает

сертификат в качестве должностного лица, дающий ему право совершать некоторые

юридически значимые действия. Проходит год, обычный срок действия ключа ЭП, и

сотрудник перемещается на другую должность, на которой он этого права не имеет.

Отзыв сертификата не производится, поскольку по некоторому регламенту срок

действия ключа подписи и связанного с ним права ограничен годом. В то же время, не

отзывая сертификат, организация сохраняет действительными все документы,

подписанные данным сотрудником. Отметим, что все рассуждения относятся к

ситуации, когда, как говорится в законе «момент подписания электронного документа

не определен» [1, ст. 11]. Логика в таком поведении, несомненно, присутствует, ибо,

если отозвать сертификат, то что делать с указанными документами? Непонятно даже,

кто их мог бы переподписать. Ведь переподписывать надо теми датами, которыми они

были подписаны! Нельзя же по рассматриваемой причине переподписать, к примеру,

накладную, выданную в прошлом году, датой текущего года.

Итак, сертификат не отозван, сотрудник права подписывать документы

лишился, но… берет и подписывает документ. Каков же юридический статус

документа? Для всех этот документ действительный, подписан надлежащей подписью

44

и все проверки он проходит.

Понятно, конечно, что данная ситуация имеет правовое решение через суд,

возможно, уголовный. А ведь можно этих проблем избежать, если внести простое

изменение в закон «Об электронной подписи» и подзаконные акты.

Можно посчитать, что описанная ситуация надуманна. Но изложим одну

реальную ситуацию, с которой кому-то, возможно, придется столкнуться на практике.

Итак, обратимся к кадастровому законодательству. 23 июля 2013 года был

подписан Федеральный закон «О внесении изменений в отдельные законодательные

акты российской федерации в части государственной регистрации прав и

государственного кадастрового учета объектов недвижимости» [3]. Многие изменения

связаны с использованием электронных документов и ЭП. Одно из них гласит:

«Межевой план, технический план и подтверждающий прекращение существования

объекта недвижимости акт обследования направляются в орган кадастрового учета в

форме электронных документов, заверенных усиленной квалифицированной

электронной подписью кадастрового инженера». Обратим внимание, что указанные

документы направляются только в электронной форме и необходимы для постановки

объекта на кадастровый учет или снятия с него.

Можно было бы надеяться, что после оформления постановки на кадастровый

учет никаких проблем из-за электронной формы этих документов и электронного их

подписания не возникнет. Однако на официальном сайте одного из подразделений

Кадастровой палаты находим следующее разъяснение [4]. «В связи с тем, что в

настоящее время отсутствует требование о наличии в квалифицированном сертификате

ЭП кадастрового инженера «метки времени», в ходе осуществления проверки

электронных документов на соответствие требованиям Федерального закона № 221-ФЗ

от 24.07.2007 года «О государственном кадастре недвижимости» (далее – Закон о

кадастре) орган кадастрового учета принимает решение о приостановлении

осуществления кадастрового учета по основаниям, предусмотренным п.5 ч.2 ст. 26

Закона о кадастре в случае если межевой план, технический план или акт обследования

в форме электронных документов:

- заверен ЭП кадастрового инженера, сертификат ключа проверки которой

аннулирован на день проверки действительности такого сертификата (при условии

сохранения лицом статуса кадастрового инженера);

- заверен ЭП кадастрового инженера, при этом срок действия сертификата

ключа проверки такой электронной подписи на день проверки действительности такого

сертификата не наступил;

- заверен ЭП кадастрового инженера, при этом срок действия сертификата

ключа проверки такой электронной подписи на день проверки действительности такого

сертификата истек.».

Это означает, что, например, в случае утраты кадастровым инженером ключа

ЭП и аннулирования сертификата приостанавливается кадастровый учет объекта, план

которого мог быть составлен несколькими годами ранее. При этом такая приостановка

может произойти и после окончания срока действия ключа подписи, но во время срока

действия сертификата. Закон, правда, предусматривает, что в этом случае собственника

предупредят заранее, но от «головной боли» собственнику не избавиться.

Как видно даже из описанного выше, неосознание принципиальных различий

между электронной и собственноручной подписью приводит к подобным коллизиям,

которые, к сожалению, не являются единственными.

Таким образом, рассмотренные примеры позволяют сделать вывод о

45

необходимости доработки закона «Об электронной подписи». Или позволяют

рекомендовать всегда, когда имеешь дело с электронными документами, заверять у

нотариуса их бумажную копию. Это недорого – 50 рублей за страницу [5]. И делать это

как можно быстрее, чтобы дата, поставленная нотариусом, была ближе к реальной дате

электронной подписи, а то подписант потеряет ключ или уволится с работы.


1. Федеральный закон № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.

2. Требования к средствам электронной подписи. Утверждены Приказом ФСБ РФ

№ 796 от 27 декабря 2011 г.

3. Федеральный закон № 250-ФЗ «О внесении изменений в отдельные

законодательные акты российской федерации в части государственной регистрации

прав и государственного кадастрового учета объектов недвижимости» от 23 июля

2013 года.

4. О сроках действия электронных цифровых подписей. - 2013. -

http://kamenskiy.tulobl.ru/kamenka_

zkp/Срок%20действия%20электронной%20подписи_24.01.2013.doc (дата обращения

19.06.2014).

5. Основы законодательства Российской Федерации о нотариате № 4462-1 от 11

февраля 1993 года, ч. 12.3 ст. 22.1.

Беззатеев С.В., Волошина Н.В., Жиданов К.А.

МЕТОД ОПТИМАЛЬНОГО ВСТРАИВАНИЯ ЗАЩИЩЕННОГО ВОДЯНОГО ЗНАКА С

ИСПОЛЬЗОВАНИЕМ СЕМЕЙСТВА (L,G) - КОДОВ, СОВЕРШЕННЫХ ВО

ВЗВЕШЕННОЙ МЕТРИКЕ ХЭММИНГА

СПбГУАП, г.Санкт-Петербург

Одним из наиболее эффективных методов защиты авторских прав на

мультимедиа объекты является использование методов встраивания цифровых водяных

знаков (ЦВЗ) [1]. При использовании данного подхода в исходные мультимедиа данные

добавляется информация об авторе или правообладателе. К основным требованиям,

предъявляемым к ЦВЗ, относятся требование по устойчивости к атакам, эффективности

встраивания, например, объем встраиваемой информации, количество вносимых при

встраивании искажений. Поиск новых методов и подходов ведется во всех

направлениях, улучшающих указанные выше параметы систем встраивания.

Одним из современных подходов к встраиванию ЦВЗ является подход с

использованием помехоустойчивых кодов, позволяющий повысить устойчивость ЦВЗ к

различным атакам [2]. В докладе рассматривается решение задачи совместного

шифрования и встраивания полезной информации в контейнер, имеющий компоненты

различного уровня значимости по степени влияния вносимых в них изменений на

появление различимых искажений в результирующем контейнере. Для построения

оптимального метода встраивания с точки зрения числа изменений, вносимых в

исходный контейнер, требуемых для записи одного бита информации используется

семейство (L,G) – кодов, совершенных во взвешенной метрике Хэмминга [3, 4]. Такой

подход позволяет одновременно обеспечить встраивание информации в контейнер и ее

http://kamenskiy.tulobl.ru/kamenka_zkp/Срок

http://kamenskiy.tulobl.ru/kamenka_zkp/Срок

46

шифрацию.

В докладе приводятся примеры параметров таких семейств, а также

сравнительные характеристики предложенного метода для стандартных изображений

при различном числе уровней значимости в исходном контейнере и при различных

относительных размерах таких областей.

Представленные результаты позволяют сделать вывод об эффективности

предлагаемого подхода и осуществлять поиск оптимальных параметров системы с

точки зрения характеристик встраивания.

СПИСОК ЛИТЕРАТУРЫ

1. M. Barni, F. Bartolini, A. Piva, Improved wavelet-based watermarking through

pixel-wise masking, IEEE Trans. Image Process., pp.783-791, v.10, 2001.

2. C. Kung, A Robust Oblivious Watermark System base on Hybrid Error Correct

Code, Journal of Multimedia, pp. 232-239, v.5(3), 2010.

3. S.Bezzateev , N.Shekhunova / Binary generalized (L,G) codes that are perfect in a

weighted Hamming metric // Problems of Information Transmission, 2013, v.48,

n.3, pp. 239-242.

4. N. Voloshina, K.Zhidanov, S.Bezzateev /Optimal Weighted Watermarking for

Still Images// Proceedings of XIV Int. Symp. on Probl. of Redundancy in

Information Systems, St. Petersburg, Russia, 2014, pp.98-102

Ростовцев А.Г.

ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КРИПТОСИСТЕМЫ НА ИЗОГЕНИЯХ



Безопасность криптосистем с открытым ключом основана на двух

математических задачах: определение порядка и структуры конечной абелевой группы

и вычисление дискретного логарифма в циклической группе простого порядка. Эти

задачи могут быть решены с полиномиальной сложностью на квантовом компьютере

алгоритмом Шора [1].

В работе [3] предложена криптосистема с открытым ключом, безопасность

которой основана на задаче вычисления изогении между эллиптическими кривыми,

вызвавшая значительный интерес в мире. Для этой задачи не найдены эффективные

квантовые алгоритмы. Классические модулярные полиномы, используемые в [3], не

позволяют получить приемлемую скорость вычислений. В данной работе представлены

механизмы, позволяющие существенно увеличить скорость вычислений.

Эллиптической кривой E(K) называется неособая кривая, заданная уравнением

y 2

= x 3

+ Ax + B. Точки эллиптической кривой образуют абелеву группу. Часто поле K

предполагается алгебраически замкнутым.

Определим в поле комплексных чисел решетку L = 1 + 2 с базисом [1,

2], Im(1/2) > 0. Решетка не меняется при умножении ее базиса на матрицу из группы

SL2() матриц с целыми элементами и определителем 1. Поскольку L — подгруппа ,

определена аддитивная факторгруппа /L. С помощью функции Вейерштрасса можно

установить изоморфизм групп /L EL(). Решетки L и M изоморфны (гомоморфны),

47

если существует такое число , что L = M (соответственно L M). Изоморфизм

решеток индуцирует изоморфизм соответствующих эллиптических кривых.

На решетке L определены мероморфные функции g2(L), g3(L), j(L) = 1728g23/(g2

3

27g32), такие что условие изоморфизма эллиптических кривых EL EM,

соответствующих решеткам L, M, и этих решеток имеет вид j(L) = j(M). Изоморфизм

решеток позволяет перейти от базиса [1, 2] к базису [, 1], где = 1/2, Im() > 0, и

решетка L с точностью до изоморфизма определяется переменной . Тогда можно

положить j(L) = j().

Матрица a b

Ac d

, действующая на базис решетки, преобразует аргумент

следующим образом: A() = (a + b)/(c + d). Функция j() не меняется под действием

SL2().

Гомоморфизм решеток L M индуцирует алгебраический гомоморфизм

эллиптических кривых EL() EM(), называемый изогенией. Степень сепарабельной

изогении равна мощности ее ядра над алгебраически замкнутым полем.

Существуют симметрические классические модулярные полиномы Фn(U, V) =

Фn(V, U) [U, V]. Корни полинома Фn(U, j) дают инварианты всех эллиптических

кривых, изогенных кривой с инвариантом j для изогении степени n. Коэффициенты

полинома Фn(U, V) быстро растут с ростом n (список коэффициентов полинома Ф89

имеет длину 4,3 МБ).

Чтобы гомоморфизм эллиптических кривых E() E(p) был вычислимым, он

должен быть алгебраическим, а j() — целым алгебраическим числом. Для этого

достаточно [ ]DQ , D < 0. Кольцо OD целых элементов этого поля называется

мнимым квадратичным порядком, OD .

Определим -функцию Дедекинда (q = exp(2i)): 1 1

24 24

01

( ) (1 )k kk

kk

q q q e q

,

где ei = 0, если 24k + 1 не является квадратом в , и 12

24 1ie

k

(символ

Кронекера), если 24k + 1 является квадратом в . Это позволяет легко найти

коэффициенты ei {1, 0, 1}. Определим также функции Вебера

1

( / 2)( )

( )f

,

148

(( 1) / 2)( )

( )f

, 2

(2 )( ) 2

( )f

,

24 3 24 324 31 2

24 24 241 2

( 16) ( 16)( 16)( )

f ffj

f f f

.

Для функций Вебера в случае D 1, 17 (mod 24) существуют симметрические

полиномы Fl(U, V), которые обращаются в 0 тогда и только тогда, когда U, V

соответствуют значениям функции Вебера f() для изогении степени l исходной и

изогенной кривой, т.е. когда эллиптическая кривая с функцией Вебера V имеет

изогению степени l. Полиномы Fl(U, V) имеют в десятки раз меньшую длину

коэффициентов и являются разреженными: почти все коэффициенты нулевые. Это

48

позволяет сократить объем памяти библиотеки модулярных полиномов для функции

Вебера по сравнению с классическими модулярными полиномами примерно в 1000 раз

и существенно ускорить вычисления.

Отображение : (x, y) (xp, y

p) задает эндоморфизм Фробениуса кривой ( )pE ,

который оставляет неподвижными точки кривой E(p). Эндоморфизм Фробениуса

удовлетворяет характеристическому уравнению над : 2 T + p = 0, где T = p

#E(p) — след эндоморфизма Фробениуса. Дискриминант этого уравнения D

отрицателен. Кривые с противоположными значениями T называются скрученными.

Скрученные кривые имеют одинаковые значения j и дискриминанта Фробениуса.

Известно [2], что если 1D

l

, то изогений степени l нет; если 1

D

l

, то

существует две изогении степени l; если 0D

l

, то существует 1 или l + 1 изогения.

Ядро изогении простой нечетной степени l состоит из точки P и четного числа

точек вида Q. Обе точки Q, –Q имеют одинаковую x-координату, поэтому аффинные

точки из ядра изогении можно задать полиномом переменной x степени (l 1)/2,

который обращается в 0 в точности в x-координатах ядра.

Изогения может быть вычислена по формулам Велу. Пусть

E1(p): y2 = x

3 + Ax + B; E2(p): v

2 = u

3 + A1u + B1 и (xQ, yQ) E1(p) — точка нечетного

порядка l. Для точек Q из ядра изогении определим множество R, в которое входит

лишь одна из каждой пары точек (Q, –Q), и положим sQ = 4xQ3 + 4AxQ + 4B,

tQ = 6xQ2 + 4A.

Кривая E2(p) задается коэффициентами

1 15 , 7 ( )Q Q Q Q

Q R Q R

A A t B B s x t

.

Если ядро задается нелинейным полиномом или произведением, то для

вычисления всех корней xQ этих полиномов и параметров tQ, sQ необходимо работать в

расширенном поле, полученном присоединением x-координат точек ядра. Алгоритм

вычисления изогении можно ускорить, если заметить, что коэффициенты A1, B1

являются симметрическими функциями x-координат точек ядра. Это позволяет

избежать вычислений в расширенном поле. Пусть ядро задано полиномом

1( 1)/2

2

0

ll i

i

i

c x

с единичным старшим коэффициентом c0. Тогда по основной теореме о

симметрических полиномах получаем 1Qx c , 2 2

1 22Qx c c ,

3 31 1 2 33 3Qx c c c c . Получаем A1 –A(10d – 1) – 30(c1

2 + 2c2) (mod p); B1 –B(28d –

1) + 70(c13 + 3c1c2 + 3c3) + 42Ac1 (mod p).

Изогении степени l при условии 1D

l

для эллиптических кривых над полем

p образуют цикл. Изменение направление в цикле означает переход к дуальным

изогениям. Направление на цикле задается упорядочением изогений степени l.

Заметим, что ядро изогении задается (l 1)/2 корнями полинома деления. Если

полином деления имеет (l 1)/2 корней, лежащих в минимальном расширении

49

исходного поля, то положительное направление задается этим ядром, а ядро задается

делителем полинома деления над p. Ядра дуальных изогений порождают всю группу

порядка l. Если эти ядра лежат в одном и том же поле, то все неприводимые делители

полинома деления имеют одинаковую степень, а отображение Фробениуса действует

на ядра изогений как треугольная матрица. Такая ситуация встречается очень редко.

При изменении l вершины цикла сохраняются, но меняются соединяющие их

ребра. Группа классов изогений изоморфна группе классов идеалов мнимого

квадратичного порядка для дискриминанта Фробениуса. Если число классов велико, то

этот изоморфизм не вычислим ни в одну сторону.

Замена классического модулярного полинома модулярным полиномом для

функции Вебера, усовершенствованный способ вычисления изогении и задание

направления на цикле изогений минимальным полем, содержащем ядро, позволяет

ускорить работу криптосистемы в десятки раз.


1. Boneh D., Lipton R. Quantum computation of hidden linear functions. // Advances in

Cryptology — Proceedings of CRYPTO ‘95 (LNCS 963), p. 424–437.

2. Kohel D. Endomorphism rings of elliptic curves over finite fields // PhD thesis, Berkley,

1996.

3. Rostovtsev A., Stolbunov A. Public-key cryptosystem based on isogenies // International

Association for Cryptologic Research. Cryptology ePrint Archive, technical report

2006/145.


АТАКИ С ИСПОЛЬЗОВАНИЕМ АФФИННОЙ АППРОКСИМАЦИИ ГРУППЫ ГАЛУА

НУЛЬМЕРНОГО РАДИКАЛЬНОГО ИДЕАЛА



Безопасность современных методов и средств криптографической защиты данных

основана на сложности решения систем алгебраических уравнений, в частности, на

сложности нахождения общих нулей полиномов Жегалкина. Современные шифры

строятся как композиция нелинейных отображений (подстановок) и линейных

рассеивающих отображений. Нелинейность подстановки минимальное хеммингово

расстояние между полиномами из идеала подстановки и множеством аффинных

полиномов. Считается, что сложность увеличивается, если подстановка имеет

максимальную нелинейность. В данной работе предлагается другая характеристика

нелинейности как точность аффинной аппроксимации группы Галуа идеала

подстановки или более общо — группы Галуа нульмерного идеала.

Пусть y = S(x) — n-битовая подстановка, x = (x1, ..., xn), y = (y1, ..., yn). Идеал

подстановки — множество полиномов Жегалкина от x, y, обращающихся в 0 на

многообразии подстановки (в точках, где выполняется равенство y = S(x)). Вместо

полиномов Жегалкина можно использовать полиномы над расширенными полями

характеристики 2. Если используется поле из 22n

элементов, то идеал подстановки

рассматривается в кольце полиномов только двух переменных. Если известны

50

открытый и зашифрованный тексты, то таким образом можно получить идеал,

задающий ключ.

Пусть q — конечное поле характеристики 2, R — целостное кольцо полиномов

одной или нескольких переменных над q и A R — идеал. Множество нулей идеала A

называется многообразием идеала V(A). Обычно многообразие рассматривается над

алгебраическим замыканием q исходного поля. Идеал однозначно задает свое

многообразие, но обратное неверно, например, V(A) = V(Ak) для любого k > 1. Радикал

идеала rad(A) — наибольший идеал, многообразие которого над q совпадает с V(A).

Идеал A радикален, если A = rad(A). По теореме Гильберта о нулях радикальные

идеалы биективно соответствуют многообразиям.

Если R = q[x1, ..., xm], то координатное кольцо многообразия равно

1[ ,..., ][ ( )]

q n

q

x xV A

A. Это кольцо целостное, если идеал A простой.

Для того чтобы исключить решения, лежащие в расширении исходного поля, к

идеалу добавляют полиномы, задающие требуемое поле. Например, если нужны только

решения в 2, то добавляют полиномы {xi2 + xi, yi

2 + yi}.

Размерность dim(R) кольца R определяется как максимальная длина цепочки

возрастающих простых идеалов. Например, dim( ) 0q , 1dim( [ ,..., ])q nx x n .

Размерность идеала A R равна размерности кольца R/A. В случае алгебраически

замкнутого поля конечное многообразие имеет только нульмерный идеал.

Идеал n-битовой подстановки можно задать одним или несколькими полиномами

одной, двух или нескольких переменных. Если идеал рассматривается в кольце

полиномов Жегалкина, то число переменных равно 2n. Идеалы кольца полиномов

Жегалкина радикальны.

Нульмерный идеал не меняется при произвольной перестановке точек

многообразия. Группой Галуа полинома называется группа перестановок корней

полинома, сохраняющая вид полинома. В случае конечного поля эта группа

циклическая. Соответственно можно определить группу Галуа Gal(A) нульмерного

идеала A как группу Галуа полинома от одной переменной, задающего этот идеал.

Аффинное (над 2) отображение N-мерного вектора v имеет вид v Lv + c, где L

— обратимая матрица размера N, c — вектор сдвига. Обратимые аффинные

отображения двоичных N-мерных векторов Aff(N) образуют группу порядка 1

0

#Aff( ) 2 (2 2 )N

N N i

i

N

.

Тогда определена аффинная аппроксимация группы Галуа Gal(A). Пусть A —

обратимое аффинное отображение. Степени отображения A образуют циклическую

группу, порядок r которой делит #Aff(2n). Точность аффинной аппроксимации —

вероятность того, что Am(v) V(A) для любого целого 0 < m < r, если v V(A).

Иногда группа автоморфизмов идеала нелинейной подстановки может быть

аффинной. Например, нелинейная трехбитовая подстановка шифра CTC: S = (7, 6, 0, 4,

2, 5, 1, 3). Многообразие V = {(0, 0, 0, 1, 1, 1), (0, 0, 1, 1, 1, 0), (0, 1, 0, 0, 0, 0), (0, 1, 1, 1,

51

0, 0), (1, 0, 0, 1, 0, 1), (1, 0, 1, 1, 0, 1), (1, 1, 0, 0, 0, 1), (1, 1, 1, 0, 1, 1)} = {P0, P1, …, P7}.

Максимальная вероятность дифференциалов равна 2/8, максимальное абсолютное

преобладание линейных сумм также равно 2/8. Решение систем булевых уравнений

показывает, что циклическая перестановка (P0 P1 P2 P3 P4 P5 P6 P7

P0) является аффинной A(z) = Lz + c:

1

2

3

1

2

3

0 1 1 0 0 1 10 1 1 0 0 0 00 0 1 0 0 0 10 1 0 1 1 1 01 0 1 0 1 0 01 0 0 0 0 0 0

xxxyyy

,

x3, y3 младшие входные и выходные биты подстановки. Эта перестановка состоит из

циклов длины 8. (Заметим, что любая перестановка точек многообразия является

аффинной). При шифровании нулевого текста он сначала складывается с ключом, затем

выполняется подстановка. Если тройки битов ключа пронумеровать целыми числами от

0 до 7, то вход и выход подстановки будут равны Pk = Ak(P0), где k — трехбитовое

число, соответствующее ключу.

Рассмотрим пример атаки на шифр CTC на основе аффинной аппроксимации

группы автоморфизмов. Шифр CTC имеет длину блока кратную 3, число раундов

может варьироваться. Каждый раунд шифра CTC представляет собой композицию

операций сложения с раундовым ключом, набора одинаковых трехбитовых

подстановок и линейного рассеивающего отображения, в котором каждый выходной

бит зависит от одного или двух входных битов.

Группа автоморфизмов обратимого аффинного отображения является аффинной.

Сложение с ключом учтено в показателе, используемом в аффинном автоморфизме.

Композиции подстановок в ходе шифрования соответствует произведение групп

автоморфизмов. Поэтому группа автоморфизмов каждого цикла шифрования CTC

является аффинной и следовательно группа автоморфизмов Aut(CTC) шифра CTC для

произвольного числа раундов тоже аффинная, размер матрицы пропорционален числу

переменных. Вид итоговой матрицы Aut(CTC) зависит от используемого ключа.

Показательные уравнения от степеней аффинных автоморфизмов методами

линейной алгебры переводятся в алгебраические уравнения, которые несложно

решаются. Можно также использовать дифференциальные атаки, в которых

рассматривается разность двух текстов; Square-атаки, в которых тройка битов

открытого текста принимает 8 всевозможных значений, а остальные биты неизменны,

при этом рассматривается сумма восьми текстов и т.п.

Автоморфизмы подстановки разрядности 4 обычно не являются аффинными, но

допускают аффинную аппроксимацию с вероятностью ошибки (n 1)/(2n) < 0.5.

Это позволяет задать шифр приближенно системой уравнений от фиксированных

аффинных отображений и использовать статистические методы анализа, где истинный

ключ определяется как наиболее вероятный.

52

Сабанов А.Г.

АНАЛИЗ РИСКОВ АУТЕНТИФИКАЦИИ ПРИ УДАЛЕННОМ ЭЛЕКТРОННОМ

ВЗАИМОДЕЙСТВИИ

МГТУ им. Н.Э. Баумана, г.Москва

Применительно к задаче оценки рисков аутентификации при удаленном

электронном взаимодействии (УЭВ) проанализирован 31 метод анализа рисков

стандарта [1]. Показана возможность применения к рассматриваемой задаче 18 из 31

метода [2].

На основе анализа типовых современных систем идентификации и

аутентификации (СИА) проведена их классификация по критериям обеспечения

доступности, целостности и конфиденциальности [3].

Усовершенствована общая схема анализа рисков, включающая в себя

исследование угроз, уязвимостей, определение вероятных опасных событий и степень

последствий их наступления до и после использования контрмер. Суть

усовершенствования состоит в рассмотрении многоуровневых пространств (угроз,

уязвимостей, последствий) и применения многоуровневой модели системы

идентификации и аутентификации, что позволяет уточнять величину рисков и

обосновывать новые подходы к оценке защищенности системы. В частности,

применение многоуровневой модели угроз позволило обосновать необходимость

введения уровней достоверности регистрации нового пользователя в информационных

системах общего пользования, связанных с уровнями достоверности аутентификации.

Для анализа рисков аутентификации при УЭВ разработан новый алгоритм

оценки рисков различными методами, значительная часть которых была

модифицирована с целью применения для анализа рисков аутентификации.

Разработан новый метод анализа рисков идентификации и аутентификации при

УЭВ. Уникальность предложенного метода состоит в многоуровневом анализе рисков

процессов аутентификации. Отличительной особенностью предложенного метода и

разработанных алгоритмов состоит в том, что она позволяет детализировать влияние

компонент СИА по принципу от «общего к частному» на величину остаточных рисков.

Выполнен многоуровневый анализ угроз и уязвимости СИА и выполнения

основных процессов и процедур аутентификации. На основе проведенного анализа

показана необходимость введения уровней достоверности аутентификации при УЭВ.

Выявлено, что наиболее критичными являются процессы регистрации и

хранения аутентификационной информации.

Проведенный углубленный анализ на втором и третьем уровне детализации

показал, что к наиболее опасным события необходимо также отнести и процедуру

предъявления аутентификационной информации.

Выявлены наиболее вероятные опасные события. Показан пример ранжирования

опасных событий по их частоте и влиянию на безопасность СИА.

Исследована применимость усовершенствованных методов управления рисками

к процессам аутентификации в СИА. Разработаны методы управления

информационной безопасностью процессов аутентификации на основе рассмотренных

усовершенствованных методов [4].

Обоснована необходимость выработки рекомендаций по безопасному

выполнению указанных процедур аутентификации. На основе рекомендаций

необходима разработка нормативной базы по регулированию указанных процедур.

53


1. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска.

2. Сабанов А.Г. О применимости методов анализа рисков к процессам

аутентификации при удаленном электронном взаимодействии //Электросвязь

№5 (116). 2014г.

3. Сабанов А.Г. «Принципы классификации систем идентификации и

аутентификации по признакам соответствия требованиям информационной

безопасности». Электросвязь №2 (113), 2014г.- С.6-9

4. Сабанов А.Г. О применимости методов управления рисками к процессам

аутентификации при удаленном электронном взаимодействии //Электросвязь

№6 (117). 2014г.

Сорокин А.В.

ОПРЕДЕЛЕНИЕ ПРИНАДЛЕЖНОСТИ КЛАСТЕРА ЦИФРОВОГО НОСИТЕЛЯ

ФАЙЛУ ФОРМАТА JPEG

МИЭМ НИУ ВШЭ, г.Москва

Задача восстановления данных чаще всего решается либо частными

пользователями ПЭВМ в результате компьютерных инцидентов либо в ходе

компьютерно-технической экспертизы носителей данных. Отличительными

особенностями второго варианта является возникающее, как правило, требование

восстановления максимально возможного объема информации в условиях

неограниченных временных и вычислительных ресурсов. Широко распространенные

программные средства для восстановления данных в большинстве случаев успешно

решают поставленную задачу, однако могут не давать удовлетворительного результата

в сложных случаях.

Наиболее распространенным методом восстановления файлов в рамках

экспертного исследования носителей данных является метод копирования (carving).

Этот метод описан, например, в [1]. Данный метод не справляется с восстановлением

фрагментированных или частично перезаписанных файлов. Для случая

фрагментированных файлов возможно использовать различные алгоритмы,

позволяющие определять корректность выделяемых фрагментов восстанавливаемых

файлов того или иного типа. Форматы файлов, не использующие кодирование данных,

во многих случаях позволяют осуществлять такую проверку. Особенности формата

JPEG создают ряд затруднений для проведения такой проверки. Для

автоматизированного выявления точки начала фрагментации файла, в работах

зарубежных авторов был предложен соответствующий алгоритм, подробно описанный

в [2]. На его основе авторами работы [2] была предложена модификация исходного

метода, способная восстанавливать файлы данного формата, состоящие из небольшого

числа фрагментов. В дальнейших публикациях [3] те же авторы приходят к

заключению, что для дальнейшего повышения быстродействия полученного алгоритма

требуется возможность определения принадлежности произвольного отдельного

кластера цифрового носителя файлу данного формата.

Во многих случаях, при восстановлении графической информации, необходимо

решать задачу точного восстановления потерянного файла. В ходе решения данной

54

задачи был проведен ряд исследований, часть из которых описана в авторской работе

[4]. В этой работе установлено, что особенности формата JPEG препятствуют

однозначному сопоставлению пикселя или группы пикселей видимого пользователем

изображения с кластером соответствующего файла. Следствием этого эффекта является

невозможность визуализации отдельного кластера файла. Автором сформулирована и

доказана теорема, указывающая список всех двоичных последовательностей длиной до

48 знаков, для которых построено представление соответствующей корректной

интерпретации. Из этого делается вывод, что поиск запретных последовательностей с

целью исключения кластеров, не принадлежащих файлам формата JPEG, не

представляется эффективным.

В дальнейшем автором в [4] был предложен способ построения сигнатур и

интерпретации результатов поиска этих сигнатур в произвольном кластере цифрового

носителя размером 4 кб. Этот метод, также описанный в [4], позволяет добиться

приемлемых значений ошибок первого и второго рода для критерия об отнесении

произвольного фрагмента дисковой памяти к восстанавливаемому файлу. Таким

образом, поставленная задача была решена.

Указанный результат, помимо использования в решении задач по дальнейшей

оптимизации существующих методов, может быть использован и для доработки

результатов применения исходного метода копирования данных к фрагментированным

файлам формата JPEG. Для иллюстрации использования приведенных выше

результатов был создан макет программного средства, осуществляющего поиск и

восстановление файлов формата JPEG. Указанный макет позволяет пользователю

визуализировать вариант восстанавливаемого файла, полученного с использованием

другого средства восстановления данных. Помимо этих кластеров, в

восстанавливаемый файл предлагается добавить кластеры, выделенные указанным

программным средством на основании наличия в них признаков сигнатур фрагментов

файла формата JPEG с параметрами кодов из заголовков восстанавливаемого файла.

Используя предлагаемый список кластеров, пользователь может вручную исключить из

файла кластеры, соответствующие посторонним фрагментам. Таким образом, на

основании визуализируемого на каждом шаге изображения можно минимизировать

потери информации и восстановить исходный файл с максимально возможной

достоверностью.


1. Кэрриэ Б. Криминалистический анализ файловых систем. – СПб.: Питер, 2007.

2. A. Pal, T. Sencar and N. Memon, "Detecting File Fragmentation Point Using Sequential

Hypothesis Testing", Digital Investigations, 2008, № 5. – pp. S2 – S13.

3. A. Pal, N. Memon, "The Evolution of File Carving", IEEE Signal Processing Magazine,

Volume: 26, Issue 2. March 2009.

4. Сорокин А. В. Об определении принадлежности кластеров диска файлам формата

JPEG // Проблемы информационной безопасности. Компьютерные системы. 2012.

№ 4. С. 61-67.

55

Сухопаров М.Е.

МЕТОДИКА ОПРЕДЕЛЕНИЯ АВТОРСТВА ТЕКСТОВ КОРОТКИХ СООБЩЕНИЙ

ПОЛЬЗОВАТЕЛЕЙ ПОРТАЛОВ СЕТИ ИНТЕРНЕТ НА ОСНОВЕ НАИВНОГО

БАЙЕСОВСКОГО КЛАССИФИКАТОРА

Санкт-Петербургский национальный исследовательский университет

информационных технологий, механики и оптики, г.Санкт-Петербург

Введение

Повсеместное использование информационно-телекоммуникационных систем

(ИТКС) и сравнительная легкость доступа к ресурсам сети Интернет обуславливают

необходимость контроля над информационными потоками и идентификации

возможных направлений информационного воздействия. Возможность использования порталов и сайтов для распространения

информации и недостаточная функциональность механизмов идентификации и

аутентификации пользователей, оставляющих сообщения, определяет ряд направлений

совершенствования систем защиты и систем мониторинга информационной

безопасности ИТКС.

Большое количество интернет ресурсов и сервисов, таких как форумы, порталы,

интернет-магазины, сталкиваются с различными проявлениями проблемы манипуляции

и искусственного формирования общественного мнения, путем «организации»

целенаправленных тематических диалогов, в которых ряд пользователей имеют

несколько учетных записей.

В связи с этим возникает задача совершенствования методического аппарата

идентификации авторства текстов коротких сообщений различных порталов сети

Интернет.

Постановка задачи

Возможность сервисов открытых порталов сети Интернет определяет

использование текстовой информации в качестве основной при формировании

сообщений.

Поэтому, в рассматриваемой работе в качестве исходных данных для систем

защиты информации (СЗИ) и систем мониторинга состояния ИБ ИТКС выступает

проблемно-ориентированный текст сообщений на русском языке. Под текстом

понимается совокупность предложений естественного русского языка,

представленных в цепочечной форме.

Особенностями текстовых сообщений открытых порталов сети Интернет

являются: использование грамматически не правильного построения фраз,

отсутствие в большинстве случаев орфографической, пунктуационной,

грамматической, стилистической коррекции, применение специфических

конструкций, аббревиатур и выражений, принятых в рамках целевой аудитории

ресурса ИТКС, преднамеренное искажение словоформ, использование символов,

затрудняющих автоматическую обработку сообщения, но одновременно с этим,

позволяющее человеку распознать смысловое значение, небольшое количество слов

в сообщении.

Таким образом, модель текстового сообщения пользователя: T=<W,O>, где

W - множество словоформ, O –признаковое пространство ошибок текста.

Формальное описание частотных характеристик обозначенных особенностей

позволяет сформировать лингвистическое признаковое пространство текста

пользователя: O=<o1,o2,…on>.

56

В таком случае возникает задача выбора оптимальных для заданного

показателя качества характеристик из множества O, позволяющих повысить

показатели качества идентификации нескольких учетных записей одного

пользователя.

Формирование признакового пространства и описание метода

Большинство работ, посвященных определению авторства текстов, используют

для анализа характеристики и методы, которые применимы для текстов больших

объемов. Основу большинства из таких методов составляют частотные характеристики

словарного запаса. Одновременно с этим все большую актуальность приобретают

методы, использующие особенности построения фраз и сообщений автора текста.

Анализ текстов комментариев, оставляемых пользователями, позволяет

получить частотные характеристики используемых частей речи и образовываемых

ими связей при написании сообщений. Особенностью предлагаемого метода

является анализ не только частотных словарей, формируемых на основе выборки

сообщений для идентификации пользователей, но и использование ими правил и

связей на основе синтаксической информации языка.

Для вычисления связей между словами был использован модифицированный

семантико-синтаксический анализатор, использующий словарную базу данных

В.А.Тузова.

На этапе анализа предложение приобретает вид функциональной записи,

содержащей структуру и связи между конструкциями.

F(xk→{s}k),

где xk – это слова в предложении, каждому из которых соответствует свой набор

связей {s}k с другими словами.

В результате обработки синтаксическим анализатором предложение

приобретает вид функциональной записи, содержащей структуру и связи между

егоконструкциями. Ввиду стилистических особенностей текстов комментариев и

блоговпостроить полный граф предложения автоматически удается не всегда.

Формирование пространства лингвистических признаков для коротких

сообщений осуществлялось с учетом особенностей написания принятых в сети

Интернет. Вектор признаков O определяется на основе частотных характеристик:

O1 – словарный запас пользователя. Получен путем обработки сообщений

пользователя на форуме.

O2 – выражения и аббревиатуры, используемые автором.

O3 – символы, знаки препинания и их последовательности, встречающиеся в

сообщениях.

O4 – связи между словами.

Формирование частотных словарей, содержащих информацию о

характеристиках признакового пространства происходит полуавтоматическим методом.

Частотные характеристики получены в результате анализа текстов коротких сообщений

анализатором на основе семантико-синтаксическим словаря.

Таким образом, становится возможным формировать в автоматическом режиме

набор характеристических лингвистических признаков O для каждого пользователя U:

UO.

Суть рассматриваемого метода состоит в том, чтобы на основании обучающей

выборки сообщений пользователя портала сети Интернет определить принадлежит ли

ему произвольно взятое сообщение. Для оценки качества выбираемых характеристик

был применен подход на основе наивного байесовского классификатора.

57

Для решения поставленной задачи была применена формула

- количество сообщений в обучающей выборке принадлежащих пользователю c;

- общее количество сообщений в обучающей выборке;

- количество встречаемости выбранного уникального элемента

лингвистического признакового пространства (например, o1-уникальных слов,

o2-пропуска буквы в середине слова и т.д.) во всех сообщениях обучающей

выборки;

- суммарное количество слов в сообщениях пользователя c в обучающей

выборке;

- сколько раз i-ое слово встречалось в сообщениях пользователя c в обучающей

выборке; В результате проведения экспериментов с разными выбранными уникальными

элементами лингвистического признакового пространства получается вектор

C=<c1,c2,…,ck>, на основе которого необходимо определить принадлежность

сообщения пользователю.

Заключение

В работе показан метод идентификации пользователей, оставляющих

текстовые сообщения на порталах сети Интернет, использующий аппарат наивного

байесовского классификатора. Исследовано применение лингвистических признаков,

характеризующих пользователя сети Интернет.

Новизной подхода является использование лингвистического признакового

пространства, включающего в себя информацию о связях между словами в

сообщении, что позволяет увеличить вероятность идентификации автора короткого

сообщения при отсутствии технических характеристик.

Метод может быть использован для выявления пользователей порталов сети

Интернет, имеющих несколько учетных записей, что дает возможность отслеживать

события информационной безопасности, связанные с формированием общественного

мнения по экономическим, социальным, политическим сферам деятельности.

Шустрова А.А.

ВЫЧИСЛИТЕЛЬНЫЕ АСПЕКТЫ РЕШЕНИЯ СИСТЕМ РАЗРЕЖЕННЫХ БУЛЕВЫХ

УРАВНЕНИЙ



Задача решения систем булевых уравнений лежит в основе безопасности

симметричных шифров. Эта задача тесно связана с задачей о выполнимости, которая

является NP-полной.

Современный шифры строятся на основе композиций обратимых отображений,

которые могут быть быстро вычислены на типовом процессоре. Каждое такое

отображение описывается системой разреженных неявных булевых уравнений, где

58

переменными являются входные и выходные разряды отображения. Свойство

разреженности вытекает из эффективной вычислимости отображений.

Каждой уравнение может быть представлено уравнением с нулевой правой

частью, то есть решение уравнения совпадает с множеством нулей полинома. Решение

система уравнений таким образом сводится к вычислению множества общих нулей

системы полиномов. При описании шифра системой полиномов, если известны

открытый и зашифрованный тексты, переменными являются разряды ключа и разряды

промежуточных текстов.

Множество полиномов над коммутативным кольцом образует идеал A.

Множество нулей V(A) идеала A называется его многообразием. Размерностью кольца

называется максимальная длина цепочки возрастающих простых идеалов.

Размерностью идеала называется размерность кольца классов вычетов по модулю этого

идеала.

Радикалом идеала называется наибольший идеал, обладающий тем же

множеством нулей, что и исходный идеал. Идеалы A и A2 обладают одинаковым

многообразием. Для обеспечения взаимной однозначности между идеалами и

многообразиями рассматриваются радикальные идеалы, совпадающие со своими

радикалами. В кольце полиномов Жегалкина каждый идеал радикален. Далее будут

рассматриваться нульмерные идеалы.

Обычно многообразие рассматривается над алгебраически замкнутым полем.

Это позволяет оценивать мощность многообразия с использованием теоремы Безу. Для

исключения точек многообразия, лежащих в расширенном поле, в идеал A включаются

полиномы, задающие это поле. Для того чтобы отфильтровать решения, лежащие в

поле 2, в идеал включают полиномы вида xi2 + xi. Нульмерный идеал имеет конечное

многообразие.

Для решения систем булевых уравнений используются методы базисов

Гребнера, расширенной линеаризации (XL, XSL), метод характеристических множеств,

метод результантов, метод согласования и склейки Семаева. Все эти методы в общем

случае имеют сверхполиномиальную сложность от числа переменных. Первые три

метода полиномиально эквивалентны.

Один из подходов к решению систем уравнений предполагает поиск мономов и

биномов, лежащих в идеале. Обозначим B идеал, образованный мономами и

биномами, такими, что V(B) V(A). Тогда A B, A = A B = B A (mod B). При

этом сначала ищется решение для идеала A (mod B), а затем найденное решение

поднимается в исходный идеал. Редукция по модулю идеала B позволяет снизить длину

и степень полиномов, входящих в рассматриваемый идеал.

В настоящее время наиболее перспективным методом вычисления базиса

Гребнера является алгоритм ГаоГуанаВольного (G2V). Решающее влияние на

сложность этого алгоритма оказывает очередность выбора полиномов. Кроме того,

интерес представляет исследование сложности вычислений от степени и длины

полиномов, входящих в первоначальный базис.

Для исследования этого влияния проводился вычислительный эксперимент с

системой разреженных булевых уравнений от 10 переменных. Рассматривались как

случайные уравнения, так и уравнения с заданной длиной и заданной средней

степенью.

Рост длины полиномов приводит к росту сложности (зависимость может быть

аппросксимирована линейно). Рост степени полиномов ведет к более сильному

увеличению времени вычислений (зависимость оценивается полиномом).

59

РАЗДЕЛ 3. БЕЗОПАСНОСТЬ СЕТЕВЫХ ТЕХНОЛОГИЙ И

ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК

Агеев С.А., Саенко И.Б.

ИНТЕЛЛЕКТУАЛЬНЫЕ МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ МУЛЬТИСЕРВИСНЫХ СЕТЕЙ СВЯЗИ

ОАО «НИИ «Нептун», СПИИРАН, г.Санкт-Петербург

Современные защищенные мультисервисные сети (ЗМС) создаются на основе

единой сетевой инфраструктуры и представляют собой цифровые

телекоммуникационные сети интегрального обслуживания с набором служб,

обеспечивающих перенос разнородного трафика с заданными количественными и

качественными характеристиками предоставления пользователям различных

инфокоммуникационных и телематических услуг связи. Важнейшей проблемой при

использовании ЗМС является проблема обеспечения ее безопасного функционирования

и безопасности циркулирующей в ней информации.

В докладе показывается, что оперативное оптимальное управление затрудняется

вследствие больших размерностей совокупности решаемых задач по управлению ЗМС.

Обосновывается, что многообразие, разнородность, неполнота и нечеткость исходных

данных, учитываемых в задачах управления ЗМС, включая управление безопасностью,

предопределяют необходимость использовать средства и методы искусственного

интеллекта для выработки рациональных (оптимальных) управленческих решений.

Одной из основных проблем управления безопасностью ЗМС является задача

управления рисками информационной безопасности. Для решения данной проблемы

процедуру управления рисками информационной безопасности ЗМС, а также

процедуры их оценки предлагается строить на основе технологии интеллектуальных

мультиагентов (ИМА), основой которых является технология «агент-менеджер». Один

агент отвечает за часть задания, а общее решение возникает в результате их

совместного выполнения. Программное средство «менеджер/агент» управляет

действиями функциональной группой агентов и может передавать агрегированную

информацию на верхний уровень иерархии, которую обрабатывает программное

средство «менеджер».

Основными преимуществами использования интеллектуальной мультиагентной

системы для управления рисками информационной безопасности ЗМС являются:

1) высокая адаптация (агенты системы адаптируются к сетевой архитектуре и

адекватно отвечают на изменения в конфигурации сетевого оборудования);

2) рациональность распределения ресурсов (элементы ИМА равномерно

распределены по всему периметру защиты ЗМС);

3. высокая отказоустойчивость (в силу распределения агентов по всей системе

атаковать ЗМС сложнее, нежели сеть с централизованным сервером защиты);

4) возможность централизованного управления (внесение изменений в работу

агентов может производиться централизованно и по протоколам взаимодействия

агентов передаваться на все точки обеспечения безопасности).

Интеллектуализацию управления рисками информационной безопасности ЗМС

предполагается реализовать на основе методов нечетких когнитивных карт, а также

методов нечеткого логического вывода. Этот подход не отрицает применение

классических методов оптимизации сетевого управления, а дополняет их в условиях

60

лимита времени на обработку информации в условиях неполной и нечеткой

информации о состоянии сетевых элементов и ЗМС в целом. Он позволяет снизить

размерность оптимизационных задач и, как следствие, улучшить оперативность и

адекватность выработки управленческих решений по управлению ЗМС.





Баранов П.А.

НАПРАВЛЕНИЯ ТЕОРИИ РИСКОВ В ПРИЛОЖЕНИИ К

ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ НИУ Высшая школа экономики, г.Москва

Опыт изучения области знаний управления рисками демонстрирует высокую

вариативность применяемых методик. Результаты, достигаемые путем использования

риск-ориентированного подхода при управлении деятельностью организации в целом

или отдельных направлений деятельности, включают улучшение контроля за

процессами деятельности, увеличение горизонта прогнозирования, повышение

качества планирования. В то время, как основополагающая структура знания

определена, предлагаемые методики реализации подхода многообразны и могут

применяться в различных областях деятельности организации. Наиболее

распространены в применении данного подхода страхование, финансовый анализ,

управление проектами, направленными на повышение эффективности производства,

поддержание безаварийной работы комплексов оборудования. Набирает популярность

управление рисками в сфере информационных технологий (далее - ИТ). Это относится

как к организации ежедневной деятельности ИТ подразделений, так и к продвижению

новых проектов. Соответственно и в области информационной безопасности (далее -

ИБ) также определено понятие риска и управления рисками ИБ.

В настоящее время принят ряд международных стандартов в области

управления рисками, таких как ISO 31000:2009, инструкция ISO Guide 73:2009, BS

31100:2008, стандарты FERMA, COSO и другие. В отношении ИБ основные стандарты

- это ISO серии 27000 и BS серии 7799, являющиеся их историческим прародителем.

Российские стандарты представляют собой переложения (перевод с изменениями)

международных стандартов. Однако, в нашей стране применение стандартов не

является обязательным. Указанные стандарты по большей части и формируют

упомянутую выше базовую структуру знания.

Вместе с тем, основные принятые принципы управления рисками, допускают

применение широкого спектра алгоритмических механизмов, применяемых для

управления риском как для целостного процесса, так и для реализации отдельных его

шагов. В литературе и опубликованных исследованиях в этой области можно выделить

несколько направлений применения указанных алгоритмов. Эти направления

характеризуются приоритетными целями и инструментами, используемыми для их

достижения, а также способами применения указанных инструментов, часто

обусловленными изначальной областью применения конкретной методики. Три

наиболее ярко выраженных направления - это: работа с риском с помощью

61

математических и статистических моделей (здесь следует заметить, что

математическое моделирование в применении к проблемам ИТ вообще, пока еще слабо

развито), принятие решения на основании оценки финансовых показателей и

обращение с риском, как с продуктом принятия решений в ходе работы с цепочкой

проблем.

Каждое из сформировавшихся направлений освещено в технической и

финансово-экономической литературе, при этом источники адресуют свои методики

как способы управления рисками. Имеется ряд опубликованных работ,

специализирующихся на управлении рисками ИТ и ИБ. С целью определения

применимости методик к решению задач ИБ и повышения эффективности управления

ИБ в конечном итоге, видится полезным осветить преимущества и недостатки каждого

из направлений, спроецировать их на область ИБ, и предложить круг вопросов защиты

информации, в решении которых могут оказаться наиболее эффективными методики

одного из направлений.

По предварительным результатам проводимых исследований можно сделать

вывод о том, что методики с применением математического моделирования могут

применяться в сфере аудита ИБ и оценки защищенности информационных ресурсов.

Рекомендации по применению методик оценки финансово-экономических показателей

относятся к задачам расширения функциональности систем обеспечения ИБ

организации и ее модернизации. Работа с риском в аспекте решения ряда связанных

проблем может быть рекомендована при решении текущих вопросов обеспечения ИБ.

Применение методик разных направлений дает возможность их взаимно

интегрировать при решении смежных (в смысле решаемых в рамках одного процесса

обеспечения безопасности информационных ресурсов) задач ИБ за счет применения

единых метрик, шкал критичности, методик оценки риска. Наиболее выигрышные

комбинации методик и соответствующие им механизмы сопряжения представляют

собой предмет для дальнейшего исследования.

Волкова А.С., Калинин М.О.

СИСТЕМА ПРОГРАММНО-КОНФИГУРИРУЕМОЙ БЕЗОПАСНОСТИ ДЛЯ

КРУПНОМАСШТАБНЫХ ГЕТЕРОГЕННЫХ ИНФОРМАЦИОННЫХ КОМПЛЕКСОВ



Современные системы обеспечения информационной безопасности с ростом

сложности и гетерогенности информационных комплексов становятся чрезмерно

громоздкими и менее эффективными. Эти системы не всегда способны развиваться

одновременно с информационными технологиями и адаптироваться к изменяющейся

картине угроз. Динамически растущие информационные системы, включающие

облачные платформы и сервисы хранения и обработки больших объемов данных,

мобильные сети изменяющейся топологии (mesh-сети, сети типа MANET, Интернет

вещей), решения на базе BYOD и прочие технологии, значительно изменили среду

применения традиционных моделей безопасности и определили необходимость

создания новой адаптивной и гибко управляемой системы, способной противостоять

как текущим, так и новым угрозам. Такая система может быть построена на базе

концепции программно-конфигурируемой безопасности (ПКБ), являясь надстройкой

62

над программно-конфигурируемыми сетями и хранилищами информации.

В общем виде архитектура системы ПКБ включает три взаимосвязанных уровня:

физический уровень, уровень защиты и уровень управления.

На физическом уровне осуществляется сегментирование компонентов системы в

соответствии с их профилями безопасности, т.е. выдвигаемыми требованиями по

безопасности. Каждая группа или множество групп ограничивается локальной точкой

защиты (ЛТЗ). Разработанная схема внедряется в сетевую архитектуру, где между

различными группами устанавливаются доверенные каналы взаимодействия (рис. 1).

Рис. 1. Сегментирование компонентов информационной системы

На уровне защиты решаются задачи предотвращения угроз, контроля доступа и

безопасности данных. На данном уровне выполняется создание основанных на

правилах политик безопасности взаимодействия между пользователями, данными,

приложениями и последующее их развертывание на ЛТЗ каждой из групп. Политики

для каждой из групп составляются в соответствии с рисками, характерными именно для

данной группы, формируя интеллектуальный периметр защиты. Для разработки

политик используются базы знаний об организации, ее структуре, существующих и

потенциальных угрозах, множествах информационных активов и их классификации.

Подсистема защиты от угроз включает в себя множество внутренних (анализ событий,

sandboxing) и внешних (базы знаний и сигнатур) источников информации о текущей

картине угроз, обеспечивая передачу данных о новых угрозах на ЛТЗ в режиме

реального времени.

Уровень управления обеспечивает взаимодействие между всей программно-

конфигурируемой средой и администраторами системы, позволяя программировать

политики безопасности и управлять потоками данных. Данный уровень обеспечивает

модульный подход к управлению, позволяя разграничить роли администраторов в

соответствии с выполняемыми задачами и подконтрольными группами физического

уровня, а также упрощает взаимодействие с другими подсистемами: управления сетью

и ресурсами системы, администрирования облачных систем и прочих.

63

Рис. 2. Общая архитектура системы ПКБ

Использование системы ПКБ обеспечивает ряд преимуществ, в том числе

создание гибкой и динамичной структуры за счет группирования компонентов системы

с общими требованиями к защищенности. Обеспечивается эффективная защита от

внешних угроз за счет использования комбинации различных баз знаний и методов

выявления, а также формирования и экспорта обновлений на физический уровень

системы. ПКБ позволяет упростить администрирование и процесс интегрирования с

другими подсистемами за счет использования модульного подхода и визуализации

текущего состояния безопасности.

Волошина Н. В., Беззатеев С. В., Санкин П. С.

МЕТОДИКА СОВМЕСТНОГО РАСЧЕТА ФУНКЦИОНАЛЬНОЙ И

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ СИСТЕМ1

СПбГУАП, г.Санкт-Петербург

С развитием автоматизированных информационных систем управления и все

более глубокой интеграцией информационных технологий в процесс управления

сложными объектами, задача анализа влияния угроз информационной безопасности

при расчете функциональной безопасности сложных систем становится все более

актуальной.

Однако современные подходы расчета функциональной безопасности не

предполагают учета угроз информационной безопасности. Анализ угроз

информационной безопасности производится отдельно уже после проектирования и

расчета функциональной безопасности системы [1-3]. Такой подход не позволяет

получить адекватные количественные характеристики функциональной безопасности

64

системы в целом, и в большинстве случаев приводит к значительному завышению

показателя надежности, что неприемлемо для критически важных систем.

В работе предложена методика проведения совместного анализа

функциональной и информационной безопасности при расчете уровня надежности

сложной системы, что позволяет получать более адекватные оценки надежности еще на

этапе ее проектирования.

Методика была впервые применена при анализе такой сложной системы, как

европейская система автоматизированного управления движением железнодорожным

транспортом ERTMS (European Rail Traffic Management System), на примере ее

подсистемы ETCS (European Train Control System) европейской системы управления

следованием поездов[4]. Проиллюстрировано, что при расчете надежности такой

системы необходимо учитывать угрозы информационной безопасности. Совместный

расчет и получение единой оценки надежности позволяет выбрать требуемые средства

обеспечения информационной безопасности и получать адекватные оценки надежности

систем управления с элементами автоматизации.

Предложенный авторами подход применим и к анализу сложных программных

систем, таких как системы виртуализации. В качестве примера программной среды

рассматривается гипервизор, построенный на основе микроядерной архитектуры.

Анализируется логика взаимодействия его функциональных блоков для совместной

оценки надежности и безопасности функционирования использующих его систем.

При анализе функциональной безопасности, в соответствии со стандартами

оценки уровня надежности [5-6], используется метод построения дерева отказов FTA

(Fault Tree Analysis). Так как стандартные опасности, рассматриваемые при анализе

надежности, могут быть вызваны не только сбоем в работе оборудования, но и

активными действиями злоумышленников (угрозами информационной безопасности),

то такие опасности также следует добавить в дерево отказов. Таким образом, для

повышения объективности получаемых оценок надежности предлагается при

использовании стандартных подходов оценки уровня надежности учитывать угрозы

информационной безопасности, добавляя их в дерево отказов.

Важно отметить, что в соответствии с теорией информационной безопасности,

для систем, в которых не предусмотрено никаких мер по обеспечению

информационной безопасности, вероятность реализации опасности считается равной 1.

В этом случае, в соответствии с деревом отказов, и вероятность отказа работы системы

или ее части может стать близкой к 1, что значительно снижает уровень надежности

системы.

Для увеличения уровня надежности необходимо применять меры по

обеспечению информационной безопасности, а, следовательно, использовать

специальные методы и средства информационной безопасности.

Отметим, что первоначально при построении деревьев отказов не учитываются

риски, связанные с угрозами информационной безопасности. Однако, при добавлении в

анализируемую систему элементов безопасности, необходимо учесть влияние рисков

информационной безопасности.

Для учета влияния используемых средств информационной безопасности на

общий уровень надежности системы предлагается при анализе надежности ввести в

рассмотрение специальный блок «модуль безопасности». В этом случае будем считать,

что опасности со стороны информационной безопасности оказывают влияние на

величину функциональной безопасности данного блока. Такой модуль можно

рассматривать как с точки зрения надежности, так и безопасности. В этом случае отказ

65

системы может произойти либо из-за взлома системы безопасности, либо из-за

некорректной работы блока. В обоих случаях может быть получена оценка вероятности

такого критического события. Далее, полученная оценка используется в стандартной

методике расчета функциональной безопасности.

В работе предлагается использовать деревья отказов для систем виртуализации,

учитывающих связь возможных причин критических отказов микроядра гипервизора с

особенностями работы его функциональных блоков. При таком подходе введение

дополнительного модуля дает возможность вынести (частично или полностью)

функции контроля безопасности с уровня ядра на уровень отдельного модуля, что

позволяет повысить надежность системы в целом. Показано влияние угроз

информационной безопасности и мер по их предотвращению на уровень

функциональной безопасности системы.

Предложенный подход может быть применен для проведения совместного

анализа функциональной и информационной безопасности сложных систем различного

типа.


1. Kristoffer Hedberg, Fredrik Elestedt / Safety-critical Communication Controllers for

Railway Signalling in Public Networks / Chalmers University Of Technology

University Of Gothenburg, Sweden, 2008. P. 91.

2. Thomas Novak, Albert Treytl, Peter Palensky / Common Approach to Functional

Safety and System Security in Building Automation and Control Systems// Emerging

Technologies and Factory Automation, 2007. ETFA. IEEE Conference on., p. 1141 –

1148.

3. Saad Zafar and R. G. Dromey / Integrating Safety and Security Requirements into

Design of an Embedded System // Proc. of 12th Asia-Pacific Software Engineering

Conf. (APSEC ‘05), 2005. P. 629–636.

4. Sergey Bezzateev, Natalia Voloshina, Peter Sankin /Joint Safety and Security Analysis

for Complex Systems.// Proceedings of 13th Conference of Open Innovations

Association FRUCT and 2nd Regional Seminar on e-Tourism, Petrozavodsk, Russia,

2013. P. 3–13

5. ГОСТ Р 51901-2002, Управление надежностью, Анализ риска технологических

систем.

6. ГОСТ Р51901.13-2005, (МЭК 61025:1990), Менеджмент риска анализ дерева

неисправностей.

Десницкий В.А., Котенко И.В.

КОМБИНИРОВАННАЯ МОДЕЛЬ ЗАЩИТЫ ИНФОРМАЦИОННО-

ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ КОНЦЕПЦИИ

«ИНТЕРНЕТ ВЕЩЕЙ»

СПИИРАН, г.Санкт-Петербург

Современные информационно-телекоммуникационные системы отличаются

сложной распределенной структурой, разнообразием угроз информационной

безопасности (ИБ) и возможных видов нарушителей ИБ, высокой динамикой

внедрения новых телекоммуникационных технологий, изменением во времени сетевой

66

топологии, одновременным использованием нескольких типов коммуникаций на

основе широкополосных и беспроводных протоколов, мобильностью и автономностью

входящих в нее устройств, тенденцией к увеличению объемов обрабатываемой

информации и вытекающей отсюда нехваткой вычислительных и коммуникационных

ресурсов устройств. Мобильность устройств предполагает их подверженность атакам

через беспроводные интерфейсы, а также при подключении к устройству в режиме

прямого доступа. В свою очередь, ограниченность ресурсов влечет сложность

применения традиционных криптографических и других средств защиты, которые

используются для обеспечения безопасности персональных ЭВМ и серверных станций.

Отличительной чертой использования информационно-телекоммуникационных

систем в рамках концепции «Интернет вещей» является необходимость обеспечения

повышенных требований по безопасности и надежности обрабатываемой информации,

программного и аппаратного обеспечения. Это определяется, с одной стороны,

ценностью самой обрабатываемой информации, а с другой – наличием большого числа

угроз безопасности информации. При этом следует отметить, что количество

различных угроз со временем возрастает, что обусловлено все возрастающей ролью

устройств специализированного назначения, а также появлением новых форм и средств

программного и информационного воздействия.

Важность исследования механизмов защиты распределенных информационно-

телекоммуникационных систем обуславливается также тенденцией стремительного

увеличения количества устройств, осуществляющих коммуникации в сети Интернет, и

управляемых удаленно посредством беспроводных протоколов соединения.

Осуществляя коммуникации в неконтролируемом и потенциально опасном окружении

такие системы подвержены, как специализированным, так и универсальным сетевым

атакам, включая атаки, относящиеся к классу DDoS-атак, атакам по скрытым

сторонним каналам, атакам типа «человек посередине», атакам с использованием

криптоанализа и другим.

В работе исследуются новые эффективные подходы к проектированию

защищенных распределенных информационно-телекоммуникационных систем в

рамках концепции «Интернет вещей» на основе комбинирования средств

противодействия атакам со стороны широкого класса потенциальных нарушителей.

Предлагаемая модель защиты ориентирована на достижение компромисса между

функционалом системы и отдельных устройств и уровнем их защищенности.





Десницкий В.А., Чечулин А.А.

ВЕРИФИКАЦИЯ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ СО

ВСТРОЕННЫМИ УСТРОЙСТВАМИ НА ОСНОВЕ ОБОБЩЕННОЙ МОДЕЛИ

НАРУШИТЕЛЯ


Встроенные устройства предоставляют нарушителю широкие возможности

проводить различные виды атак с использованием отличающихся программно-

67

аппаратных интерфейсов устройства. Ограниченность ресурсов влечет сложность

применения традиционных криптографических и других средств защиты, которые

используются для обеспечения безопасности персональных компьютеров и серверных

станций. Поэтому задача поддержки безопасности встроенных устройств требует

новых подходов к разработке компонентов защиты информации, которые обеспечивали

бы разумный компромисс между ресурсопотреблением системы и ее защищенностью.

При этом актуальной задача обеспечения безопасности подобных устройств, первым

этапом решения которой является формирование модели нарушителя.

В работе представлена обобщенная модель нарушителя встроенных устройств,

которая используется при разработке моделей, методов и реализующих их средств

обеспечения безопасности информационно-телекоммуникационных систем со

встроенными устройствами.

Для определения возможных атак на встроенное устройство применяется

применять аналитический подход с использованием существующих классификаций

нарушителя встроенного устройства по уровню взаимодействия нарушителя с

устройством (классификация Рае и др.) и по возможностям нарушителя (классификация

Гранда, классификация Абрахама).

К несанкционированным действия потенциального нарушителя можно отнести

нарушение конфиденциальности; несанкционированное использование персональных

данных; нарушение целостности; изменение настроек устройства, обход защиты от

копирования; нарушение доступности; уничтожение данных или блокировка

устройства; неправильное использование устройства.

Обобщенная модель нарушителя используется для проведения верификации

спецификации встроенного устройства на наличие потенциальных уязвимостей,

формирования тестов физической проверки устройства, построения первоначального

списка необходимых программных и программно-аппаратных компонентов защиты,

которые интегрируются в устройство, а также для определения необходимого уровня

защищенности от нарушителей различных типов и уровней.

К недостаткам рассматриваемой модели нарушителя можно отнести отсутствие

в ней классификации нарушителей по уровню доступа к администрированию устройств

и системы в целом. Так, например, если пользователь имеет права администратора

системы, то он может, как намеренно или так не умышленно нарушить политику

безопасности системы.

Работа выполняется при финансовой поддержке РФФИ (13-01-00843, 13-07-

13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ

РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества

TEMPUS и государственного контракта №14.ВВВ.21.0097.

Котенко И.В., Чечулин А.А., Десницкий В.А.

ОСОБЕННОСТИ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В КИБЕР-

ФИЗИЧЕСКИХ СИСТЕМАХ


В настоящее время наблюдается стремительное развитие кибер-физических

систем или т.н. Интернета вещей. Интернет вещей (англ. Internet of Things) — это

концепция вычислительной сети физических объектов («устройств»), оснащённых

68

встроенными технологиями для взаимодействия друг с другом или с внешней средой.

Повышение спроса пользователей на подобные устройства, создает конкуренцию в

этой сфере. Это заставляет разработчиков расширять спектр предлагаемых решений,

таким образом, повышая архитектурную и программную сложность систем.

Повышение сложности систем влечет за собой увеличение числа их возможных

уязвимостей. Компания Gartner сообщает, что до 2016 году финансовые убытки от

киберпреступлений будут расти на 10% в год из-за постоянного появления новых

уязвимостей. Хотя, в настоящее время, многие разработчики проявляют большой

интерес к механизмам защиты таких сетей, очень мало внимания уделяется

устойчивости инфраструктуры к атакам, что представляет собой угрозу нормального

функционирования таких систем.

Особенностью таких систем, является наличие в них встроенных устройств. Это

накладывает дополнительные ограничения, несвойственные обычным

информационным системам. Так, отличительными особенностями таких систем

являются, во-первых, автономность отдельных устройств, входящих в систему, и, во-

вторых, ограничения, накладываемые на ресурсы устройств, и вытекающая из этого их

слабая производительность. В качестве ключевых проблем в области безопасности

кибер-физических систем выделяют проблемы идентификации пользователей,

аутентификации отдельных устройств, безопасного хранения данных внутри устройств,

устойчивость установленного программного обеспечения к модификациям, безопасный

доступ к сети, безопасные сетевые соединения и другие. При этом современные

механизмы защиты ориентированы в основном на предоставление защиты против

определенных угроз и чаще всего не могут быть установлены на специализированные

устройства.

Для реализации моделей, методик и алгоритмов механизмов защиты сетевой

инфраструктуры кибер-физических систем, основанной на технологиях

многомодельного интеллектуального анализа данных, необходимо создать

верифицированный модельно-методический аппарат позволяющий выполнять

моделирование атак на реальную и виртуальную инфраструктуру кибер-физической

системы и механизмов защиты от них с необходимой степенью оперативности,

адекватности, масштабируемости и требований к ресусопотреблению. Предполагается,

что выделение отдельных центров анализа и управления системой безопасности на

более мощных вычислительных системах сети и размещение различных сенсоров для

сбора информации, имеющей отношение к безопасности, на слабых и автономных

элементах, позволит снизить общую нагрузки и, как следствие, понизить влияние

системы защиты на работоспособность всей системы.

Для разработки такого аппарата предлагается использовать комплексный подход

к моделированию инфраструктурных атак, процессов безопасности происходящих

внутри сетей кибер-физических систем. Комплексный подход защиты, в данном случае,

отличается от существующих аналогов ориентированностью на особенности кибер-

физических систем и включает в себя методы, методики и алгоритмы, предназначенные

для: (1) анализа и построения архитектуры системы защиты для кибер-физической

системы, включающей в себя как центры управления безопасностью, так и сенсоры для

сбора информации (2) сбора данных для построения моделей объектов и процессов

характерных для конкретных кибер-физических систем; (3) выработки конкретных

требований к защищенности кибер-физических систем; (4) построения аналитической

модели системы, ее процессов функционирования, возможных атакующих и т.д.; (5)

предварительной оценки защищенности; (6) построения модели событий безопасности

69

влияющих как на процесс функционирования, так и на состояния отдельных объектов;

(7) организации интеллектуального анализа событий безопасности в реальном времени

для выявления возможных атакующих действий; (8) формирования отчета и элементов

визуализации результатов работы системы безопасности.





Кравчук А.В., Еремеев М.А.

ПОДХОД К МОДЕЛИРОВАНИЮ КОМПЬЮТЕРНЫХ АТАК


В настоящее время существуют различные подходы к моделированию

компьютерных атак. С точки зрения формального представления данных и знаний,

наиболее популярные типы моделей атак — это табличные и матричные модели,

логические модели, вероятностные модели, модели, основанные на графах, а также

модели, использующие объектно-ориентированный подход [1].

Каждый из подходов к моделированию атак имеет свои преимущества и

недостатки. К основным недостаткам существующих подходов к моделированию атак

можно отнести следующие:

1) недостаточное освещение вопросов, связанных с моделированием атак,

обусловленных уязвимостями нулевого дня;

2) отсутствие учета активного противодействия системой обнаружения

атак;

3) неполнота охвата жизненного цикла атаки.

Предлагается устранить неполноту охвата жизненного цикла атаки с позиции

действий нарушителя и дополнить работу [2]. Рассмотрим возможные цели атак

нарушителя в соответствии с основными свойствами информации. В агрегированном

виде данные цели представлены на рисунке 1.

Как видно из схемы (рис. 1) внедрение вредоносного кода в целевую систему

предоставляет максимальные возможности для нарушителя, т.к. позволяет

воздействовать на все основные свойства информации.

При планировании атаки на целевую систему нарушитель должен учитывать

наличие средств защиты, которыми обладает целевая система, для недопущения

собственной компрометации. Для простоты ограничимся системой обнаружения атак

(СОА) и межсетевым экраном (МЭ). Будем считать, что СОА имеет датчики уровней

сети и хоста и модуль активного противодействия атакам, в частности, способна

изменять конфигурацию МЭ в зависимости от ситуации.

70

Рис. 1. Схема целей нарушителя.

Для достижения целей нарушитель должен спланировать и реализовать атаку

рациональным образом в 3 этапа:

1. идентификация параметров целевой системы;

2. передача вредоносного кода по сети;

3. внедрение и использование результатов работы вредоносного кода

4. при ограничении S < Sдоп, где S – агрегированный показатель

скрытности, Sдоп - допустимое значение показателя скрытности.

С учетом трех этапов представим S в виде тройки:

1...0,,, SSSSS systemnetflowscan ,

где: Sscan – показатель скрытности на этапе параметрической идентификации;

Snetflow – показатель скрытности на этапе передачи вредоносного кода по сети;

Ssystem – показатель скрытности на этапе внедрения и использования результатов

работы вредоносного кода.

Предлагается представить атаку с помощью графа вариантов сетевой модели с

вероятностной структурой [3]. При этом ключевым моментом является учет

реализуемости проведения каждого этапа атаки с точки зрения возможностей

нарушителя по снижению частных показателей скрытности, определяемых как

отношение количества непроявившихся в результате проведения i-го этапа

демаскирующих признаков (ectuniq

det) к общему количеству демаскирующих признаков

(totaliq ), характерных для конкретного этапа:

systemnetflowscaniq

qS

total

ectun

i

i

i ,,,det

Демаскирующий признак проявляется при превышении значения порога

срабатывания СОА, который определяется её качеством и конфигурационными

параметрами. При этом под демаскирующим признаком понимается как атомарное

71

событие, так и их некоторая последовательность. Таким образом, использование

данного подхода к моделированию атаки позволяет соотнести возможности

нарушителя с наиболее вероятными сценариями развития атаки.


1. Котенко Д.И., Котенко И.В., Саенко И.Б. Методы и средства моделирования

атак в больших компьютерных сетях: состояние проблемы. Труды СПИИРАН.

2012. Вып. 3(22).

2. Кравчук А.В. Модель и методы дистанционного контроля мобильных

персональных устройств / Еремеев М.А., Моргунов В.А., Романченко А.М.,

Потерпеев Г.Ю. // Материалы 22-й научно-практической конференции “Методы

и технические средства обеспечения безопасности информации” – С-Пб.: Изд-во

Политехн. ун-та, 2013. – С. 24-26.

3. Юсупов Р.М., Заболотский В.П. Научно-методологический основы

информатизации. СПб: Изд-во Наука, 2001 г. – 455с.

Лисицына М.А, Степанова Т.В.

ПРИМЕНЕНИЕ ДИНАМИЧЕСКОЙ РАСКРАСКИ ГРАФОВ

ДЛЯ СЕГРЕГАЦИИ СЕТЕЙ В АСУ ТП



Автоматизированные системы управления технологическим процессом (АСУ ТП) –

человеко-машинные комплексы, обеспечивающие управление технологическими

процессами на современных механизированных и автоматизированных промышленных

предприятиях. Основная цель АСУ ТП – оптимизация технологических процессов,

характеризующихся большим числом параметров и сложностью алгоритмов

управления. Наиболее серьезным фактором, вызвавшим рост количества проблем

обеспечения безопасности в системах АСУ ТП, является тенденция к их интеграции с

корпоративными ИТ-системами. Предлагаемый подход базируется на реализации

четырех принципов, позволяющих максимально сократить ограничивающее

воздействие на среду функционирования и направленных на устранение каналов

воздействия, доступных нарушителям:

изоляция;

контроль управляющего воздействия;

использование защищенной станции управления;

применение организационных мер защиты от внутренних нарушителей.

Решение первой задачи – изоляции – подразумевает исключение возможности

доступа к элементам АСУ ТП из сети Интернет, а также сегрегацию сетей,

функционирующих в рамках АСУ ТП: например, выделение корпоративного и

промышленного сегментов, или разделение потоков управляющих команд и сбора

данных. Для решения этой задачи необходимо проведение аудита, направленного на

выявление каналов доступа к АСУ ТП (в том числе посредством сменных носителей).

Если возможно, необходимо устранить такие внешние каналы путем замены их на

72

внутренние: например, если использование Wi-Fi при взаимодействии компонентов

промышленной системы не является необходимым и канал можно заменить на

проводной, входящий в промышленный контур. Если такая замена невозможна –

система, с которой связывается АСУ ТП, включается в изолированный контур АСУ ТП

и изолируется от сети Интернет. Если Интернет используется для организации связи

между компонентами АСУ ТП, изоляция осуществляется путем применения СКЗИ.

Удаленное администрирование АСУ ТП должно осуществляться за счет применения

специализированных защищенных станций управления и криптографически

защищенных каналов (VPN).

Традиционными подходами к сегрегации сетей являются организация VLAN,

ACL на свитчах и protocol-based межсетевые экраны. Несмотря на то, что эти решения

обладают известными недостатками (например, подмена метки VLAN), они позволяют

увеличить уровень защищенности АСУ ТП в случае недостатка финансовых или

аппаратных ресурсов и возможности физической сегрегации сети. Если для выделения

сегментов сети применяются VLAN-подобные технологии, то число VLAN-сегментов

(и, соответственно, обрабатываемых VLAN-меток) может быть сокращено за счет

использования алгоритмов динамической раскраски графа. Для этого каждому

сегменту сети, который должен быть изолирован, ставится в соответствие вершина

графа конфликтов. Две вершины в графе конфликтов соединяются ребром, если

ассоциированные с ними сегменты пересекаются: в этом случае вершины должны быть

покрашены в разные цвета, что означает необходимость присвоения различных VLAN-

меток на этапе реализации. Если сегменты не пересекаются – это означает наличие

физической изоляции и возможность использования одной VLAN-метки.

Для заданного графа наименьшее число цветов в возможной

раскраске называется хроматическим числом графа . Задача определения в

общем случае является -полной. Однако для некоторых классов графов существуют

эффективные полиномиальные алгоритмы построения раскрасок в минимально

возможное количество цветов. В частности, жадный алгоритм вершинной раскраски

дает оптимальное решение для совершенных графов.

Пусть . Жадный алгоритм выполняет следующие шаги:

1. Вершине поставим в соответствие цвет 1.

2. Пусть вершинам цвета назначены, тогда вершине

поставим в соответствие цвет с минимальным номером из тех, которые не участвуют в

раскраске вершин из множества смежных с .

В общем случае результатом работы жадного алгоритма на графе является -

раскраска с .

Если сегмент сети представляется упорядоченным набором адресов, то

соответствующий граф конфликтов является графом интервалов и, следовательно,

совершенен. Применяя жадный алгоритм раскраски к такому графу, получаем

оптимальную раскраску вершин за полиномиальное время.

В процессе эволюции сеть меняет свою топологию в силу появления и удаления

новых вершин и ребер. Описанный выше алгоритм позволяет выполнять раскраску

сети динамически:

1. При удалении вершины или ребра алгоритм оставляет цвет вершин графа без

изменения.

2. Если в ходе эволюции в сети появилась новая вершина, то выполняется шаг 2

жадного алгоритма.

73

3. Если в ходе эволюции в сети появилось новое ребро, то второй шаг жадного

алгоритма выполняется для терминальных вершин.

Таким образом, жадный алгоритм позволяет получить оптимальную раскраску

исходной сети за полиномиальное время и корректировать ее в соответствии с

эволюцией сети, что, в свою очередь, упрощает управление VLAN-сегментами.

Москвин Д.А., Иванов Д.В.

ИСПОЛЬЗОВАНИЕ MESH-ТОПОЛОГИИ ДЛЯ УПРАВЛЕНИЯ СЕТЯМИ

РОБОТИЗИРОВАННЫХ ОБЪЕКТОВ: УДОБНО ИЛИ БЕЗОПАСНО?

ФГБОУ ВПО «СПбГПУ», г.Санкт-Петербург

Международный опыт последних лет показывает, что привычная ИТ-

инфраструктура в любой момент может дать сбой, обусловленный совершенно

разными причинами. После этого связь определенного сегмента с остальной сетью

теряется. Например, на Гаити после землетрясения в 2010 году главным средством

связи стали спутниковые телефоны, предоставленные в качестве помощи.

Использование таких телефонов стало скорее вынужденной мерой, а не эквивалентной

альтернативой существующим средствам связи. Основная проблема в том, что не

только природные катаклизмы способны вывести из строя современную

инфраструктуру, но и банальное отключение электропитания способно превратить

наши мобильные устройства и компьютеры в "бесполезные игрушки".

Адекватной реакцией на такие проблемы является растущий интерес к идее

создания беспроводной самоорганизующейся (или динамической, или ad hoc) сети.

Беспроводные самоорганизующиеся сети — децентрализованные беспроводные сети,

не имеющие постоянной структуры. Клиентские устройства соединяются «на лету»,

образуя собой сеть. Каждый узел сети пытается переслать данные, предназначенные

другим узлам. При этом определение того, какому узлу пересылать данные,

производится динамически, на основании связности сети. Это является отличием от

проводных сетей и управляемых беспроводных сетей, в которых задачу управления

потоками данных выполняют маршрутизаторы (в проводных сетях) или точки доступа

(в управляемых беспроводных сетях). Такая сеть способна формировать сама себя

каждый раз, когда специальным образом запрограммированные мобильные устройства

(телефоны, планшеты, ноутбуки и др.) оказываются в пределах прямого доступа.

Каждое из таких устройств выполняет роль и приемника и передатчика, а также

является ретранслятором для других устройств в сети. Устройства, расстояние между

которыми превышает дальность прямого доступа, могут поддерживать между собой

связь посредством других устройств в сети, образуя таким образом подобие цепочки из

узлов, где каждый из них передает информацию своему ближайшему соседу.

Однако, как и любая другая технология, беспроводные самоорганизующиеся

сети обладают своими недостатками. По цели воздействия атаки на ad hoc сети делятся

на атаки на конфиденциальность, целостность и доступность соответственно. Атаки на

сети с динамической организацией по характеру взаимодействия делятся на пассивные

и активные. Пассивные атаки преследуют лишь цель прослушивания и перехвата

передающейся в сети информации, что делает их крайне тяжелыми для обнаружения.

Активные атаки, в свою очередь, направлены на непосредственное взаимодействие с

информацией в сети: изменение или скрытие пакетов данных является основной целью

74

таких атак. Таким образом пассивные атаки направлены на нарушение

конфиденциальности информации, в то время как активные атаки также нарушают

целостность и доступность передаваемых данных. Помимо активных и пассивных атак,

в контексте беспроводных самоорганизующихся сетей также различают атаки внешние

и внутренние. Не трудно догадаться, что под внешними атаками подразумевают

действия нарушителя находящегося вне сети, а под внутренними, напротив, действия

нарушителя работающего внутри целевой сети. Также атаки на ad hoc сети по

распоряжению собственными ресурсами и ресурсами других узлов можно разделить на

три подвида: избыточное использование чужих ресурсов, избыточное предоставление

своих и недостаточное предоставление своих ресурсов. В рамках работы наибольшей

интерес представляют внутренние пассивные и активные атаки.

При оценке безопасности ad hoc сетей необходимо учитывать несколько

аспектов. С одной стороны, в большинство используемых протоколов встроены

механизмы криптографической защиты, что позволяет обеспечить высокую

безопасность передачи данных и надежно защититься от внешнего нарушителя. С

другой стороны, ввиду специфичности маршрутизации трафика возникают новые

угрозы и слабости перед внутренним нарушителем.

Безопасность беспроводных самоорганизующихся сетей заслуживает

пристального внимания в связи со следующими своими особенностями:

общая среда передачи данных;

равноправность всех узлов;

каждый узел выполняет роль маршрутизатора;

топология сети может свободно меняться;

в сеть могут беспрепятственно входить новые участники.

В свою очередь к источникам уязвимостей ad hoc можно отнести:

уязвимость каналов к прослушиванию и подмене сообщений, в связи с

общей доступностью среды передачи данных, как и в любых беспроводных сетях;

незащищенность узлов от злоумышленника, который может легко получить

один из них в распоряжение, так как обычно они не находятся в безопасных местах,

таких как сейфы;

отсутствие инфраструктуры делает классические системы безопасности,

такие как центры сертификации и центральные серверы неприменимыми;

динамически изменяющаяся топология требует использования сложных

алгоритмов маршрутизации, учитывающих возможность появления некорректной

информации от скомпрометированных узлов или в результате изменения топологии.

Многие протоколы взаимодействия в сетях с динамической организацией

используют следующий механизм для нахождения оптимального пути до узла цели:

узел-инициатор посылает широковещательный RREQ-запрос, который запускает

процедуру поиска кратчайшего маршрута. Каждый последующий узел сети передает

RREQ-запрос дальше по цепочке, пока он не дойдет до узла-цели или узла, который

знает кратчайший маршрут от себя до цели. Этот узел ответит RREP-ответом, который

будет передан в обратном направление через те же узлы, что и RREQ-запрос.

Атака "Черная дыра" реализуется за счет того, что узел злоумышленник может,

получив RREQ-запрос, не смотря на свое положение относительно узла-цели, передать

обратно RREP-ответ, так как будто именно через него проходит оптимальный маршрут,

при этом злоумышленник не обязательно находится на оптимальном пути между узлом-

инициатором связи и узлом-целью.

75

Для защиты от атаки "Черная дыра", используются следующие методы (которые

можно отнести к классу анализа паттернов): во-первых, можно принимать в расчет

RREP-ответы только от узлов-целей, но не от промежуточных узлов. Это лишит

злоумышленника возможности отвечать на все RREQ-запросы, переводя тем самым все

информационные потоки на себя. Однако это не избавляет злоумышленника от

возможности подделки RREP-ответа узла-цели. Второй метод защиты использует

небольшие надстройки над механизмом обмена RREQ-и RREP-сообщениями. Помимо

RREP-ответа, узел,участвующий в оптимальном маршруте до узла-цели (узел 1),

посылает также специальный пакет с информацией о следующем на пути узле

(nexthop).После принятия узлом-инициатором RREP-ответа и nexthop-пакета узел-

инициатор посылает дополнительный RREQ-запрос узлу, информация о котором была

дана в nexthop-пакете (узел 2). Цель этого повторного запроса проста и заключается в

определении связи между узлом 1 и 2, а также между узлом 2 и узлом-целью. Если

такие связи существуют, то маршрут можно считать легитимным. Если же связи

отсутствуют, то этот маршрут не добавляется в таблицу маршрутизации, а узел,

отправивший ложную информацию, блокируется сетью.

Таким образом, технология беспроводных самоорганизующихся сетей является

перспективным и актуальным для исследований направлением. В свою очередь

существование атак на подобные сети, делает технологию важной для изучения с точки

зрения информационной безопасности. Разработчики ad hoc сетей изначально

предусмотрели использование механизмов защиты, но основную угрозу они видели во

внешней среде — в Интернете и в других внешних нарушителях. И это отлично

работало, когда сети с динамической организацией использовались локально, для

решения узкого круга зачастую кратковременных задач, и в них присутствовало

фиксированное множество доверенных узлов. Однако в последнее время вследствие

роста количества и масштаба ad hoc сетей на доверие ко всем узлам рассчитывать уже

не приходится — появилась угроза внутреннего нарушителя, к которому такие сети

оказались не готовы. Поэтому для дальнейшего развития и использования

беспроводных самоорганизующихся ad hoc сетей необходима разработка новых

технологий и средств для их защиты.

Овчаров В.А.

ПОДХОД К ПРИМЕНЕНИЮ ТЕХНОЛОГИЙ АКТИВНОГО И ПАССИВНОГО

МОНИТОРИНГА СЕТЕВЫХ ИНФРАСТРУКТУР ДЛЯ ПОСТРОЕНИЯ

КОММУНИКАЦИОННО-ПОВЕДЕНЧЕСКИХ ПРОФИЛЕЙ ПОЛЬЗОВАТЕЛЕЙ,

УСТРОЙСТВ И РЕСУРСОВ


На современном этапе развития средств мониторинга сетевых инфраструктур

назрела объективная необходимость создания специализированных программно-

аппаратных комплексов (ПАК), способных осуществлять построение

коммуникационно-поведенческих профилей (профилирование) пользователей,

устройств и ресурсов с использованием всего спектра существующих технологий –

активных, пассивных и квазипассивных [1].

Далее под мониторингом сетевых инфраструктур (МСИ) будем понимать

взаимосвязанный комплекс технологий по добыванию и интеллектуальной обработке

76

данных из информационно-телекоммуникационных сетей (ИТКС), направленных на

построение (актуализацию) профилей сервисов, протоколов информационного обмена,

программно-аппаратных средств, пользователей и созданию предпосылок для

успешного осуществления информационно-технических воздействий (ИТВ).

Коммуникационный портрет сетевых инфраструктур – формализованное

средство (форма) описания и отображения характеристик сетевой инфраструктуры в

целом и объекта ИТКС в части детализации правил (коммуникационных протоколов) и

процедур обмена данными на соответствующем интервале наблюдения.

Поведенческий портрет сетевых инфраструктур – характерный

индивидуальный штамп (параметрическое множество), характеризующий сферу

профессиональных и личных интересов, кругозор, опыт, круг общения, образ и ритм

жизни пользователей ИТКС.

Способность не только реагировать, но и предвидеть, упреждать различные

нештатные ситуации до того, как они достигнут кризисной точки является

определяющей в ходе подготовки и проведения как избирательных оперативно-

технических мероприятий в киберпространстве, так и при осуществлении

комплексного МСИ провайдеров [2]. Формируемое информационное превосходство

позволяет специалистам различного уровня планировать и оперативно принимать

взвешенные, мотивированные решения, просчитанные на несколько шагов вперед,

исходя из всесторонней оценки текущих условий и складывающихся в ИТКС ситуаций.

По мнению автора, современные и перспективные многофункциональные

средства мониторинга ИТКС должны отвечать следующим принципам:

- скрытное присутствие в киберпространстве (анонимизация);

- консолидация процессов сбора и анализа информации из различных

источников (связываемость);

- оперативный контроль критически важных объектов (КВО) сетевой

инфраструктуры в режиме реального времени с возможностью построения профилей в

условиях неполных данных об объектах (наблюдаемость);

- идентификация технологических циклов функционирования профилируемых

устройств, ресурсов и прогнозирование намерений пользователей

(депсевдономизация);

- адаптивная смена фокуса при решении задач в быстро изменяющихся

условиях, потребностях, при смене приоритетов (адаптация);

- обоснованное определение приоритетов при сборе и анализе данных,

наблюдении и рекогносцировке информационных ресурсов (принятие решений).

Исходя их сформулированных принципов, предлагается осуществлять

планирование и реализацию МСИ в киберпространстве на основе анализа логических

цепочек, однозначно и полно характеризующих как пользователей, так и устройства

(ресурсы) ИТКС: источник информации (угрозы) – угроза – уязвимость – атака –

инструментарий – последствия (ущерб).

Были выделены следующие типы источников информации, используемые при

планировании и проведении оперативно-технических мероприятий в ИТКС и

обуславливающие существование различных классов угроз: данные, сведения и

информация, обрабатываемые, передаваемые и хранимые в ИТКС; перечень

используемых протоколов информационного обмена (коммуникационный профиль

ИТКС и пользователей); характеристики (профили) программных, аппаратных и

программно-аппаратных комплексов, служб и сервисов ИТКС; характеристики

пользователей ИТКС и особенностей их взаимодействия (поведенческий профиль

77

ИТКС (регламент работы, расписание и источники обновлений, типы серверов и их

взаимодействие) и пользователей). Соответствующие источникам информации классы

угроз определяют сферы реализации и каналы сбора информации в ИТКС.

Разработанный ПАК профилирования участников информационного обмена

реализует метод построения коммуникационных и поведенческих профилей по

результатам активного, пассивного и квазипассивного мониторинга. Реализовано

построение 7 типов портретов. Портрет телекоммуникационного оборудования,

протоколов, проводных и беспроводных стандартов, а также географический портрет

формируют коммуникационный профиль. Сеансово-статистический, информационно-

компонентный и запросно-ориентированный портреты формируют поведенческий

профиль сетевых инфраструктур. Социально-психологический портрет является общим

при формировании как коммуникационного, так и поведенческого профилей.

Новизной разработанного подхода является агрегация технологий активного,

пассивного и квазипассивного сбора информации, использование баз знаний угроз,

уязвимостей и атак при обработке результатов мониторинга. В сравнении со сканерами

портов и уязвимостей (acunetics, nmap, zmap, OpenVAS, MaxPatrol, wikto) существенно

снижена продолжительность сеанса мониторинга. Отличительной особенностью

реализации технологий пассивного мониторинга является использование геобаз, whois-

сервисов, централизованное хранение в распределенной базе данных,

загрузка/выгрузка дампов мониторинга и результатов обработки в различных

форматах.


1. Овчаров В.А. Метод контролируемого многомодельного доступа к среде передачи

беспроводных сетей / C.А. Акулов, В.С. Коротков, В.А. Овчаров //Сб. трудов

института системного анализа РАН. Кн.1. Методы обеспечения информационной

кибербезопасности. – М., 2012. – выпуск 63. – С. 77 – 87.

2. Овчаров В.А. Метод адаптивного управления активным сетевым оборудованием

телекоммуникационной сети в условиях компьютерных атак / С.А. Акулов, М.А.

Еремеев, А.Г. Ломако, В.А. Овчаров, Н.В. Свергун // Информационное

противодействие угрозам терроризма, 2012. №19. – С. 136 – 146.

Печенкин А.И.

ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ ПОДСИСТЕМ

ТРАНСПОРТНЫХ СРЕДСТВ ФГБОУ ВПО «Санкт-Петербургский государственный политехнический


Развитие транспортных средств в последние десятилетия неразрывно связано с

бурным развитием информационных технологий. Все большее количество

компонентов транспортных средств управляется электронными системами,

использование которых с одной стороны позволяет эффективнее решать поставленные

задачи, с другой же приводит к появлению новых угроз безопасности. При этом не

просто угроз безопасности электронных систем транспортных средств - а прежде всего

угроз здоровью и жизни людей: пассажиров, пилотов, машинистов, водителей и т.д.

По различным оценкам, до 40% стоимости современного автомобиля

78

составляет электроника и программное обеспечение. В 1990 году электроника и софт

составляли порядка 15% стоимости машины, в 2000 году — 25%, а сегодня — до 40%.

Средний современный автомобиль содержит несколько миллионов строк программного

кода — больше, чем космический шаттл. В автомобилях премиального класса объём

программного обеспечения составляет около 1 гигабайта. По данным исследования

инженерной ассоциации IEEE, софт уже обеспечивает 90% инноваций в автомобилях.

Электронные системы управления внедряются практически на всех видах

транспортных средств:

– авиатехника:

o пассажирские самолеты;

o военные самолеты;

– морская техника:

o пассажирские паромы;

o грузовые баржи;

– общественный транспорт:

o трамваи;

o троллейбусы;

o автобусы;

– автомобильная техника:

o мотоциклы;

o легковые автомобили;

o грузовой автотранспорт;

– сельскохозяйственная техника:

o тракторы;

o уборочная техника и т.д.;

– железнодорожная техника.

Различные электронные системы в транспортных средствах представляют собой

независимые программно-аппаратные блоки, которые включают в себя

запрограммированные контроллеры, обеспечивающие выполнение необходимых

управляющих функций. Для совместной согласованной работы таким модулям

необходимы команды и сведения от других контроллеров системы, поэтому все они

должны быть объединены в единую сеть. Большую популярность для применения в

транспортных средствах приобрел стандарт CAN – стандарт промышленной сети,

ориентированный прежде всего как раз на объединение в единую сеть различных

исполнительных устройств и датчиков. Основными его достоинствами являются:

– возможность работы в режиме жёсткого реального времени;

– простота реализации и минимальные затраты на использование;

– высокая устойчивость к помехам;

– арбитраж доступа к сети без потерь пропускной способности;

– надёжный контроль ошибок передачи и приёма;

– широкий диапазон скоростей работы.

Данные преимущества позволили CAN приобрести огромную популярность в

транспортной отрасли. Для каждого вида транспорта разработаны отдельные

стандарты, регламентирующие разработку оборудования. Например, в

железнодорожном транспорте есть стандарт IEC 61375-3-3, регламентирующий

создание систем управления перспективными локомотивами на основе протокола

CANopen. Для задач авионики был разработан протокол CANaerospace. На его основе

создан протокол ARINC 825, принятый фирмами Airbus и Boeing для своих разработок.

79

Весь грузовой транспорт и сельскохозяйственные машины используют протокол SAE

J1939 и его вариации ISO 11992 для грузовиков с прицепами, ISO 11783 для

сельскохозяйственных машин. Для военных транспортных средств применяют

протокол MilCAN. Практически для каждой области применения создан CAN-протокол

верхнего уровня, на основе которого разрабатываются устройства и системы.

В большинстве современных транспортных средств сеть электронных устройств

построена в соответствии со стандартом CAN и представляет собой одну или несколько

шин, к которым подключены все имеющие контроллеры. Посредством данной шины

обеспечивается взаимный обмен информации, контроль и мониторинг состояния.

Особенность построения заключается в том, что любой узел может получить

независимый и равноправный доступ к шине, любое сообщение может быть послано

одному или нескольким узлам, которые полностью доверяют друг другу. Это является

достоинством CAN, но в то же время эти особенности могут быть использованы

злоумышленником для внедрения в данную сеть, сбора информации, отправки ложных

команд различным узлам. Это может позволить злоумышленнику получить полный,

либо частичный контроль над транспортным средством, то есть осуществить

практически любое действие, которое имеет электронное управление (а это

практически любое действие в транспортном средстве). Например, остановку или

запуск двигателя, изменение оборотов, торможение, либо наоборот разблокировку

колес, блокировку дверей, управление любым световым оборудованием и прочие

действия такого типа.

Любое деструктивное воздействие может быть осуществлено только в том

случае, если злоумышленник получит доступ к внутренней CAN-шине транспортного

средства. Наиболее простой метод – это использование непосредственного физического

доступа, например, путем подключения вредоносного аппаратного модуля к CAN-

шине. Также вредоносный код может быть записан злоумышленником в память одного

из имеющихся контроллеров. И хотя на первый взгляд это кажется невозможным, на

самом деле это не так. На паромах к CAN-сети подключены многие устройства

непосредственно в пассажирских каютах: системы экстренного оповещения, системы

экстренного открытия дверей и т.д. А значит, и любой пассажир имеет практически

беспрепятственный доступ к CAN-шине. Но наиболее опасной является возможность

внедрения в CAN-сеть посредством проводных и беспроводных потребительских

интерфейсов. В поездах и самолетах появляются развлекательные системы, которые

также подключены к CAN-сети. При этом у них есть возможность подключения USB-

устройств, а иногда даже беспроводные интерфейсы. В автомобилях мультимедийные

устройства имеют GSM, Wi-Fi и Bluetooth интерфейсы, а значит, любой случайный

прохожий имеет потенциальную возможность подключения к сети автомобиля.

Внутренняя сеть транспортных средств не единственный пример применения

CAN протокола. Это популярный стандарт, который используется во многих сферах:

наземный, морской, воздушный транспорт, медицинское оборудование, военная

техника, системы кондиционирования, лифты, подъемные краны и т.д. Можно

утверждать, что угрозы безопасности в этих сферах схожи и вытекают из особенностей

построения CAN-сетей, поэтому проблема безопасности CAN-протокола является

глобальной и затрагивает множество различных классов техники и устройств.

80

Платонов В.В., Семенов П.О.

МЕТОДЫ КЛАСТЕРНОГО АНАЛИЗА ДЛЯ ФОРМИРОВАНИЯ МОДУЛЕЙ

ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК



В работе рассматривается возможность применения методов кластерного

анализа для формирования оптимальной модульной архитектуры системы обнаружения

сетевых атак и вторжений. Данная работа является составной частью исследования

применимости различных методов интеллектуального анализа данных (Data Mining) в

задаче обнаружения сетевых атак.

В рамках исследования разработан программный прототип системы

обнаружения сетевых атак, основанный на методе опорных векторов и методах

сокращения размерности. Метод опорных векторов классифицирует сетевые пакеты на

атаки и нормальные. Методы сокращения размерности формируют оптимальное

множество параметров сетевого трафика, необходимое для обнаружения конкретного

набора сетевых пакетов. Множество анализируемых данных составляют параметры

заголовков IP, TCP, UDP и ICMP пакетов и параметры TCP-сеансов. Проводится

исследование на множестве атак категорий User-to-Root и Remote-to-Local тестовых

сетевых дампов DARPA.

В разработанный прототип заложена логика модульного подхода к

обнаружению: система состоит из набора модулей обнаружения, отвечающих за

обнаружение определённого класса атак, отдельной атаки или группы сетевых пакетов,

принадлежащих одной атаке. Проведённые эксперименты показали необходимость

разделения некоторых атак на несколько подмножеств сетевых пакетов со своими

модулями обнаружения, состоящими из относительно небольшого количества опорных

векторов. Подобное разделение позволяет сократить число ошибок первого и второго

рода и, за счёт распараллеливания, существенно сократить время анализа сетевых

пакетов. Для некоторых атак методом опорных векторов не удалось построить

разделяющую гиперплоскость при рассмотрении всех пакетов с меткой «атака» из

обучающих множеств. В то же время, при объединении некоторых схожих по

принципу действия атак в один класс с общим модулем обнаружения наблюдается

лишь незначительный рост числа опорных векторов и не изменяются показатели

обнаружения, что позволяет повысить быстродействие всего программного комплекса.

Иерархические методы кластерного анализа оказались не пригодными для

поставленной задачи в связи с большим количеством рассматриваемых записей. Для

выполнения задачи были выбраны итерационные неиерархические методы k-средних и

k-медиан. Процедура кластеризации обучающего множества из одной или нескольких

атак состоит из следующих этапов:

1) стандартизация параметров при помощи одной из формул масштабирования;

2) обучение метода главных компонент (МГК) на множестве параметров

сетевого трафика;

3) перевод исходных данных в пространство, полученное при помощи МГК;

4) уточнение предполагаемого числа кластеров (первоначально k = 2);

5) обучение выбранного метода кластеризации для выбранного k;

6) обучение и тестирования метода опорных векторов для каждого кластера с

добавлением пакетов нормального трафика;

81

7) анализ результатов. При невыполнении условия остановки изменение числа k

и повторение этапов 4-7.

При рассмотрении двух главных компонент возможна визуализация множества

анализируемых записей и построенных кластеров, что позволяет пользователю

определить выбросы в данных. Использование визуализации для атак, для которых не

удавалось построить разделяющую гиперплоскость, позволило обнаруживать и

устранять некоторые ошибки в описании обучающих данных.

В рамках исследования определяются принцип выбора начальных центров для

построения кластеров, используемые метрики расстояния между кластерами и правила

анализа результатов (критерии остановки процесса). Выбор начальных k центров

кластером может осуществляться случайным образом, первыми k записями или путём

максимизации начальных расстояний. Из метрик расстояния используются евклидово

расстояние, квадрат евклидова расстояния и манхэттенское расстояние. Метрика

квадрата евклидова расстояния позволяет выделять наиболее отдалённые записи,

манхэттенское расстояние, наоборот, сокращает влияние отдельных выбросов. В

системе реализована возможность оценки среднего расстояния между кластерами,

определения расстояния между центрами кластеров, между ближайшими или наиболее

удалёнными соседями и метод медиан.

Проводимые эксперименты доказывают применимость методов k-средних и k-

медиан для построения оптимальной модульной архитектуры системы обнаружения

сетевых атак, позволяют сократить число ошибок первого и второго рода и увеличить

быстродействие системы обнаружения.

Платонов В.В.

КЛАССИФИКАЦИИ СЕТЕВЫХ АТАК ДЛЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК



Всеобщее распространение сети Интернет и количества устройств,

использующих стек TCP/IP, приводит к росту числа нарушений функционирования

этих устройств, главными из которых являются сетевые атаки. В настоящее время

исследователями и практиками разработаны различные таксономии сетевых атак и

уязвимостей. Каждая классификационная схема должна удовлетворять следующим

основным требованиям:

Однозначность. Каждый объект должен попадать только в один класс.

Выполнимость. Процедура классификации должна быть определена.

Повторное использование процедуры должно приводить к такому же

результату.

Наблюдаемость. Процедура классификации должна базироваться на

наблюдаемых (измеряемых) свойствах объекта.

Иерархичность. Классы строятся иерархически, подразделяясь на подклассы.

Непротиворечивость. Объекты одного класса должны содержать общие

свойства.

Необходимо отметить, что большая часть разработанных классификаций не

выполняет весь набор этих требований и, в основном, предназначены для

82

классификации уже свершившихся атак.

Например, классификация D.Alessandri из компании IBM предназначена для

построения базы данных атак и уязвимостей. Данная классификация строится на

описании атак и установлении отличий между классами атак. Эти отличия базируются

на свойствах атак, которые имеют отношение к их обнаружению системами

обнаружения атак. Но только с точки зрения их реализации различными

производителями систем обнаружения атак. В данной классификации описания

отдельных атак могут быть идентичными. Класс атак определяет множество атак,

имеющих одинаковое описание атак. В этой схеме процесс классификации атак

включает два этапа: во-первых, составление описания атаки и, во-вторых,

классификация согласно имеющимся классам атак. Если такого по данному описанию

такого класса нет, то формируется новый класс атак. Для реализации классификации

формируются стандартные блоки описаний классов атак. Каждый блок описания класса

атак описывает специфичные аспекты класса атак. Он также определяет

характеристики, требуемые для анализа системой обнаружения атак.

Используя идею классификации D.Alessndri, предлагается подход к построению

таксономии сетевых атак, которую можно использовать для систем обнаружения и

предупреждения сетевых атак.

Поскольку количество и разнообразие сетевых атак постоянно увеличиваются,

предлагаемый подход строится на формировании базовых блоков классов атак, которые

охватывают основные свойства сетевых атак. Каждый такой блок описывает

определенный класс атак, поэтому некоторые атаки могут входить в один класс атак.

Такой подход позволяет формировать модульное построение системы обнаружения

атак, в которой каждый модуль обнаруживает атаки данного класса. Это позволяет

вводить новые модули обнаружения без изменения уже существующих блоков. Кроме

того, функциональная направленность модулей, в которых для анализа используются

только существенные для данного класса атак параметры, позволяет улучшить общие

характеристики обнаружения и снизить количество ошибок 1-го и 2-го рода.

Модульность построения позволяет реализовать параллельный анализ исходных

данных, что существенно влияет на производительность системы обнаружения.

В дальнейшем планируется разработка модулей генерации тревоги и реакции на

обнаруженные атаки применительно к каждому классу атак.

Стариковский А.В., Зуйков А.В., Михайлов Д.М., Филимонцев А.С.

ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ЗАЩИТЫ СИСТЕМ АВТОМАТИЗАЦИИ

ОТ АТАК

Национальный Исследовательский Ядерный Университет «МИФИ», г.Москва

Сегодня всё большее распространение получают различные средства

автоматизации управления зданиями, промышленными объектами АЭС, автомобилями

представительского класса, уличным освещением, светофорами и др. К таким

средствам относятся как выполняющие отдельные функции системы

(видеонаблюдения, пожаротушения, контроля доступа), так и комплексные решения,

объединяющие большое количество датчиков и устройств.

С возрастающей актуальностью подобных систем, возрастает и количество

вредоносных средств, основной задачей которых является получение

83

несанкционированного доступа к информации или управлению объектом. Результатом

воздействия вредоносных средств, обычно, является нарушение режима

конфиденциальности, нарушения и сбои в работе оборудования, потери времени в

бизнес-процессах. Отказ или неверная работа систем автоматизации на транспорте

может привести к серьезной аварии с множеством жертв, а вирусное программное

обеспечение на АЭС может вызвать необратимые последствия в работе энергетической

установки и как результат – к экологической катастрофе.

На настоящий момент в мире ведутся разработки по созданию программных

средств защиты систем АСУ ТП (автоматизированная система управления

технологическим процессом). Однако при этом на данный момент не затронут вопрос

аппаратного обеспечения безопасности.

Следовательно, существует необходимость в разработке аппаратно-

программного комплекса по обеспечению безопасности АСУ ТП. Кроме того, для

охвата всех требований конкретных заказчиков, данный комплекс будет иметь

модульную архитектуру – конечный потребитель может сам выбрать комплектацию, в

которой ему будет предложено установить данный продукт. Таким образом, может

широко варьироваться цена за единицу реализуемого продукта.

Задача – адаптировать технологию под конкретные направления внедрения. В

результате проведенных научных исследований было выявлено, что каждое

направление имеет свою специфику, однако у них существуют общие основы. Были

изучены специфики направлений и выявлен базис, который впоследствии был

запатентован.

В рамках работы планируется провести комплекс исследований и разработок с

целью решения следующих проблем:

Проверка электрических характеристик: емкости, напряжения, частоты на шине.

Защита от перегрузок: защита от DDoS атак.

Защита от деструктивных пакетов: защита от данных неправильного формата,

которые могут привести к сбою работы устройства.

Проверка адресов устройств-отправителей и устройств-исполнителей: защита от

недокументированных устройств на шине АСУ и защита от получения

несанкционированных команд устройствами.

Контроль передаваемых данных: защита от фальсификации,

несанкционированного добавления и блокирования данных на всем пути их

движения.

Защита от запрещенных команд: защита от изначально запрещенных в системе

пакетов (например, на отключение важных узлов).

Контроль целостности системы: контроль присутствия всех документированных

устройств системы, правильности их работы и правомерности передачи и

приема данных.

Обнаружение несанкционированной активности радиопередачи: возможность

отслеживать как узкий канал частот, для выявления передач строго

определенного вида, так и обработка спектральной характеристики активностей

радиопередач для широкого диапазона частот.

Шифрование передаваемых данных.

Программно-аппаратные средства защиты для систем умного дома

обеспечивают комплексную защиту жилого помещения от противоправных действий

со стороны мошенников и хулиганов. Программно-аппаратные средства защиты

позволяет сохранить полную конфиденциальность информации, передаваемой по сетям

84

умного дома, а также исключить заражение системы вредоносным программным

обеспечением и ее вывод из строя. Для обеспечения надежной защиты системы

жизнеобеспечения здания используются аппаратные устройства для подсоединения к

линии передачи данных АСУ или к коммутационному оборудованию, а также

необходимое антивирусное программное обеспечение.

Программно-аппаратные средства защиты для сферы бизнеса позволяет

обеспечить полную защиту конфиденциальной информации, которая передается по

сетям АСУ, от утечки или модификации и, следовательно, предотвратить возможное

раскрытие коммерческой тайны. Предлагаемое решение направлено не только на

защиту передаваемой информации, но и защита производства, так как остановка

производства или кража технологий ведет к существенному ущербу и денежным

затратам.

Система комплексной антивирусной защиты исключает ситуацию, при которой

в систему управления компанией попадает вредоносное программное обеспечение и

блокирует ее деятельность, в результате чего бизнес несет значительные финансовые

потери. Система защиты АСУ включает в себя аппаратные устройства, которые

подсоединяются к линии передачи данных АСУ или коммутационному оборудованию,

а также необходимое программное обеспечение. Именно благодаря сочетанию

аппаратной и программной составляющих достигается высокий уровень сохранности

информации.

Программно-аппаратные средства защиты для АЭС и промышленных объектов

защищает от компьютерных атак с целью вывода из строя стратегически важных

объектов. Программно-аппаратный комплекс позволяет повысить надежность

автоматизированной системы управления с точки зрения защиты от

несанкционированных действий как стороннего, так и внутреннего нарушителя или

вредоносных программных и аппаратных средств.

Степанова Т.В., Зегжда Д.П.

ИНТЕРНЕТ В ПОРЯДКЕ ВЕЩЕЙ. ОБЕСПЕЧЕНИЕ УСТОЙЧИВОСТИ В INTERNET

OF THINGS



Многие из развивающихся IT-трендов основаны на концепции гетерогенных

сетей: к таким тенденциям относится и Интернет вещей. Интернет вещей (Internet of

Things, IoT), в соответствии с определением CASAGRAS, – это глобальная сетевая

инфраструктура, связывающая физические и виртуальные сущности за счет сбора

данных и коммуникационных возможностей, и включающая в себя сеть Интернет и

другие сети. Так же, как Интернет – это «сеть сетей» (т.е. мета-сеть, объединяющая

множество взаимосвязанных подсетей), Интернет вещей – это «сеть сетей вещей».

Такие подсистемы – «сети вещей», функционирующие в составе Интернета вещей –

могут объединять, например, все автомобили одного производителя; или все «умные»

электросчетчики, установленные в одном районе. Основные характеристики Интернета

вещей:

основой IoT являются четыре ключевых класса средств: средства

идентификации, средства измерения, средства передачи данных и средства обработки

данных;

85

возможны связи двух типов: межмашинные (machine-machine) и человеко-

машинные (machine-human);

объем собираемых и обрабатываемых данных существенно возрастет, данные

будут поступать из разных источников (идентификаторы объектов, данные датчиков и

т.д.);

связи по большей части будут устанавливаться автоматически: объекты сами

решают, когда и как установить соединение для обмена данными с окружающей

средой, при этом пользователь может и не подозревать об этом;

неоднородность множества сущностей Интернета будет возрастать, его

компоненты будут обеспечивать самый разный функционал, в зависимости от

контекста их применения.

Появление новых технологий неизменно влечет за собой изменение методов,

используемых нарушителями – этого стоит ожидать и с развитием Интернета вещей.

Последние два пункта вышеприведенного списка указывают на то, что многократно

возрастет значимость угроз безопасности, направленных на нарушение устойчивости

гетерогенных сетей. Последствия реализации таких угроз могут быть

катастрофическими:

нанесение вреда жизни и здоровью людей в случае атак на киберфизические

«сети вещей»: например, отключение от сети кардиодатчика или подмена

управляющих команд, передаваемых по CAN-шине автомобиля (управление

тормозами, круиз-контроль и т. п.);

нарушение функционирования критически важных технологических процессов

в случае атак на промышленные «сети вещей»: например, авария на АЭС.

Тем важнее иметь возможность оценить текущее состояние «сети вещей» с

точки зрения безопасности и, в частности, оценить устойчивость ее функционирования,

а также иметь инструментарий поддержания устойчивости. Здесь стоит отметить, что

оценивается устойчивость отдельно взятой «сети вещей», а не всего Интернета вещей в

целом, во избежание излишнего обобщения и потери адекватности модели. Т. е.

устойчивость функционирования Интернета вещей достигается через устойчивость

функционирования всех составляющих его «сетей вещей». Понятие устойчивости

функционирования гетерогенных сетей в настоящее время не является четко

формализованным и в разных источниках определяется по-разному: например, через

решение систем дифференциальных уравнений для задачи устойчивости динамических

систем, или через функциональные и топологические метрики оценки системы. Для

оценки устойчивости функционирования «сети вещей» на начальном этапе

моделирования необходимо иметь методы оценки следующих факторов:

способность сети к существованию в неблагоприятной среде, при этом узлы

сети должны реагировать на управляющие команды;

способность сети к поддержанию связности в случае выхода из строя

некоторого количества ее узлов (например, в случае атаки), а также в случае массового

подключения новых узлов (в случае восстановления работоспособности узлов после

атаки);

способность сети противостоять перехвату и модификации. Обычно для этих

целей используются криптоалгоритмы для шифрования и цифровой подписи трафика,

проверки подлинности полученных данных.

Вышеописанные свойства сети предлагается представить в виде списка

формальных характеристик:

Таблица 1. Индикаторы устойчивости функционирования «сети вещей»

86

Параметр Название

CT(t) Управляемость

Rmax Отказоустойчивость

Op Константность функционирования

T Имитостойкость

Sc = Sc[k, n] Масштабируемость

После выбора топологии «сети вещей», удовлетворяющей требованиям к

устойчивости, поддержание устойчивости предлагается обеспечивать на базе методов

адаптивного поддержания связности сети, основанных на отправке запросов на

получение нового адреса соседнего узла в случае снижения числа соседей ниже

заданной границы, и периодической проверке работоспособности соседних узлов. Для

уменьшения объема данных, требуемых для представления системы, предлагается

привести матрицу смежности для исследуемой сети к марковскому виду (такая матрица

будет являться элементом группы Маркова-Ли), а затем значение энтропии по столбцам

и строкам этой матрицы, что будет характеризовать исходящий и входящий потоки

данных для каждого узла сети. В результате такой инкапсуляции топологии сети размер

представления системы сжимается до 2n (размер представления до инкапсуляции – n2-

n), где n – количество узлов. Эти значения энтропии также могут использоваться для

назначения приоритетов восстанавливаемых связей.

Предложенный подход поддержания устойчивости функционирования сетей,

функционирующих в составе Интернета вещей, позволяет нивелировать

нестабильность среды их функционирования, а представление «сети вещей» в виде

матрицы Маркова-Ли дает возможность применения мощного математического

аппарата теории групп Ли для анализа поведения Интернета вещей.

87

РАЗДЕЛ 4. АНАЛИЗ, КОНТРОЛЬ БЕЗОПАСНОСТИ И МЕХАНИЗМЫ УГРОЗ

ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Девяткин А.М., Сафонов В.М., Шинкаренко А.Ф.

ИСПОЛЬЗОВАНИЕ КЛАВИАТУРНОГО ПОЧЕРКА В ЗАДАЧАХ ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Одна из важнейших задач при обеспечении информационной безопасности –

точная идентификация личности оператора ЭВМ. Основными способами

идентификации личности являются: аутентификация по логину и паролю;

аутентификация на основе имеющихся у оператора аппаратных ключей; по

персональному допуску к АРМ; биометрическая.

В настоящее время все более интенсивно используется биометрическая

идентификация пользователей (БИП). БИП – это процесс определения личности по ее

отличительным характеристикам. БИП обладает рядом преимуществ, таких как:

биометрические признаки трудно сфальсифицировать; «биометрический

идентификатор» нельзя забыть или потерять, он является неотъемлемой частью

личности. К недостаткам БИП относится то, что не всегда возможно однозначно

идентифицировать личность.

В настоящее время в СМИ появляется все больше информации о разработке

различных систем биометрического контроля, таких как систем анализа: вен на руке,

осанки, «когнитивного отпечатка», клавиатурного почерка, походки, общей формы

ушной раковины, трубчатой структуры среднего уха[1], положения (ориентации)

Android платформ [2] и др. Однако основным средством фиксации биометрических

признаков в современных автоматизированных системах (АС) являются средства

фиксации клавиатурного почерка. Клавиатурный почерк – это поведенческие

особенности проявления закономерностей ввода текста конкретным оператором. КП

фиксируется значениями биометрических характеристик. Приведем достаточно полный

их перечень: период времени удержания клавиш, период времени между отпусканием

предыдущей клавиши и нажатием следующей клавиши, период времени между 2-мя

нажатиями, период времени между 2-мя нажатиями определенных клавиш, среднее

время удержания для определенного количества клавиш, среднее время между

отпусканием предыдущей клавиши и нажатием следующей клавиши для

определенного количества клавиш, среднее время между 2-мя нажатиями для

определенного количества клавиш, использование функциональных клавиш,

использование горячих клавиш, период времени удержания отдельных клавиш,

отношение времени между нажатиями клавиш к расстоянию между ними, частота

возникновения ошибок при вводе текста на N символов, скорость ввода (количество

символов на единицу времени) на родном языке, скорость ввода на иностранном языке,

аритмичность набора, период времени между нажатиями клавиш, отношение нажатия

табуляции к нажатию пробелов на N символов, использование вспомогательной

цифровой клавиатуры.(или отношение набора цифр на основной к набору цифр на

вспомогательной клавиатуре), отношение использования клавиш стрелок к клавишам

мыши.(перемещение каретки мышью или стрелками), период времени пауз между

«блоками набора»(характеризует манеру работы), отклонение от среднего периода

времени между «блоками набора», переключение между левой Alt+Shift или правой

88

Alt+Shift. (или Ctrl+Shift), большие перерывы в работе (их анализ для определения

времени суток, обеденного перерыва и т.д.), период времени между нажатиями

функциональных и рабочих клавиш.

Заметим, что большая часть данных характеристик – статистические и

отличительными для каждого оператора являются отличия распределения случайной

величины (СВел).

Как правило, большинство элементов рассматриваемого случайного вектора

являются независимыми, а, следовательно, плотность распределения случайного

вектора может быть представлена произведением плотностей распределения отдельных

его элементов. Предлагается в зависимости от конкретной задачи использовать все

возможные характеристики, даже низко информативные для более точного принятия

решения о принадлежности КП конкретному человеку.

Различные элементы клавиатурного почерка могут использоваться в разных

задачах. Например:

1) дополнительная аутентификация пользователя при осуществлении входа в

систему;

2) контроль несанкционированного удаленного администрирования рабочих мест;

3) скрытый мониторинг с целью контроля работы на ЭВМ только допущенных

лиц;

4) определение психологического и физиологического состояния оператора

(например, степени усталости, опьянения и т.п.) на объектах с необходимостью

повышенной концентрации внимания;

5) выявления провокаторов в социальных сетях для автоматизации работы

модераторов социальных сетей;

6) определение числа реальных пользователей системы общего использования;

7) использование портретов клавиатурного почерка при расследовании

компьютерных инцидентов;

8) выявление программ-роботов, осуществляющих процедуры аутентификации

входа в систему.

Для примера рассмотрим подробнее задачу выявления программ-роботов,

осуществляющих процедуры аутентификации входа в систему.

В настоящее время разработана технология обхода систем защиты, построенных

на основе использования контрольной картинки (captcha). Осуществляется это

следующим образом – нанимаются в странах с низким уровнем заработной платы

работники, в обязанности которых входит ручной ввод содержимого картинок,

направленных к ним программой-роботом. Далее число с captchа возвращается и

вводится роботом-злоумышленником в форму системы защиты. Предлагается

дополнительно к контролю содержимого captchа, в системе защиты применять

алгоритм проверки клавиатурного почерка, на предмет выявления программы-робота.

Модификация алгоритма регистрации приведена на рисунке 1.

89

Запрос содержания

контрольной картинки

(captcha) у наемных

операторов

Ввод

содержимого

контрольной

картинки

Заполнение в форме полей регистрации

Отправка

заполненного листа

регистрации

Ввод

содержимого

контрольной

картинки

Получение формы


Форма заполнена правильно?

Принятие регистрации

Отказ в регистрации

Клавиатурный почерк человека?

Отправка

заполненного листа


Форма заполнена правильно?

Принятие регистрации

Отказ в регистрации

Запрос содержания

контрольной картинки

(captcha) у наемных

операторов

Заполнение

в форме

полей


Получение формы


Нет Да

НетДаДа Нет

Рис.1 Модификация алгоритма регистрации для защиты от программ автоматической



1. http://blog.kaspersky.ru/10-budushhix-sistem-biometricheskoj-zashhity/

2. http://www.imena.ua/blog/povedenie-polzovatelia


КОНФИГУРИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ СО ВСТРОЕННЫМИ

УСТРОЙСТВАМИ ДЛЯ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ

ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА


Существующие системы поддержки процессов на железнодорожном

транспорте (ЖТ) представляют собой информационно-телекоммуникационные сетевые

и распределенные архитектуры, которые включают взаимодействующие между собой,

как стационарные, так и мобильные подсистемы и устройства. При этом встроенные

устройства предоставляют функции коммуникации, контроля, информирования, ввода

информации, обработки и хранения данных и событий безопасности

автоматизированных систем ЖТ. К особенностям подобных систем можно отнести

динамически изменяемую топологию сети и отличающиеся типы коммуникаций между

ее узлами, заранее не фиксированный набор задействованных агентов и устройств.

Предлагаемая в работе модель процесса конфигурирования представляет

90

нахождение оптимальной конфигурации компонентов защиты и основывается на

получении нефункциональных показателей защиты для решения оптимизационной

экстремальной задачи при ограничениях на значения этих показателей и заданной

целевой функции позволяет построить наиболее эффективную конфигурацию.

Конфигурирование отличается направленностью на возникающие изменения в

требованиях, вносимые на различных этапах процесса проектирования и влекущие

пересмотр ранее проведенных этапов.

Проектирование встроенных систем защиты в рамках сервисов многоуровневой

интеллектуальной системы комплексной безопасности ЖТ включает: (1) анализ

моделей нарушителя, спецификацию функциональных свойств защиты и свойств

программно-аппаратной совместимости; (2) задание ограничений ресурсопотребления

платформы устройства; (3) поиск и формирование репозитория имеющихся

компонентов защиты встроенных устройств, определение их свойств; (4) проведение

анализа несовместимостей компонентов защиты с использованием экспертных знаний;

(5) проведение оценки ресурсопотребления компонентов защиты при помощи

автоматизированных модулей тестирования на основе эмуляции устройств; (6) выбор

компонентов защиты на основе учета показателей ресурсопотребления с

использованием эвристик по выбору порядка учета критериев ресурсопотребления.

Эффективность конфигурирования оценивается путем его сравнения со

стратегией комбинирования компонентов на основе жадных алгоритмов. За счет

применение экспертных знаний в области защиты встроенных устройств и

автоматизированных систем управления железнодорожным транспортом методы

оптимизации, моделирования, системного и объектно-ориентированного анализа,

теории принятия решений позволят повысить уровень защищенности и эффективность

ресурсопотребления встроенных устройств и сервисов, которые они предоставляют.





Дойникова Е.В.

ПОДХОД К ОЦЕНИВАНИЮ ЗАЩИЩЕННОСТИ НА ОСНОВЕ ГРАФОВ АТАК В

СИСТЕМАХ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ И СОБЫТИЯМИ БЕЗОПАСНОСТИ


В последнее время активно развиваются системы управления информацией и

событиями безопасности (Security Information and Events Management, SIEM). SIEM-

системы появились в результате объединения функций систем управления событиями

безопасности (Security Events Managements, SEM) и систем управления информацией

безопасности (Security Information Management, SIM) с целью повышения

эффективности управления безопасностью организации. Традиционно архитектура

SIEM-системы включает компоненты сбора данных, корреляции и обработки данных,

хранения данных, принятия решений, визуализации и представления отчетов. В данной

работе рассматривается дополнительный компонент оценивания защищенности,

добавленный для повышения эффективности управления защищенностью системы.

91

Важным элементом процесса оценивания защищенности является вычисление и

анализ соответствующих показателей, позволяющих адекватно отразить текущую

ситуацию и спрогнозировать ее дальнейшее развитие. Для этого предлагается подход к

оцениванию защищенности, позволяющий на разных этапах учитывать различные

входные данные для вычисления показателей и таким образом уточнять интегральные

оценки. Подход основан на следующих требованиях: учет последних исследований в

области показателей защищенности; моделирование шагов атакующего в виде графов

атак; учет инцидентов безопасности для адекватного отражения развития атаки;

совместимость с существующими протоколами и стандартами представления входных

данных.

В статическом режиме работы, в качестве входных данных в подходе

используются: описание защищаемой информационной системы, данные об

уязвимостях и слабых местах системы, а также индексы системы оценки уязвимостей

(Common Vulnerabilities Scoring System, CVSS) для уязвимостей системы (такие как

Ущерб, наносимый ресурсу в результате успешной эксплуатации уязвимости, и

Возможность использования уязвимости). На основе индексов CVSS, а также

экспертных оценок критичности ресурсов системы можно сформировать первичную

оценку риска. При использовании в качестве входных данных графов атакующих

действий, отображающих возможные пути развития атаки в системе в виде

последовательностей эксплуатации уязвимостей с учетом их пред и постусловий,

первичные оценки можно уточнить, определив вероятность цепочки шагов атаки,

ведущих к компрометации определенного ресурса. Дополнительная информация о

профиле атакующего, включающая знания о его положении в системе, уровне навыков и

привилегиях, позволяет сформировать профильные графы атакующих действий,

доступных конкретной модели атакующего, и таким образом сформировать еще более

точную оценку риска.

В динамическом режиме работы системы учитывается дополнительная

информация от компонента корреляции событий SIEM-системы об инцидентах

безопасности. На их основе определяется позиция проходящей в реальном времени

атаки на графе атак. Таким образом, можно уточнить возможные пути развития атаки,

выявить пути наибольшего риска, сделать выводы о предыдущих шагах атакующего,

его навыках и возможных целях. Вся эта информация в целом формирует профиль

проходящей атаки, предоставляемый администратору по безопасности в качестве

основы для принятия решений по контрмерам.

Для вычисления показателей защищенности в работе используются как

существующие, так и модифицированные алгоритмы. Набор алгоритмов для

вычисления показателей лег в основу прототипа компонента оценивания

защищенности. Для проверки работы прототипа был проведен ряд экспериментов на

простых сетях по сравнению заданных профилей атаки с профилями, формируемыми в

результате работы прототипа в виде системы показателей защищенности.

В будущем планируется расширить набор показателей защищенности,

детализировать описанные методики оценки защищенности, а также продолжить

анализ эффективности методик на реальных примерах.





92

Зегжда Д.П., Москвин Д.А., Никольский А.В.

БЕЗОПАСНЫЙ ПРОЦЕССОР КАК СПОСОБ РЕШЕНИЯ ПРОБЛЕМЫ УЯЗВИМОСТИ

ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ООО "НеоБИТ", г. Санкт-Петербург

Уязвимости программного обеспечения (ПО) являются одной из главных угроз

безопасности современных информационных систем. Устраняют такие угрозы двумя

способами: выпускают патчи и обновления программного кода и разрабатывают новые

технологии и средства защиты. Все возможные патчи и обновления осуществляют

точечное воздействие и приносят лишь временный эффект, закрывая или затрудняя

возможности эксплуатации конкретных уязвимостей. Это объясняется тем, что

источником уязвимостей являются ошибки в программе, а устранить все ошибки, как

известно, невозможно. Применение новых технологий и средств защиты является более

эффективным способом устранения угроз, исходящих от уязвимостей, однако обладает

и недостатками: т.к. эти технологии и средства также имеют программную реализацию

(в некоторых случаях — программно-аппаратную), то в них самих также могут

содержаться уязвимости.

При этом эксплуатация многих уязвимостей возможна благодаря

недостаточности технологий защиты реализованных в современных процессорах и их

архитектуре. Например, типовые уязвимости, такие как переполнение буфера, use after

free, privilege escalation (основаны на модификации привилегированного кода после его

загрузки в оперативную память) – могут эксплуатироваться нарушителями только

благодаря Фон Неймановской архитектуре современных популярных вычислительных

систем.

В последние годы разработан ряд технологий, предотвращающих или

затрудняющих эксплуатацию уязвимостей на аппаратном уровне. Наиболее яркими

примерами являются технология предотвращения выполнения данных (Data Execution

Prevention, DEP), разработанная для защиты от уязвимостей переполнения буфера, и

технология доверенной загрузки (Trusted Execution Technology, Intel TXT),

разработанная для защиты от буткитов. Применение этих технологий существенно

повысили безопасность использования современных операционных систем (ОС).

Однако реализации этих аппаратных технологий требуют программной настройки,

которая также может быть уязвимой.

Перенос некоторых функций безопасности в процессор и корректировка его

архитектуры позволит избавиться в возможности эксплуатации уязвимостей в

реализации этих функций. Например, в системах, построенных по Фон Неймановская

архитектуре, код и данные выполняются в одном адресном пространстве, а в системах,

построенных по Гарвардской архитектуре — в разных, поэтому эксплуатация

классических уязвимостей переполнения буфера там в принципе не возможна.

Современные x86-процессоры построены по CISC-архитектуре, с каждым

годом у них появляются новые расширения и инструкции, следовательно, возрастает

сложность и увеличивается вероятность появления ошибок в ПО, использующим эти

расширения и инструкции. С точки зрения безопасности, наиболее интересные их них:

расширение XD-Bit (у Intel; NX-Bit – у AMD) — аппаратная поддержка

технологии DEP;

расширение SMX — набор инструкций и битов для поддержки технологии

TXT;

93

расширение VMX — аппаратная поддержка технологии виртуализации Intel

VT (аналог — SVM — для AMD-V);

набор инструкций AESNI — для поддержки аппаратного шифрования AES.

Все перечисленные расширения и наборы инструкций требуют корректной

настройки со стороны ПО, что не всегда выполняется на практике.

Таким образом, необходимость обеспечения безопасности на уровне процессора

становится общепризнанным фактом. Однако, таких аппаратных технологий,

независящих от ПО и ошибок в нем, пока не разработано. Попытки их создания

известны – например, технология, разрабатываемая в рамках проекта HyperWall,

позволяющая выполнять аппаратную аутентификацию гипервизора из виртуальной

машины. При этом данная технология лишь частично решает задачу защиты от

эксплуатации уязвимостей и пока находится на уровне идеи.

В настоящее время в России актуальным является вопрос создания собственной

элементной базы для вычислительных систем, разработки отечественного процессора.

Помимо высокой производительности и широкого набора функций при разработке

такого процессора следует уделить повышенное влияние вопросам безопасности.

Большинство уязвимостей в современных ОС и прикладном ПО не смогут

использоваться нарушителями, если в процессор добавить определенные технологии


Большой опыт по созданию защищенной отечественной ОС, использованию

технологий виртуализации для обеспечения безопасного доступа к данным, позволяет

авторам доклада сформулировать следующие требования к безопасному процессору,

выполнение которых позволит решить проблему уязвимости ПО:

1. Упрощение архитектуры процессора до 2-х режимов работы. Необходим

доверенный режим для работы средств защиты, привилегированный — для работы

ядра ОС, и непривилегированный — для работы остального программного кода. В

современных x86-процессорах формально поддерживается 6 режимов работы, а

фактически — более 12. Архитектура процессора должна стремиться к RISC-

архитектуре, т.е. необходимо минимизировать количество инструкций и их сложность.

Выполнимость данного требования подтверждается в процессорах семейства ARM,

RC4 (или ARC; используется в чипсетах), частично для SPARC (в них всего два

режима, но CISC-архитектура).

2. Доверенный режим для систем безопасности должен быть реализован в

соответствии с Гарвардской архитектурой. Например, процессоры ARC могут работать

в таком режиме. Полностью в Гарвардском режиме современному процессору общего

назначения работать уже практически невозможно из-за несовместимости данного

режима с современным ПО, которому необходима динамическая загрузка библиотек,

использование интерпретаторов (т.к. команды находятся в области данных) и т.д.

3. Первая инструкция процессора должна выполняться в защищенном режиме.

В процессорах x86 первая инструкция выполняется в real mode, в котором отсутствуют

какие-либо механизмы защиты. Подлинность кода, загруженного в доверенный режим,

должна быть проверена сторонним криптопроцессором с аппаратнозащищенным

ключом — аналог современной технологии TPM (использование модуля доверенной

платформы).

4. Привилегированный и непривилегированный режим должны обеспечивать

совместимость с существующими ОС и ПО за счет использования аппаратной

технологии виртуализации.

Реализуемость перечисленных требований подтверждается уже существующими

94

примерами: по отдельности они уже частично или полностью реализованы: в

процессорах ARC поддерживается Гарвардская архитектура, в процессорах Intel —

аппаратная виртуализация, в ARM — всего два режима и сокращенный набор команд.

Требования не противоречат друг другу и, поэтому, при создании отечественного

безопасного процессора могут быть реализованы все вместе и в полном объеме. Это

позволит добиться кардинального решения проблемы уязвимости современного ПО.

Коноплев А.С., Сычев С.В.

ЗАЩИТА ОТ ВНЕДРЕНИЯ ПРОГРАММНЫХ ЗАКЛАДОК В АКТИВНОЕ СЕТЕВОЕ

ОБОРУДОВАНИЕ

ООО «НеоБИТ», г.Санкт-Петербург

В состав большинства современного активного сетевого оборудования (АСО)

интегрирована реализация базовых механизмов информационной безопасности,

направленных на обеспечение конфиденциальности данных пользователей сети и

необходимого уровня защищенности АСО и сетевой инфраструктуры от различных

сетевых атак. При этом встроенные механизмы противодействия модификации

программного обеспечения в АСО, как правило, отсутствуют. Актуальность задачи

защиты АСО от внедрения в их состав программных закладок обусловлена

необходимостью соответствия нормативным базам ФСТЭК и ФСБ России.

Исполняемый образ прошивки современного АСО имеет формат запакованного

архива (рис. 1). Задача исследования формата исполняемого образа прошивки АСО

затруднена в условиях отсутствия соответствующей документации производителей

оборудования. Разработка программных закладок, реализующих скрытые

функциональные возможности, ведется на уровне микрокода процессора и внедряется

непосредственно в уже скомпилированный исполняемый образ прошивки. Данное

ограничение связано с отсутствием исходных кодов исполняемого образа прошивки.

Однако анализ исполняемых образов прошивок современного АСО (например,

сетевого оборудования компании Cisco, работающего под управлением Cisco IOS)

показал возможность создания и внедрения в их состав дополнительных модулей, в том

числе разнородных программных закладок.

Прошивка

ЗаголовокFlash-

память

Свободная

flash-память

Модуль

Рисунок 1 — Общая структура исполняемого образа прошивки АСО

95

Решением указанной проблемы может быть внедрение в состав АСО механизма

электронной цифровой подписи и специализированного доверенного вычислителя,

выполняющего верификацию корректности данной подписи, а также мониторинг

состояния АСО. Повсеместное внедрение данного решения затруднено в условиях

современного рынка сетевого оборудования. Поэтому для защиты АСО от внедрения в

его состав программных закладок необходимо применение комплекса мер по

автоматизированному контролю целостности и функционирования такого

оборудования, а именно:

контроль целостности исполняемого образа прошивки АСО;

контроль целостности конфигурационных файлов АСО;

контроль состояния сетевых портов и интерфейсов АСО;

анализ результатов исполнения управляющих команд на АСО.

Внедрение указанных технических решений совместно с организационными

мерами на ключевых объектах сетевой инфраструктуры позволит обеспечить

требуемый уровень защищенности АСО, в том числе от внедрения в их состав

вредоносного программного обеспечения.


ТЕСТИРОВАНИЕ ЗАЩИЩЕННОСТИ

ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ НА

ОСНОВЕ АНАЛИЗА ПАКЕТОВ ОБНОВЛЕНИЙ ООО «НеоБИТ», г.Санкт-Петербург

Поддержание высокого уровня защищенности современных информационно-

телекоммуникационных систем (ИТКС) сопровождается, в том числе, оперативным

мониторингом и своевременной установкой пакетов обновлений от производителей

системного и прикладного программного обеспечения (ПО). Однако период выпуска

таких обновлений может достигать нескольких месяцев. Кроме того, большинство

современных ИТКС не поддерживают автоматического обновления установленного ПО

и, тем самым, на длительный промежуток времени становятся уязвимыми для

удаленных сетевых атак (рис. 1).

Обнаружение

уязвимости

Появление

общедоступного

эксплоита

Время

Выпуск пакета

обновления

Установка пакета

обновленияРиск эксплуатации узявимости от приватного эксплоита

Риск эксплуатации узявимости от общедоступного эксплоита

Рисунок 1 — Риск эксплуатации уязвимостей в ИТКС

В настоящее время применяют целый комплекс методов, направленных на

исследование защищенности ИТКС и проверку наличия незакрытых уязвимостей в

96

таких системах. Один из самых эффективных способов тестирования является

использование эксплоитов — специальных модулей, которые используют незакрытую

уязвимость в системе и тем самым могут нарушить ее работу или получить доступ к

конфиденциальной информации. Существенным недостатком данного способа является

длительное отсутствие необходимого эксплоита в публичном доступе после выхода

пакета обновлений. Согласно статистике за 2013 год от компании Secunia только 84%

систем оперативно реагируют на выпуск пакетов обновлений. Недостаток, связанный с

отсутствием необходимого эксплоита в публичном доступе, связан с тем, что

производитель запрещает исследователям, которые обнаружили уязвимость,

выкладывать эксплоит в публичный доступ. Еще одним недостатком данного способа

является ограниченный выбор конфигурации целевой системы при выполнении

тестирования ее защищенности.

Тестирование защищенности ИТКС на основе анализа пакетов обновлений

позволяет избавиться от указанных недостатков, так как для каждой программной

конфигурации целевой системы существует свой уникальный эксплоит. Кроме того, в

отличие от классического способа тестирования защищенности ИТКС,

предварительный анализ пакетов обновлений позволяет не дожидаться появления

эксплоита в публичном доступе.

Последовательность действий, необходимых для проведения тестирования

защищенности ИТКС на основе анализа пакетов обновлений, включает:

1. Определение объекта тестирования. Объектом тестирования, как правило,

является один из компонентов ПО, установленного в ИТКС (например, динамическая

библиотека mshtml.dll в браузере Internet Explorer).

2. Получение информации из описания уязвимости. При выпуске пакета

обновлений производитель указывает список уязвимостей, которые закрывает данный

пакет обновлений. В описании указан уязвимый компонент и тип уязвимости

(например, Use-after-free уязвимость в классе CDisplayPointer библиотеки mshtml.dll).

3. Определение уязвимого блока кода. Для того чтобы определить уязвимый

блок кода необходимо выполнить дизассемблирование уязвимого компонента и

неуязвимого, затем выполнить сравнение и выявить различия компонентов.

4. Создание модуля, демонстрирующего возможность эксплуатации

уязвимости.

5. Создание эксплоита, позволяющего передать управление на исполняемый

код и выполнить полезную нагрузку и его включение в общую базу модулей.

6. Применение полученной базы эксплоитов для тестирования защищенности

ИТКС от различных удаленных сетевых атак.

Для повышения эффективности анализа защищенности ИТКС на основе

предложенного метода процесс разработки модулей, демонстрирующих возможность

эксплуатации уязвимости, можно частично автоматизировать посредством применения

технологии фаззинга — процесса отсылки намеренно некорректных данных в

исследуемый объект с целью вызвать ситуацию сбоя или программную ошибку.

Применение предложенного метода для автоматизации тестирования

защищенности ИТКС позволяет повысить его эффективность путем снижения числа

ошибок второго рода и, тем самым, поддерживать высокий уровень защищенности

критически важных ИТКС.

97

Котенко И.В., Саенко И.Б.

ОБ АРХИТЕКТУРЕ МНОГОУРОВНЕВОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СИСТЕМЫ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ НА ЖЕЛЕЗНОДОРОЖНОМ ТРАНСПОРТЕ


В настоящее время на первое место в противодействии новым угрозам

безопасности на железнодорожном транспорте (ЖТ) выдвигаются не разработка новых

механизмов защиты информации, а эффективное и комплексное применение этих

механизмов. Решение данной задачи предполагается возможным на основе создания и

применения многоуровневой интеллектуальной системы обеспечения информационной

безопасности автоматизированных систем (АС) ЖТ.

В основу построения такой системы предлагается положить технологию

«управления информацией и событиями безопасности» (Security Information and Event

Management, SIEM). SIEM–система нового поколения отличается наличием гибридного

онтологического информационного хранилища (репозитория), логического вывода,

многоуровневой корреляцией, моделированием поведения, анализом защищенности,

обнаружением распределенных во времени скрытых многошаговых атак, визуальным

анализом событий и информации безопасности, интеллектуальной поддержкой

решений по обеспечению безопасности и другими возможностями.

В архитектуре предлагаемой многоуровневой интеллектуальной системы

обеспечения информационной безопасности АС ЖТ выделяются три уровня:

1) уровень традиционных средств защиты (нижний); 2) уровень интеллектуальных

сервисов сбора, предварительной обработки и хранения данных (средний); 3) уровень

интеллектуальных сервисов анализа данных (высший).

На нижнем уровне данной системы находятся традиционные средства защиты

информации, используемые в настоящее время в АС ЖТ. Они в подавляющем своем

большинстве выполняют функцию «априорной» защиты информации.

На среднем уровне осуществляется сбор, предварительная обработка и хранение

информации о событиях безопасности. Для сбора данных используются методы

«выталкивания» и «втягивания». Предварительная обработка информации включает в

себя нормализацию, фильтрацию, корреляцию, агрегацию и классификацию данных о

событиях безопасности. Предварительно обработанные данные помещаются на

хранение в репозиторий, в котором используются реляционная, XML и триплетная

модели представления данных. Последняя модель позволяет хранить и использовать

данные в виде онтологии, обеспечивая тем самым возможность логического вывода.

На верхнем системном уровне располагаются подсистемы, реализующие

различные интеллектуальные сервисы анализа информации о безопасности. К их числу

относятся сервисы: логического вывода и верификации политик безопасности; анализа

защищенности АС ЖТ и моделирования атак; визуального анализа информации о

безопасности; поддержки принятия решений и другие.

Для реализации в АС ЖТ сервисов логического вывода и верификации политик

безопасности предлагается архитектура подсистемы логического вывода, включающая

онтологическое информационное хранилище и модули для реализации механизмов

логического вывода – исчисления событий и метода «проверки на модели».

Основными компонентами архитектуры подсистемы анализа защищенности и

моделирования атак являются: загрузчик репозитория, генератор спецификаций,

компонент моделирования нарушителя, генератор графов атак, анализатор

98

безопасности и генератор отчетов. Входными данными этой подсистемы являются:

конфигурация АС; политики безопасности; формируемые предупреждения; внешние

базы данных уязвимостей, атак, платформ и т.д. Выходными данными являются:

возможные маршруты (графы) атак и целей атак; «узкие места» АС по безопасности;

предсказания дальнейших шагов нарушителя, имеющие место в текущей ситуации;

последствия атак и контрмер; предложения по повышению уровня безопасности и т.д.

Архитектура подсистемы визуального анализа информации о безопасности

включает интерфейс пользователя, слой управляющих сервисов, слой графических

элементов. В слое управляющих сервисов выделяются два основных компонента –

контроллер графических элементов и менеджер сервисов. Слой графических элементов

реализует следующие формы визуального представления: простые диаграммы;

диаграммы с накоплением; схемы полигонов; диаграммы рассеивания; графы

параллельных координат; графы связей; карты; карты деревьев.

Подсистема поддержки принятия решений ориентирована на модель Organization-

Based Access Control (OrBAC), которая в настоящее время является одним из наиболее

распространенных формализмов описания политик безопасности. В рамках данной

подсистемы реализована централизованная инфраструктура управления политиками

безопасности, основанного на запросах.





Кузнецов С.Е., Клейменов В.А.

МЕТОДЫ И СРЕДСТВА ДИНАМИЧЕСКОГО АНАЛИЗА ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

ПФ ФГУП «НТЦ «Атлас», г.Пенза

Рост объемов и сложности функционала программного обеспечения

обуславливается постоянным расширением сферы применения информационных

технологий. Безопасность программного обеспечения является неотъемлемым

критерием поддержки функциональной надежности автоматизированных

информационных систем.

Функциональный контроль надежности программного обеспечения

предполагает исследование программного кода после завершения его разработки. В

настоящее время эксперт использует методы анализа программного обеспечения,

предусматривающие применение специализированных инструментальных средств,

которые автоматизируют процесс исследования программного кода. Наряду со

статическим анализом программного кода успешно применяются динамические

методы исследования программ, которые позволяют получить представление о

безопасности исследуемого программного обеспечения посредством мониторинга его

фактической работы.

Несомненное преимущество динамического анализа заключается в том, что

эксперт может не только составить логическую модель функционирования

программного обеспечения, но и получить результаты фактической работы при

различных конкретных условиях эксплуатации. Однако, необходимость моделирования

99

условий работы программного обеспечения максимально приближенных к реальным

создает определенные требования к полноте и достаточности данных условий

функционирования, что в большинстве случаев является весьма нетривиальной

задачей.

Применяемые в настоящее время методы динамического анализа программного

обеспечения могут быть поделены на следующие группы:

1) Контроль фактических маршрутов

2) Отладка программного кода

3) Динамическое тестирование нагрузкой (фаззинг)

Контроль фактических маршрутов предусматривает инъекцию в программный

код специализированных датчиков, которые используются для протоколирования

выполнения интересующих эксперта маршрутов функциональных объектов. В силу

большого объема современного программного обеспечения процесс установки

датчиков в большинстве случаев автоматизируется экспертом с помощью специальных

инструментальных средств. Полнота покрытия программного кода в данном случае

определяется соотношением объема выполненных датчиков в процессе фактической

работы программного обеспечения к общему объему установленных датчиков.

Получение более информативных сведений о состоянии конкретных областей

памяти при проведении динамического анализа обеспечивает отладка программного

кода. Перечень применяемых инструментальных средств отладки программного

обеспечения весьма велик, и выбор конкретного средства обуславливается

функционалом и областью применения исследуемого программного обеспечения.

Причем возможность изменения экспертом значений отдельных информационных

объектов непосредственно в процессе исследования программного кода позволяет

смоделировать большинство интересующих эксперта ситуаций. Однако,

необходимость постоянного непосредственного участия эксперта в процессе отладки

приводит к относительно большим трудозатратам при рассмотрении всевозможных

событий в работе программного обеспечения.

Фаззинг как метод динамического анализа программного обеспечения обладает

высокой степенью автоматизации работы эксперта. Это объясняется применением

специализированных инструментальных средств (фаззеров), которые на основании

определенного экспертом шаблона генерируют большое количество наборов

нетривиальных входных данных и подают их на вход исследуемого программного

обеспечения. Экспертный анализ протокола работы фаззера позволяет сделать

заключение о наличии в исследуемом программном обеспечении определенных

конструктивных изъянов. Полнота проведенного анализа характеризуется

разнообразием структуры и содержания генерируемых фаззером наборов входных

данных.

Разнообразие методов и инструментальных средств динамического анализа

обуславливает его широту применения при исследовании функциональной надежности

программного обеспечения. Высокая эффективность динамического анализа

обуславливается в первую очередь возможностью получения результатов фактической

работы исследуемого программного кода.

В докладе более подробно будут рассмотрены следующие вопросы:

1) постановка проблемы автоматизации динамического анализа программного

обеспечения;

2) сравнительный анализ методов проведения динамического анализа;

100

3) сравнительный анализ инструментальных средств поддержки динамического

анализа.

4) предложение способа оптимизации динамического анализа программного

обеспечения.

Минин А.А., Калинин М.О.

КОНТРОЛЬ НЕСАНКЦИОНИРОВАННЫХ

ПОДКЛЮЧЕНИЙ И АКТИВНОСТИ УЗЛОВ В MESH-СЕТЯХ



Широкое распространение мобильных устройств и беспроводных сетей привело

к созданию технологии mesh-сетей, направленной на обеспечение надежного

соединения в условиях постоянно изменяющейся архитектуры сети. Mesh-сети

относятся к классу самоорганизующихся сетей, в которых таблицы маршрутизации

формируются самими узлами сети, основываясь на метрике соединений, т.е.

информации о состоянии сети и узлов, полученной от соседних устройств. Имитация

лучшей метрики узлом-нарушителем приводит к проблемам безопасности, связанным с

переориентацией сетевых потоков. В этой связи необходимо контролировать

подключение новых узлов к mesh-сети и при выборе оптимального маршрута

учитывать не только метрику соединений, но и уровень доверия к узлу.

Узел назовем доверенным, если узел обладает сертификатом, по которому его

можно однозначно идентифицировать. Для ввода системы сертификатов в mesh-сеть

необходимо, чтобы в ней присутствовал узел, выполняющий функции центра

сертификации. Этот узел может быть как членом mesh-сети, так и находиться за её

пределами. Если узел находится за пределами сети, то система, основанная на

сертификатах, становится более устойчивой к разрывам сети. Введение системы

сертификатов позволяет при построении маршрута учитывать доверенные узлы, чей

сертификат может быть удостоверен центром сертификации.

Для обеспечения безопасности mesh-сети от подмены доверенного узла

предлагается метод, который на основе статистики, получаемой от узлов сети,

позволяет обнаруживать несанкционированную активность узлов. Каждый узел mesh-

сети присылает информацию о каждом своем соединении, которая включает в себя

информацию о том, с каким узлом установлено данное соединение, пропускную

способность канала, мощность сигнала, количество входящих и исходящих пакетов и

т.д. Метод обнаружения активных узлов-нарушителей основан на построении графа

сети, в котором выделяют узлы концентрации трафика, используют свойство

симметричности mesh-сети и строят дерево маршрута от точки концентрации до всех

узлов на основе алгоритмов Дейкстры или Беллмана-Форда. Контроль расчетного и

фактического количества пакетов для узла в дереве маршрутов позволяет выявить узлы

с аномальной активностью. Разработанный метод позволяет обнаружить такие

специфические нарушения в безопасной работе в mesh-сетях, как несимметричные

связи в mesh-сети; нарушение связности mesh-сети; узлы mesh-сети, вносящие

задержку; а также узлы mesh-сети, блокирующие трафик;

101

Новиков В.А., Ломако А.Г., Назаров М.С.

ПОДХОД К ПРЕДОТВРАЩЕНИЮ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ В

ВЫЧИСЛИТЕЛЬНОЙ СРЕДЕ НА ОСНОВЕ МЕТОДОВ КОМПЬЮТЕРНОЙ

ИММУНОЛОГИИ


Состояние защищенности вычислительной системы, в которой комплексы

средств защиты рассматриваются, как один из барьеров по реализации потенциально

опасных возможностей, указывает на назревшую необходимость перехода к новым

принципам построения вычислительных систем снижающих риск проявления

указанных возможностей.

Необходимо отметить, что решению задачи снижения риска проявления

опасных возможностей были посвящены все этапы эволюционного развития средств

защиты информации, пройдя путь от утилит сигнатурного контроля до комплексов

распознающих поведение программ и частично семантику их вычислений, постоянно

догоняя технологически изощренного нарушителя.

Так и на данном этапе, внедрение технологий: аппаратной виртуализации,

облачных вычислений, модульного построения СВТ и социо-ориентированных

интерфейсов вызвали ослабление, а иногда и отсутствие защитных функций

эксплуатируемых отечественных СЗИ перед рядом действенных угроз.

Примечательно, что компании производители СЗИ имеющие регистрацию в

западных странах получают доступ к технической документации еще до появления в

продаже новых устройств, чего не происходит с отечественными.

Учет указанных тенденций и нейтрализация их особенностей для

гарантированной защиты собственных информационных ресурсов видится в создании

технологии организации безопасных вычислений наделенных не только свойством

устойчивости к внешним воздействиям, но и свойством генерации

«иммунологического ответа», которые будут образовывать доверенную среду.

Парирование вредоносного влияния не доверенных компонентов требует

разработки подходов исключающих пересечение с привычной «фон-неймановской»

логикой формирования и управления вычислительным процессом, для чего достигнуто

частичное решение проблемы восстановления алгоритмов программ с уровня

машинного кода и их функциональных спецификаций.

Функциональные спецификации оцениваются на соблюдение требований по

безопасному производству программ, позволяя в последствии выявить вредоносное

воздействие, установить состояние вычислительной системы и сформировать анти-

дефекты, исправляющие вычислительные действия, сохраняя семантическую и

алгоритмическую эквивалентность программ.

Проработка возможности прикладной реализации такого похода планируется

осуществляться на не доверенных компонентах, а именно на импортной элементной

базе. В качестве процессора планируется использовать ПЛИС с IP-ядром эмулирующем

команды x86 процессора. IP-ядро в данном случае является также не доверенным

элементом, к которому предъявлены требования по контролю задействования его

ресурсов в соответствии с моделью безопасности. Организуемый вычислительный

процесс обладает свойством самоприменимости сгенерированных анти-дефектов.

Вопросы переноса вычислительного процесса как элемента его сокрытия от

вредоносного воздействия в доступные области памяти (в том числе и сетевые) в

102

настоящий момент прорабатываются.

Резединова Е.Ю.

К ВОПРОСУ МОДЕЛИРОВАНИЯ ВЕБ-ПРИЛОЖЕНИЙ



Веб-приложения обладают множеством параметров. Например, для браузера –

это версия, настройки, подключенные плагины, установленные обновления, настройки

безопасности, включение и отключение cookies. Для сервера базы данных

соответственно – используемый язык, версия, настройки привилегий и прав доступа,

установленные обновления и модули. Параметрами веб-сервера являются версия,

настройки по умолчанию, параметры аутентификации, права доступа к каталогам. Для

скриптов – это язык программирования, используемые функции и особенности

конструкций. Каждый из указанных выше элементов может содержать те или иные

уязвимости.

Для целей моделирования имеет смысл систематизировать уязвимости.

Представляется возможным рассматривать веб-приложение как совокупность четырех

основных элементов, которые можно считать местом зарождения уязвимости:

скрипты – программы, написанные на языке Perl, PHP, C;

сервера баз данных – Microsoft SQL Server, MySQL и т.д.;

веб-сервер – Microsoft IIS, Apache, nginx;

веб-браузер – Microsoft Internet Explorer, Mozilla Firefox и т.д.

Если принять, что веб-приложение работает со стандартным набором

(клиентским браузером, веб-сервером Apache, базой данных MySQL и скриптами,

написанными на языках PHP или Perl), то выбор безопасных настроек можно

представить следующим образом. Браузер пользователя нуждается в блокировке

вредоносных сайтов, изоляции вкладок, настройке выполнение JavaScript, Adobe Flash,

XML, а также AJAX. Между браузером и сервером необходимо настроить и проверить

корректность работы криптографических протоколов SSL/TLS, сетевой

аутентификация Basic/Digest/NTLM и безопасной передачи. Для веб-сервера

необходимы следующие настройки: управление обновлениями для всех компонентов,

разграничение доступа для файлов, разграничение доступа для процессов. Настройки

сервера базы данных должны включать в себя управление обновлениями,

разграничение доступа для файлов, разграничение доступа для процессов,

разграничение доступа для баз.

При моделировании веб-приложения первоначально следует выделить

функциональные требования и описать, например, с помощью модели вариантов

использования (в рамках данных тезисов этот этап не рассматривается). Затем следует

рассмотреть поведение объектов и переходы под воздействием различных входных

параметров. Веб-приложение можно проверить на общие свойства, например, на

наличие тупиковых переходов. Переход по веб-странице – важнейший переход,

который следует проверять при создании веб-приложения. Данный переход задается

конечным автоматом. Веб-страница описывается, как автомат 0GGGG q , ,,Q M , где

GQ – конечное множество состояний страницы;

103

– конечное множество входных действий веб-приложения;

)( G GG QQ – отношение перехода;

)(q0G GQ – начальное состояние (стартовая страница).

Следует помнить, что веб-страница является формой. Внутренняя логика работы

веб-приложения скрыта, но также нуждается в моделировании. Изменение

внутреннего состояния происходит одновременно с переходом на веб-странице и

выражается автоматом 0eeee q , ,,Q M , где

eQ – конечное множество состояний (внутренних состояний веб-приложения);

– конечное множество входных символов (действий в веб-приложения);

)( e ee QQ – отношение перехода (переход внутреннего состояния);

)(q0e eQ – начальное состояние.

Модель веб-приложения можно развивать, например, учитывая разнообразные

действия и изменения внутренних переменных в связи с этими действиями.

Рисунок 1 – Диаграмма состояний

Одним из важнейших инструментов определения качества веб-приложения,

соответствия его функциональным требованиям и требованиям информационной

безопасности является тестирование. Например, в литературе достаточно широко

освещены вопросы проверки целостности ссылок. При этом веб-приложения

представляются в виде двоичных деревьев, и проверка качества сводится к обходу

дерева. Большинство из прилагаемых способов тестирования основывается на анализе

статических элементов веб-приложения, без учета динамических элементов, к которым

и в первую очередь относятся скрипты. Такой подход объясним, прежде всего,

сложностью скриптов, неопределенностью поведения, многообразием явных и неявных

связей. Однако зачастую именно динамические составляющие несут в себе уязвимости,

и моделирование динамических составляющих является важной задачей. Систему

навигации веб-приложения удобно моделировать с помощью диаграммы состояний

(рис.1). Диаграмма состояний позволяет визуально описать контроль доступа к веб-

104

приложению или отдельным его частям, авторизацию и сеансы подключения.

Технологические свойства (программные настройки, размещение скриптов) можно

визуально представить при помощи диаграммы компонентов. Применение диаграммы

компонентов позволяет представить в модели не только серверную часть, но и

клиентскую.

Таким образом, моделирование внутренних состояний веб-приложений возможно

проводить с применением теории конечных автоматов, а для визуализации применять

диаграммы состояний UML.

Федорченко А.В.

АНАЛИЗ УЯЗВИМОСТЕЙ ПО ВРЕМЕННЫМ ХАРАКТЕРИСТИКАМ НА ОСНОВЕ

ОТКРЫТОЙ БАЗЫ ДАННЫХ X-FORCE


В настоящее время наиболее успешную реализацию имеют атаки,

использующие уязвимости в программно-аппаратном обеспечении. В связи с данным

фактом использование баз данных уязвимостей приобретает все большую

актуальность, а поиском и описанием уязвимостей занимается множество организаций,

компаний и исследовательских институтов.

Одними из важнейших характеристик уязвимостей являются: (1) актуальность

использования кода, реализующего уязвимость, (2) статус их исправления и

(3) подтверждение их технических деталей. Данные характеристики являются

временными, то есть могут изменяться с течением времени.

В данный момент существует единственная широко распространённая система,

характеризующая уязвимости, которая содержит в своей структуре временные

показатели – Общая система оценки уязвимостей (Common Vulnerability Scoring

System,CVSS). В свою очередь, единственной, среди открытых баз данных

уязвимостей, использующей временные показатели в системе CVSS, является база

данных уязвимостей X-Force компании IBM. На 19 мая 2014 года указанная база

уязвимостей содержала 65550 записей.

Для получения общей картины в рамках успешного использования и устранения

уязвимостей был проведен их анализ по временным характеристикам, указанным выше.

За последние 10 лет по показателю актуальности эксплуатирования 52% уязвимостей

не имеют доказанного способа реализации, около 7% - находятся в разработке, почти

4% - имеют функционирующие эксплойты и 37% - являются легкими в применении,

т.е. осуществить реализацию в которых могут даже неквалифицированные атакующие.

По показателю статуса исправления за такой же период около 58% уязвимостей имеют

официальное устранение, для 40,55% - исправление недоступно, и меньше 2%

уязвимостей либо в процессе исправления, либо имеют временное решение.

Технические детали уязвимостей за последнее десятилетие были доказаны в 59%

уязвимостей, и не доказаны в 41% соответственно.

При исследовании записей базы X-Force по годам была произведена оценка

основных тенденций и текущей ситуации в эксплуатации и обезвреживанию

уязвимостей. По результатам анализа наблюдается существенный рост числа

уязвимостей, не имеющих доказанного способа реализации, с 42% в 2008 году до 62% в

2013 году. В свою очередь, в 2014 году значение данного показателя пока составляет

105

69% и является максимальным за все время ведения базы. Вместе с тем, можно

отметить значительный спад легко реализующихся уязвимостей с 46% случаев в 2008

году до 31% в 2013 году, и пока 25% в 2014 году. Не менее значимые результаты были

получены по показателю исправления уязвимостей, официальное устранение которых

принадлежит 73% в 2013 году. По показателю достоверности технических деталей в

2013 году остались неподтвержденными только 25% уязвимостей.

На основе описанного исследования можно сделать вывод, что вместе с

сохраняющимся большим количеством детектируемых уязвимостей увеличивается и

качество технической поддержки программно-аппаратного обеспечения, в котором они

обнаруживаются. Это свидетельствует о повышении уровня безопасности продуктов

производителями, на этапе их эксплуатации, а не на этапе разработки.





106

РАЗДЕЛ 5. ПРОБЛЕМА МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ

ПОДГОТОВКИ КАДРОВ

УДК:681.51

Кулишкин В.А.

ИСПОЛЬЗОВАНИЕ ВОЗМОЖНОСТЕЙ ПАТЕНТНЫХ ИНФОРМАЦИОННЫХ

РЕСУРСОВ ФЕДЕРАЛЬНОГО ИНСТИТУТА ПРОМЫШЛЕННОЙ СОБСТВЕННОСТИ

И МЕЖДУНАРОДНЫХ ПАТЕНТНЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ ДЛЯ

ПОДГОТОВКИ СПЕЦИАЛИСТОВ 10.05.03 «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ»

Петербургский государственный университет путей сообщения Императора

Александра І, г.Санкт-Петербург

Предложен алгоритм организации научно-исследовательской работы студентов,

который позволяет улучшить показатели образовательной подготовки специалистов

10.05.03 «Информационная безопасность автоматизированных систем» и повысить

целевые показатели эффективности работы университета, которые могут быть

использованы в качестве предмета исследования при планировании мероприятий по

совершенствованию образовательного процесса в университете. Предложенный

материал позволяет по - новому взглянуть на содержательную часть научно-

исследовательской работы профессорско-преподавательского состава, аспирантов и

студентов, используя при этом имеющиеся средства образовательного процесса и

способы и методы научно-исследовательской работы в целом.

Ключевые слова: информационная безопасность, центр поддержки технологий и

инноваций (ЦПТИ), научно-исследовательская работа (НИР), всемирная организация

интеллектуальной собственности (ВОИС).

Объектами профессиональной деятельности выпускников образовательных

программ специалиста 10.05.03 «Информационная безопасность автоматизированных

систем» являются: автоматизированные системы, функционирующие в условиях

существования угроз в информационной сфере и обладающие информационно-

технологическими ресурсами, подлежащими защите; информационные технологии,

формирующие информационную инфраструктуру в условиях существования угроз в

информационной сфере и задействующие информационно-технологические ресурсы,

подлежащие защите; технологии обеспечения информационной безопасности

автоматизированных систем; системы управления информационной безопасностью

автоматизированных систем.

Федеральными государственными образовательными стандартами высшего

образования (ФГОС ВО) определены и виды профессиональной деятельности, к

которым должен готовится выпускник образовательных программ специалитета:

научно-исследовательская; проектно-конструкторская; контрольно-аналитическая;

организационно-управленческая; эксплуатационная.

При любом виде деятельности специалист с высшим образованием должен

решать многие профессиональные задачи, но с решением одной профессиональная

задача специалист будет сталкиваться всегда. Это - сбор, обработка, анализ и

систематизация научно-технической информации, отечественного и зарубежного опыта

по проблемам информационной безопасности автоматизированных систем.

107

Для этого в процессе реализации образовательной программы, согласно

требований ФГОС ВО, необходимо сформировать следующие компетенции:

способность понимать сущность и значение информации в развитии современного

общества, применять достижения современных информационных технологий для

поиска информации по профилю деятельности в глобальных компьютерных сетях,

библиотечных фондах и иных источниках информации (ОПК-4);

способность применять методологию научных исследований в профессиональной

деятельности, в том числе в работе над междисциплинарными и инновационными

проектами (ОПК-5);

способность осуществлять поиск, изучение, обобщение и систематизацию научно-

технической информации, нормативных и методических материалов по проблемам

информационной безопасности автоматизированных систем, в том числе на

иностранном языке (ПК-1).

Решить выше перечисленные задачи можно с помощью научно-

исследовательской работы студентов (НИРС). Существует два основных вида НИРС.

Учебная научно-исследовательская работа студентов, предусмотренная

действующими учебными планами. К первому виду НИРС можно отнести курсовые

работы, курсовые проекты, выполняемые в течение всего срока обучения в ВУЗе, а

также дипломную работу, выполняемую на пятом курсе.

Во время выполнения курсовых работ, курсовых проектов студент делает первые

шаги к самостоятельному научному творчеству. Он учится работать с научной

литературой (если это необходимо, то и с иностранной), приобретает навыки отбора и

анализа необходимой информации. Если на первом курсе требования к курсовой

работе, курсовому проекту минимальны, и написание её не представляет большого

труда для студента, то уже на следующий год требования заметно повышаются, и

написание работы, проекта превращается в действительно творческий процесс. Так,

повышая с каждым годом требования к курсовой работе, курсовому проекту, ВУЗ

способствует развитию студента, как исследователя, делая это практически незаметно и

ненавязчиво для него самого.

Ко второму виду НИРС относится выполнение дипломной работы, которое имеет

своей целью дальнейшее развитие творческой и познавательной способности студента,

и как заключительный этап обучения студента в ВУЗе направлено на закрепление и

расширение теоретических знаний и углубленное изучение выбранной темы. На

старших курсах многие студенты уже работают по специальности, и, выбирая тему для

дипломной работы это чаще всего учитывается. В данном случае, кроме анализа

литературы, в дипломную работу может быть включён собственный практический

опыт по данному вопросу, что только увеличивает научную ценность работы.

К НИРС, предусмотренной действующим учебным планом, можно отнести и

написание рефератов по темам практических занятий. При этом следует сказать о том,

что чаще всего реферат является или переписанной статьёй, или, что ещё хуже,

конспектом главы какого-то учебника. Назвать это научной работой можно с большим

сомнением. Но некоторые рефераты, написанные на основе нескольких десятков статей

и источников, по праву можно назвать научными трудами и включение их в список

видов НИРС вполне оправданно.

Что касается аспирантов, то к публикациям, в которых излагаются основные

научные результаты диссертации на соискание ученой степени, приравниваются

патенты на изобретения, патенты (свидетельства) на полезную модель, патенты на

промышленный образец, патенты на селекционные достижения, свидетельства на

108

программу для электронных вычислительных машин, базу данных, топологию

интегральных микросхем, зарегистрированные в установленном порядке.

(Постановление Правительства РФ от 24.09.2013 N 842 "О порядке присуждения

ученых степеней"). Поэтому и аспиранты, и студенты, планирующие продолжить

обучение в аспирантуре, должны использовать такую возможность и уметь оформлять

правоохранные документы на результаты своей интеллектуальной деятельности (РИД).

Существуют следующие категории источников, обладающих, владеющих или

содержащих в себе информацию по проблемам информационной безопасности

автоматизированных систем (см. рис. 1)

Рис. 1. Категории источников информации

Каждая из перечисленных категорий источников информации обладает

определенными недостатками. Однако, есть одна категория источника информации,

которая практически не имеет недостатков - это информационные ресурсы

Федерального института промышленной собственности (ФИПС).

Согласно требований ГОСТ Р 15.011-96 исполнитель НИР должен проводить

патентно-информационный поиск с целью прогнозирования, перспективного и

текущего планирования своей деятельности; при обосновании необходимости

выполнения конкретных работ; в процессе выполнения опытно-конструкторских,

проектно-конструкторских, проектных, технологических, изыскательских и других

работ и их этапов; при обосновании выбора форм реализации и обеспечения условий

реализации продукции; при решении вопросов использования опыта и знаний

сторонних организаций и фирм; при определении инжиниринговых услуг; при

осуществлении научно-технического сотрудничества.

Даже содержание самого патентного документа (Патентный документ —

официально публикуемый патентный ведомством документ, содержащий сведения о

средствах, заявленных или признанных изобретениями, а также дополнительную

информацию: внутренняя информация; библиографическую информацию (может

изменяться); техническую информацию; описание изобретения; формула изобретения

(может изменяться); реферат; чертежи.

Информация о патентном документе (внешняя информация) (юридический

статус, сведения об оспаривании, сведения о лицензировании, сведения о продлении

срока действия патента)

Алгоритм патентного поиска в электронных базах данных показан на рис.2

1 • Люди

2 • Документы

3 • Технические носители

4 • Публикации

5 • Технические средства обеспечения производственной и трудовой деятельности

6 • Библиотечные фонды

7 • Компьютерные сети (Интернет)

109

Рис. 2 Алгоритм патентного поиска

Шаг 1. Предмет поиска – определённый аспект объекта, являющийся целью

поиска (предмет поиска определяет его вид). Примеры предмета поиска: новизна,

патентная чистота, уровень техники, патентоспособность. Объект поиска – (чаще всего)

техническое решение, характеризующееся структурой, свойствами и применением.

Факторы, влияющие на регламент поиска: функциональное назначение объекта;

отраслевое применение объекта; характер отличительных признаков объекта

(словесные, количественные, специальные). Дополнение к уровню техники - наличие

функционально самостоятельных признаков.

Шаг 2. Регламент патентного поиска включает элементы: географический охват

документов; глубина ретроспекции документов; виды документов, подлежащих поиску

(патенты, заявки, полезные модели); область поиска; вид поисковой информации

(технические признаки, имена и названия, даты, номера документов, юридический

статус документов).

Шаг 3. Покрытие базы данных и её поисковые возможности должны

соответствовать регламенту поиска. К свойствам поисковых баз данных относятся:

покрытие данных; возможности по составлению поисковых запросов; представление

результатов поиска; дополнительные инструменты.

Возможности поисковых баз данных: покрытие данных (глубина ретроспекции,

географический охват, число документов, сведения о юридическом статусе патентов);

поисковый массив (библиографический, реферативный, полнотекстовый,

обновляемость данных); интерфейс (удобство пользования, языки, настройки

пользователя); возможности по составлению поисковых предписаний (поисковые поля,

количество ключевых слов, логические операторы, усечение терминов,

классификаторы, многоязычные запросы); специальные поисковые возможности

(патентные семейства, доступ к цитированным документам, подбор синонимов,

фильтры); аналитические инструменты (статистическая обработка результатов поиска);

машинный перевод (найденных документов, поисковых запросов); визуализация

(подсвечивание терминов, всплывающие подсказки, окна); сохранение данных

(поисковых предписаний, результатов поиска, RSS.

Шаг 4. Стратегия компьютерного поиска составляется с учётом возможностей

выбранной базы данных. Стратегия поиска включает: выбор очерёдности обращения к

поисковым массивам; составление поисковых запросов; корректировка поисковых

запросов в зависимости от получаемых результатов; принятие решения о завершении

поиска.

При выполнении НИРС необходимо использовать возможности центров

поддержки технологий и инноваций (ЦПТИ), которые созданы сейчас в каждом

ШАГ 1: Определение предмета и

объекта поиска

ШАГ 2: Определение регламента поиска

баз данных)

ШАГ 3: Выбор базы данных для проведения поиска (или

последовательности использования нескольких

ШАГ 4: Составление

стратегии поиска

ШАГ 5: Анализ результатов

110

регионе. Список ЦПТИ на сайте

http://www1.fips.ru/wps/wcm/connect/4a7bba004b0c5356af26afb83b9db441/shs22_05_2014

.pdf?MOD=AJPERES.

Список источников

1. Методические рекомендации по подготовке и оформлению заявки на изобретение

(полезную модель): уч. пособие/ П.В. Россошанский, В.А. Кулишкин.-СПб.: МВАА.

2009

2. Сборник нормативных правовых документов, регламентирующих работу

командиров (начальников) по организации и проведению изобретательской и

рационализаторской работы в подразделении (на кафедре)): уч. пособие/ В.А.

Кулишкин.-СПб.: МВАА. 2013

3. Порядок и содержание работы при проведении патентно-информационного поиска.

Патентно-информационные ресурсы ФИПС и WIPO. Часть 1.Руководство по

проведению поиска. Часть 2: уч. пособие/ В.А. Кулишкин.-СПб.: МВАА. 2013

Супрун А.Ф.

МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ УЧЕБНОГО ПРОЦЕССА ОТ УТЕЧКИ

ИНФОРМАЦИИ ЗА СЧЕТ ПОБОЧНЫХ ЭЛЕКТРОМАГНИТНЫХ ИЗЛУЧЕНИЙ

ФГАОУ ВО Санкт-Петербургский государственный политехнический университет

(СПбГПУ), г.Санкт-Петербург

Прогресс в области обработки информации связан с широким внедрением

средств обработки информации при проведении учебного процесса. Эксплуатация

систем обработки и передачи информации сопровождается значительным побочным

электромагнитным излучением (ПЭМИ), содержащим сведения об обрабатываемой

информации. Активные методы подавления таких излучений затрудняют проведение

разведки информации и снижают вероятность ее получения на 40…50%, а во многих

случаях просто отказываются от разведки по каналу ПЭМИ.

В работе предложена методика оценки эффективности подавления побочных

излучений систем обработки информации. В соответствии с методикой описывается

система помехоподавления в виде координатного закона в декартовой системе

координат. Затем, определяется безусловная вероятность подавления одного из

источников побочного излучения (ПИ) G(A). Вероятность подавления, не зависит от

размеров области подавления.

Так как условная вероятность подавления элементарного источника ПИ G(x – xp,

y – yp) в точке С(х,у) наступает с вероятностью f(xp,уp)dxpdyp, то вероятность

подавления (или безусловная вероятность подавления) элементарного источника будет

равна:

ррррр

S

р yxyxyyxxGyxG dd),(),(),( . (1)

Безусловная вероятность подавления канала G(x,y) реализуется с вероятностью

равной произведению функции плотности распределения элементарных целей в

пределах площади их расположения на площадь элементарной площадки: f(x,y)dxdy,

http://www1.fips.ru/wps/wcm/connect/4a7bba004b0c5356af26afb83b9db441/shs22_05_2014.pdf?MOD=AJPERES

http://www1.fips.ru/wps/wcm/connect/4a7bba004b0c5356af26afb83b9db441/shs22_05_2014.pdf?MOD=AJPERES

111

поэтому безусловная вероятность подавления элементарного канала, которую можно

трактовать как математическое ожидание доли подавленных элементарных каналов,

будет равна:

dxdydydxyxgyxyyxxGdxdyyxgyxGuMAG ррррр

S

р ,),(),(),(),()()(

(2)

Следует отметить, что при таком виде основного интеграла учитываются только

два случайных процесса: случайные координаты точек установки источника ПП и

случайное нахождение источника ПИ на заданной площади. Решение таких

интегралов осуществляется методом статистических испытаний, однако при некоторых

допущениях о виде подынтегральных функций и областей S и решение возможно

в аналитическом виде.

Методика использовалась при оценке уязвимости по каналу ПЭМИ выделенных

помещений при применении технических средств обработки информации.

Предложенный подход может быть применен для проведения совместного

анализа функциональной и информационной безопасности сложных систем различного

типа.


1. Зегжда П.Д., Ивашко А.М. Как построить защищенную информационную

систему. СПб: Мир и семья-95, Интерлайн, 1998.

2. Николаев Ю.Н. Проектирование защищенных информационных технологий.–

СПб.: СПбГТУ, 1997.

3. Колмогоров А.Н. и др. Элементы теории функций и функционального анализа

М.: Наука, 1981.

4. Хорев А.А. Техническая защита информации Т.1. М. НПЦ "Аналитика", 2008.

Хорев А.А.

КОНЦЕПТУАЛЬНЫЙ ПОДХОД К ПРОЕКТИРОВАНИЮ ФГОС ВО ЧЕТВЕРТОГО

ПОКОЛЕНИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Национальный исследовательский университет «МИЭТ», г.Москва

В соответствие с требованиями Минобрнауки основная образовательная

программа (ООП) и учебные дисциплины должны быть направлены на формирование

у выпускников общекультурных и профессиональных компетенций и иметь модульную

структуру. Однако до настоящего времени в вузовской среде не достигнуто единого

понимания, что же такое «компетенция» и что же такое «модуль», что не позволяет

разработать принципы формирования компетенций, показатели и критерии оценки их

сформированности, а так же разработать единые подходы к модульной структуре

ООП, учебного плана (УП) и рабочих программ дисциплин (РПД).

На мой взгляд одними из основных требований, предъявляемых к компетенциям,

включаемым в ФГОС ВПО, должны быть следующие:

A. Понятность смысла и содержания компетенции работодателям, преподавателям

и студентам.

B. Востребованность компетенции в профессиональной сфере.

112

C. Возможность декомпозиции компетенции на знания, умения и навыки.

D. Возможность формирования компетенции в рамках ООП.

E. Возможность оценки уровня сформированности компетенции у выпускника

вуза.

С учетом данных требований применительно к профессиональной области

деятельности целесообразно ввести следующее определение: профессиональная

компетенция – это совокупность взаимосвязанных знаний, умений и навыков,

определяющих способность специалиста успешно выполнять (решать)

профессиональные задачи.

То есть, компетенция является одной из описательных характеристик, служащая

для определения квалификационных требований, предъявляемых к уровню

квалификации специалистов в области информационной безопасности.

Таким образом, для каждой профессиональной компетенции необходимо

сформировать перечень знаний, умений и навыков, которыми должен обладать

выпускник вуза, а также определить, каким образом будет оцениваться уровень

сформированности этой компетенции.

Именно знания, умения, навыки и компетенции, приобретенные в процессе

освоения ООП, и являются результатом обучения.

Совокупность разделов (тем) учебной дисциплины или нескольких учебных

дисциплин, имеющих определенную логическую завершенность по отношению к

установленным результатам обучения, назовем «модулем».

Проведенный анализ показал, что для разработки компетентностно – модульного

подхода к формированию ООП, УП и РПД целесообразно провести дифференциацию

понятия «модуля», введя понятия «тематический модуль» и «компетентностный

модуль»:

тематический модуль – тема (раздел) дисциплины, при изучении которой

студенты получают логически завершенную совокупность знаний, умений и навыков в

определенной предметной области, необходимых для формирования одной или

нескольких компетенций;

компетентностный модуль – одна или несколько учебных дисциплин и иной

нагрузки (практика, научно-исследовательская работа, итоговая государственная

аттестация и т.д.), включенных в учебный план, при изучении (выполнении) которых

студентами приобретаются знания, умения и навыки, необходимые для формирования

одной или нескольких (близких по характеру) компетенций.

В целях определения объема учебных дисциплин необходимо оценить время,

необходимое для формирования знаний, умений и навыков. Практический опыт

подготовки специалистов в области информационной безопасности показал, что для

формирования у студента знаний и умений в определенной области профессиональной

деятельности необходимо:

для формирования отдельных знаний – не менее 2 – 4 часов аудиторных занятий

(лекций, семинаров) и 2 – 4 часов самостоятельных занятий;

для формирования отдельных умений (вместе с формированием необходимых

знаний) – не менее 8 – 12 часов аудиторных занятий (лекций, практических занятий,

лабораторных работ и т.д.) и 8 – 12 часов самостоятельных занятий.

Навыки выполнения профессиональных задач приобретаются студентами в ходе

практических занятий, выполнении лабораторных работ, домашних заданий, курсовых

проектов (работ), выпускных квалификационных работ, в процессе производственной

практики, научно – исследовательской работы и т.д. Время, необходимое для

113

формирования отдельных навыков, во многом зависит от уровня подготовки студента и

его индивидуальных особенностей и, как правило, в 2 – 3 раза превышает время,

необходимое для формирования соответствующих умений.

С учетом вышесказанного, для реализации компетентностно – модульного подхода

формирования ФГОС ВО четвертого поколения целесообразно:

экспертным методом (с привлечением не только преподавателей, но и

представителей работодателей) сформировать перечень общекультурных,

общепрофессиональных и профессиональных компетенций;

провести декомпозицию каждой компетенции на знания, умения и навыки;

сгруппировать знания, умения и навыки, необходимые для формирования

компетенций, по предметным областям (тематическим модулям);

из тематических модулей, принадлежащих одной предметной области,

сформировать учебные дисциплины (модули), оценить их объем и распределить по

блокам и учебным циклам ООП;

определить компетенции, которые возможно сформировать в рамках базовой части

ООП (с учетом ее объема), включить их в раздел V ФГОС ВО (требования к

результатам освоения ООП);

определить компетенции, которые возможно сформировать в рамках вариативной

части блока 1, и блоков 2 и 3 ООП (с учетом их объема), включить их в раздел V ФГОС

ВПО;

определить обязательные дисциплины базовой части блока 1, необходимые для

формирования компетенций, включенных в раздел V ФГОС ВО, в включить их в

раздел VI ФГОС ВО;

обосновать требования к материально-техническому обеспечению реализации

ООП, обеспечивающему формирование компетенций, включенных в раздел V ФГОС

ВО.

Учитывая, что в соответствии с Федеральным законом от 29.12.2012 № 273-ФЗ

«Об образовании в Российской Федерации» при формировании ФГОС ВПО должны

учитываться положения соответствующих профессиональных стандартов (ПС),

возможно два варианта формирования ФГОС ВПО.

При первом варианте знания, умения и навыки, которыми должен обладать

специалист в соответствии с конкретным ПС, учитываются в профессиональных

компетенциях, включенных в ФГОС ВО. Данный вариант наиболее приемлем при

разработке ФГОС ВО для специалистов.

При втором варианте в ФГОС ВО включаются только общепрофессиональные

компетенции и часть профессиональных компетенций, являющихся общими для всех

ПС в области информационной безопасности. Образовательная организация

самостоятельно в соответствии с выбранным профилем (программой) подготовки

формирует компетенции, необходимые для реализации конкретного ПС, и включает их

ООП. Формирование этих компетенций осуществляется в рамках вариативной части

блока 1, а также блоков 2 и 3 ООП. Данный вариант целесообразно использовать при

проектировании ФГОС ВО бакалавров и магистров.

Предложенный подход формирования ФГОС ВО позволит вузам значительно

упростить процесс разработки ООП, учебных планов и рабочих программ учебных

дисциплин.

114

ОГЛАВЛЕНИЕ

Введение …………………………………………………………………………… 3



ТЕЛЕКОММУНИКАЦИЙ……………………………………………………….

7

Подраздел 1.1. Проблема импортозамещения и обеспечения

технологической независимости…………………………………………………

7

Зегжда Д. П.

ОБЕСПЕЧЕНИЕ ТЕХНОЛОГИЧЕСКОЙ НЕЗАВИСИМОСТИ РФ В

ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ

ТЕХНОЛОГИЙ


университет», г.Санкт-Петербург………………………………………………….

7

Калинин М.О.

ПРИМЕНЕНИЕ ТЕХНОЛОГИИ ПРОГРАММНО-КОНФИГУРИРУЕМЫХ

СЕТЕЙ ПРИ ПОСТРОЕНИИ ОТЕЧЕСТВЕННОГО ЗАЩИЩЕННОГО

ВЫСОКОПРОИЗВОДИТЕЛЬНОГО СЕТЕВОГО ОБОРУДОВАНИЯ


университет», г.Санкт-Петербург…………………………………………………

8

Подраздел 1.2. Кибербезопасность и противоборство в инфосфере…………

10

Бирюков Д.Н., Ломако А.Г.

СИНТЕЗ УПРЕЖДАЮЩЕГО ПОВЕДЕНИЯ СИСТЕМ

КИБЕРБЕЗОПАСНОСТИ В ИНФОРМАЦИОННОМ КОНФЛИКТЕ

Военно-космическая академия имени А.Ф. Можайского, г.Санкт-Петербург………………………………………………………………………………………………..

10

Горбачев И.Е., Еремеев М.А., Андрушкевич Д.В.

МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ОЦЕНИВАНИЯ ЭФФЕКТИВНОСТИ

ДЕЙСТВИЙ СТОРОН ИНФОРМАЦИОННОГО КОНФЛИКТА В

ИНФОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ

Военно-космическая академия имени А.Ф. Можайского, г.Санкт-Петербург………………………………………………………………………………………………

11

Горбачев И.Е., Еремеев М.А.

ОСОБЕННОСТИ ТЕХНОЛОГИИ МАСКИРОВАНИЯ ИНФОРМАЦИОННЫХ

РЕСУРСОВ С ПРИМЕНЕНИЕМ ОБМАННЫХ СИСТЕМ И УПРАВЛЕНИЕМ

ПОВЕДЕНИЕМ НАРУШИТЕЛЯ

Военно-космическая академия имени А.Ф. Можайского, г.Санкт-Петербург………………………………………………………………………………………………

13

Зегжда Д.П., Степанова Т.В.

ПРОТИВОБОРСТВО В КИБЕРПРОСТРАНСТВЕ.

115

ПОДХОДЫ К ФОРМАЛИЗАЦИИ ЗАДАЧИ


университет», г. Санкт-Петербург ………………………………………………..

15

Коноплев А.С., Бусыгин А.Г.

ИСПОЛЬЗОВАНИЕ НОВЫХ ВОЗМОЖНОСТЕЙ КИБЕРПРОСТРАНСТВА

ДЛЯ СОЗДАНИЯ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ ДАННЫХ

ООО «НеоБИТ», г.Санкт-Петербург………………………………………………

16

Павленко Е.Ю., Калинин М.О.

ВЫЯВЛЕНИЕ ПРИНАДЛЕЖНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ К БОТ-

СЕТЯМ С ПОМОЩЬЮ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ



18

Подраздел 1.3. Создание доверенной национальной платформы и

безопасность виртуальных систем………………………………………………

20

Бутусов И.В.

ДОВЕРЕННАЯ ПРОГРАММНО-АППАРАТНАЯ СРЕДА КАК ОСНОВА

ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ

СИСТЕМ УПРАВЛЕНИЯ ОРГАНОВ ВОЕННОГО И ГОСУДАРСТВЕННОГО

УПРАВЛЕНИЯ

ОАО «Концерн «Системпром», г.Москва…………………………………………

20

Залогин В.Н.

ЗАЩИЩЕННАЯ ВИРТУАЛЬНОСТЬ – ЭТО РЕАЛЬНОСТЬ

ЗАО «С-Терра СиЭсПи», г.Москва………………………………………………..

22


ИСПОЛЬЗОВАНИЕ АППАРАТНОЙ ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ

ДЛЯ ЗАЩИТЫ ДОВЕРЕННОГО ПРИЛОЖЕНИЯ В НЕ ДОВЕРЕННОЙ

ОПЕРАЦИОННОЙ СИСТЕМЕ



22


ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ ДОВЕРЕННОГО ПРИЛОЖЕНИЯ

В НЕДОВЕРЕННОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ С ПОМОЩЬЮ

ГИПЕРВИЗОРА



24

Подраздел 1.4. Безопасные операционные системы с управляемым

доступом……………………………………………………………………………

28

Ефанов Д.В., Рощин П.Г.

МЕЖПРОЦЕССНОЕ ВЗАИМОДЕЙСТВИЕ В ОПЕРАЦИОННОЙ СИСТЕМЕ

116

С МАНДАТНЫМ МНОГОУРОВНЕВЫМ УПРАВЛЕНИЕМ ДОСТУПОМ НА

ОСНОВЕ D-BUS

Федеральное государственное унитарное предприятие «Центральный научно-

исследовательский институт экономики, информатики и систем управления»,

г.Москва……………………………………………………………………………..

28

Девянин П.Н., Куликов Г.В., Хорошилов А.В.

КОМПЛЕКСНОЕ НАУЧНО-ОБОСНОВАННОЕ РЕШЕНИЕ ПО

РАЗРАБОТКЕ ОТЕЧЕСТВЕННОЙ ЗАЩИЩЕННОЙ ОССН ASTRA LINUX

SPECIAL EDITION

УМО ИБ, ОАО «НПО РусБИТех», ИСП РАН, г. Москва………………………..

29

Куваев В.О., Саенко И.Б.

ПОДХОД К РЕШЕНИЮ ЗАДАЧИ РАЗГРАНИЧЕНИЯ ДОСТУПА В

РАЗНОРОДНОМ ИНФОРМАЦИОННОМ ПРОСТРАНСТВЕ

Военная академия связи, СПИИРАН, г.Санкт-Петербург……………………….

33

Фроимсон М.И., Панфилов Л.А., Улейкин Е.Ю.

РАЗРАБОТКА ЗАЩИЩЕННОЙ ОПЕРАЦИОННОЙ СИСТЕМЫ ДЛЯ

МОБИЛЬНЫХ УСТРОЙСТВ

Национальный Исследовательский Ядерный Университет «МИФИ»,

г.Москва………………………………………………………………………………

34

РАЗДЕЛ 2. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА

ЗАЩИТЫ ИНФОРМАЦИИ……………………………………………………..

37

Анашкина Н.В., Петухова Н.Н., Шурупов А.Н.

СРАВНИТЕЛЬНЫЙ АНАЛИЗ ДЕТЕРМЕНИРОВАННОГО И

ВЕРОЯТНОСТНОГО ЭВРИСТИЧЕСКИХ АЛГОРИТМОВ ЛОКАЛЬНОГО

ПОИСКА

УМО ИБ, г. Москва…………………………………………………………………

37

Аносов В.Д., Покровский А.В.

ВЕРХНЯЯ ОЦЕНКА АЛГЕБРАИЧЕСКОЙ ИММУННОСТИ

ОТОБРАЖЕНИЙ

В/ч 43753, г.Москва………………………………………………………………….

39

Архангельская А.В., Когос К.Г.

О ПРОПУСКНОЙ СПОСОБНОСТИ СКРЫТЫХ КАНАЛОВ, ОСНОВАННЫХ

НА МОДУЛЯЦИИ ДЛИН ПЕРЕДАВАЕМЫХ ПАКЕТОВ

Национальный исследовательский ядерный университет «МИФИ»,

г.Москва………………………………………………………………………………

40

Архангельский В.Г.1, Епишкина А.В.

2

О ПРИМЕНЕНИИ ЗАКОНА «ОБ ЭЛЕКТРОННОЙ ПОДПИСИ» 1ФГАНУ ЦИТИС,

2НИЯУ «МИФИ», г.Москва………………………….……….

42

117

Беззатеев С.В., Волошина Н.В., Жиданов К.А.

МЕТОД ОПТИМАЛЬНОГО ВСТРАИВАНИЯ ЗАЩИЩЕННОГО ВОДЯНОГО

ЗНАКА С ИСПОЛЬЗОВАНИЕМ СЕМЕЙСТВА (L,G) - КОДОВ,

СОВЕРШЕННЫХ ВО ВЗВЕШЕННОЙ МЕТРИКЕ ХЭММИНГА

СПбГУАП, г.Санкт-Петербург……………………………………………….…….

45


ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КРИПТОСИСТЕМЫ НА

ИЗОГЕНИЯХ



46


АТАКИ С ИСПОЛЬЗОВАНИЕМ АФФИННОЙ АППРОКСИМАЦИИ

ГРУППЫ ГАЛУА НУЛЬМЕРНОГО РАДИКАЛЬНОГО ИДЕАЛА



49

Сабанов А.Г.

АНАЛИЗ РИСКОВ АУТЕНТИФИКАЦИИ ПРИ УДАЛЕННОМ

ЭЛЕКТРОННОМ ВЗАИМОДЕЙСТВИИ

МГТУ им. Н.Э. Баумана, г.Москва……………………………………………….

52

Сорокин А.В.

ОПРЕДЕЛЕНИЕ ПРИНАДЛЕЖНОСТИ КЛАСТЕРА ЦИФРОВОГО

НОСИТЕЛЯ ФАЙЛУ ФОРМАТА JPEG

МИЭМ НИУ ВШЭ, г.Москва………………………………………………………

53

Сухопаров М.Е.

МЕТОДИКА ОПРЕДЕЛЕНИЯ АВТОРСТВА ТЕКСТОВ КОРОТКИХ

СООБЩЕНИЙ ПОЛЬЗОВАТЕЛЕЙ ПОРТАЛОВ СЕТИ ИНТЕРНЕТ НА

ОСНОВЕ НАИВНОГО БАЙЕСОВСКОГО КЛАССИФИКАТОРА

Санкт-Петербургский национальный исследовательский университет

информационных технологий, механики и оптики, г.Санкт-Петербург…….......

55

Шустрова А.А.

ВЫЧИСЛИТЕЛЬНЫЕ АСПЕКТЫ РЕШЕНИЯ СИСТЕМ РАЗРЕЖЕННЫХ

БУЛЕВЫХ УРАВНЕНИЙ



57

РАЗДЕЛ 3. БЕЗОПАСНОСТЬ СЕТЕВЫХ ТЕХНОЛОГИЙ И

ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК…………………………………………….

59

Агеев С.А., Саенко И.Б.

ИНТЕЛЛЕКТУАЛЬНЫЕ МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МУЛЬТИСЕРВИСНЫХ СЕТЕЙ

СВЯЗИ

ОАО «НИИ «Нептун», СПИИРАН, г.Санкт-Петербург………………………….

59

118

Баранов П.А.

НАПРАВЛЕНИЯ ТЕОРИИ РИСКОВ В ПРИЛОЖЕНИИ К ОБЕСПЕЧЕНИЮ

ЗАЩИТЫ ИНФОРМАЦИИ

НИУ Высшая школа экономики, г.Москва………………………………………

60

Волкова А.С., Калинин М.О.

СИСТЕМА ПРОГРАММНО-КОНФИГУРИРУЕМОЙ БЕЗОПАСНОСТИ ДЛЯ

КРУПНОМАСШТАБНЫХ ГЕТЕРОГЕННЫХ ИНФОРМАЦИОННЫХ

КОМПЛЕКСОВ


университет», г.Санкт-Петербург……………………............................................

61

Волошина Н. В., Беззатеев С. В., Санкин П. С.

МЕТОДИКА СОВМЕСТНОГО РАСЧЕТА ФУНКЦИОНАЛЬНОЙ И

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ СИСТЕМ1

СПбГУАП, г.Санкт-Петербург……………………………………………………

63


КОМБИНИРОВАННАЯ МОДЕЛЬ ЗАЩИТЫ ИНФОРМАЦИОННО-

ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ КОНЦЕПЦИИ

«ИНТЕРНЕТ ВЕЩЕЙ»

СПИИРАН, г.Санкт-Петербург………………………..............................................

65

Десницкий В.А., Чечулин А.А.

ВЕРИФИКАЦИЯ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ

СИСТЕМ СО ВСТРОЕННЫМИ УСТРОЙСТВАМИ НА ОСНОВЕ

ОБОБЩЕННОЙ МОДЕЛИ НАРУШИТЕЛЯ

СПИИРАН, г.Санкт-Петербург……………………………………………………..

66

Котенко И.В., Чечулин А.А., Десницкий В.А.

ОСОБЕННОСТИ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В

КИБЕР-ФИЗИЧЕСКИХ СИСТЕМАХ

СПИИРАН, г.Санкт-Петербург……………………………………………….…..

67

Кравчук А.В., Еремеев М.А.

ПОДХОД К МОДЕЛИРОВАНИЮ КОМПЬЮТЕРНЫХ АТАК

Военно-космическая академия имени А.Ф. Можайского,

г.Санкт-Петербург………………………………………………………………….

69

Лисицына М.А, Степанова Т.В.

ПРИМЕНЕНИЕ ДИНАМИЧЕСКОЙ РАСКРАСКИ ГРАФОВ

ДЛЯ СЕГРЕГАЦИИ СЕТЕЙ В АСУ ТП


университет», г. Санкт-Петербург…………………………………………………

71

Москвин Д.А., Иванов Д.В.

ИСПОЛЬЗОВАНИЕ MESH-ТОПОЛОГИИ ДЛЯ УПРАВЛЕНИЯ СЕТЯМИ

РОБОТИЗИРОВАННЫХ ОБЪЕКТОВ: УДОБНО ИЛИ БЕЗОПАСНО?

119

ФГБОУ ВПО «СПбГПУ», г.Санкт-Петербург……………………………………

73

Овчаров В.А.

ПОДХОД К ПРИМЕНЕНИЮ ТЕХНОЛОГИЙ АКТИВНОГО И

ПАССИВНОГО МОНИТОРИНГА СЕТЕВЫХ ИНФРАСТРУКТУР ДЛЯ

ПОСТРОЕНИЯ КОММУНИКАЦИОННО-ПОВЕДЕНЧЕСКИХ ПРОФИЛЕЙ

ПОЛЬЗОВАТЕЛЕЙ, УСТРОЙСТВ И РЕСУРСОВ


г.Санкт-Петербург…………………………………………………………………

75

Печенкин А.И.

ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ ПОДСИСТЕМ

ТРАНСПОРТНЫХ СРЕДСТВ


университет», г. Санкт-Петербург…………………………………………..……..

77

Платонов В.В., Семенов П.О.

МЕТОДЫ КЛАСТЕРНОГО АНАЛИЗА ДЛЯ ФОРМИРОВАНИЯ МОДУЛЕЙ

ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК


университет», г. Санкт-Петербург………………………………………………....

80

Платонов В.В.

КЛАССИФИКАЦИИ СЕТЕВЫХ АТАК ДЛЯ СИСТЕМ ОБНАРУЖЕНИЯ

АТАК


университет», г. Санкт-Петербург…………………………………………..……..

81

Стариковский А.В., Зуйков А.В., Михайлов Д.М., Филимонцев А.С.

ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ЗАЩИТЫ СИСТЕМ

АВТОМАТИЗАЦИИ ОТ АТАК

Национальный Исследовательский Ядерный Университет «МИФИ»,

г.Москва ……………………………………………………………………………..

82

Степанова Т.В., Зегжда Д.П.

ИНТЕРНЕТ В ПОРЯДКЕ ВЕЩЕЙ. ОБЕСПЕЧЕНИЕ УСТОЙЧИВОСТИ В

INTERNET OF THINGS


университет», г. Санкт-Петербург…………………………………………………

84

РАЗДЕЛ 4. АНАЛИЗ, КОНТРОЛЬ БЕЗОПАСНОСТИ И МЕХАНИЗМЫ

УГРОЗ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ………………………………..

87

Девяткин А.М., Сафонов В.М., Шинкаренко А.Ф.

ИСПОЛЬЗОВАНИЕ КЛАВИАТУРНОГО ПОЧЕРКА В ЗАДАЧАХ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


г.Санкт-Петербург………………………………………………….……………….

87

120


КОНФИГУРИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ СО

ВСТРОЕННЫМИ УСТРОЙСТВАМИ ДЛЯ ОБЕСПЕЧЕНИЯ

КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ЖЕЛЕЗНОДОРОЖНОГО

ТРАНСПОРТА

СПИИРАН, г.Санкт-Петербург…………………………………………………….

89

Дойникова Е.В.

ПОДХОД К ОЦЕНИВАНИЮ ЗАЩИЩЕННОСТИ НА ОСНОВЕ ГРАФОВ

АТАК В СИСТЕМАХ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ И СОБЫТИЯМИ

БЕЗОПАСНОСТИ

СПИИРАН, г.Санкт-Петербург……………………………………………..……..

90

Зегжда Д.П., Москвин Д.А., Никольский А.В.

БЕЗОПАСНЫЙ ПРОЦЕССОР КАК СПОСОБ РЕШЕНИЯ ПРОБЛЕМЫ

УЯЗВИМОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ООО "НеоБИТ", г. Санкт-Петербург………………………………………………

92


ЗАЩИТА ОТ ВНЕДРЕНИЯ ПРОГРАММНЫХ ЗАКЛАДОК В АКТИВНОЕ

СЕТЕВОЕ ОБОРУДОВАНИЕ

ООО «НеоБИТ», г.Санкт-Петербург……………………………………………….

94


ТЕСТИРОВАНИЕ ЗАЩИЩЕННОСТИ

ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ НА

ОСНОВЕ АНАЛИЗА ПАКЕТОВ ОБНОВЛЕНИЙ

ООО «НеоБИТ», г.Санкт-Петербург………………………………………………

95

Котенко И.В., Саенко И.Б.

ОБ АРХИТЕКТУРЕ МНОГОУРОВНЕВОЙ ИНТЕЛЛЕКТУАЛЬНОЙ

СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ НА ЖЕЛЕЗНОДОРОЖНОМ

ТРАНСПОРТЕ

СПИИРАН, г.Санкт-Петербург…………………………….……………………….

97

Кузнецов С.Е., Клейменов В.А.

МЕТОДЫ И СРЕДСТВА ДИНАМИЧЕСКОГО АНАЛИЗА ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

ПФ ФГУП «НТЦ «Атлас», г.Пенза……………………………….….…………….

98

Минин А.А., Калинин М.О.

КОНТРОЛЬ НЕСАНКЦИОНИРОВАННЫХ

ПОДКЛЮЧЕНИЙ И АКТИВНОСТИ УЗЛОВ В MESH-СЕТЯХ


университет», г.Санкт-Петербург………………………………………….……….

100

121

Новиков В.А., Ломако А.Г., Назаров М.С.

ПОДХОД К ПРЕДОТВРАЩЕНИЮ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ В

ВЫЧИСЛИТЕЛЬНОЙ СРЕДЕ НА ОСНОВЕ МЕТОДОВ КОМПЬЮТЕРНОЙ

ИММУНОЛОГИИ


г.Санкт-Петербург…………………………………………………………………..

101

Резединова Е.Ю.

К ВОПРОСУ МОДЕЛИРОВАНИЯ ВЕБ-ПРИЛОЖЕНИЙ


университет», г.Санкт-Петербург…………………………………………………

102

Федорченко А.В.

АНАЛИЗ УЯЗВИМОСТЕЙ ПО ВРЕМЕННЫМ ХАРАКТЕРИСТИКАМ НА

ОСНОВЕ ОТКРЫТОЙ БАЗЫ ДАННЫХ X-FORCE

СПИИРАН, г.Санкт-Петербург…………………………………………………….

104

РАЗДЕЛ 5. ПРОБЛЕМА МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ

ПОДГОТОВКИ КАДРОВ ………………………………………………………..

106

Кулишкин В.А.

ИСПОЛЬЗОВАНИЕ ВОЗМОЖНОСТЕЙ ПАТЕНТНЫХ

ИНФОРМАЦИОННЫХ РЕСУРСОВ ФЕДЕРАЛЬНОГО ИНСТИТУТА

ПРОМЫШЛЕННОЙ СОБСТВЕННОСТИ И МЕЖДУНАРОДНЫХ

ПАТЕНТНЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ ДЛЯ ПОДГОТОВКИ

СПЕЦИАЛИСТОВ 10.05.03 «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ»

Петербургский государственный университет путей сообщения Императора

Александра І, г.Санкт-Петербург………………………………………………….

106

Супрун А.Ф.

МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ УЧЕБНОГО ПРОЦЕССА ОТ

УТЕЧКИ ИНФОРМАЦИИ ЗА СЧЕТ ПОБОЧНЫХ ЭЛЕКТРОМАГНИТНЫХ

ИЗЛУЧЕНИЙ

ФГАОУ ВО Санкт-Петербургский государственный политехнический

университет (СПбГПУ), г.Санкт-Петербург…………………………..…………..

110

Хорев А.А.

КОНЦЕПТУАЛЬНЫЙ ПОДХОД К ПРОЕКТИРОВАНИЮ ФГОС ВО

ЧЕТВЕРТОГО ПОКОЛЕНИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

Национальный исследовательский университет «МИЭТ», г.Москва………….

111

Оглавление …………………………………………………………………………

114

122

МЕТОДЫ И ТЕХНИЧЕСКИЕ СРЕДСТВА

ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

СБОРНИК МАТЕРИАЛОВ

23-ей научно-технической конференции

30 июня – 03 июля 2014 года Санкт-Петербург

Лицензия ЛР№020593 от 07.08.97 г.

Налоговая льгота – Общероссийский классификатор продукции

ОК 005-93, т.2; 95 3004 – научная и производственная литература.

Подписано в печать 24.06.14 г. Формат бумаги 60х84/8. Усл.печ. л. 7,63

Тираж 150 экз. Заказ №

Отпечатано с готового оригинал-макета, предоставленного оргкомитетом

конференции, в цифровом типографском центре

Издательства Политехнического университета.

195251, Санкт-Петербург, Политехническая, 29

Documents

300 н ииююня –– 0033 ииюлляя ю 2201144 гг..mitsobi.ru/wp-content/uploads/2018/06/2014.pdfМАТЕРИАЛЫ 233