Информационная безопасность информационных систем с элементами...
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ С ЭЛЕМЕНТАМИ ЦЕНТРАЛИЗАЦИИ И ДЕЦЕНТРАЛИЗАЦИИ Кругликов С.В.1, Дмитриев В.А.2, Степанян А.Б.3, Максимович Е.П.4 Аннотация: Статья посвящена вопросам защиты ресурсов сложных, территориально распределенных информационных систем, сочетающих в себе элементы централизации и децентрализации. Для защиты ресурсов распределенных централизованных и децентрализованных информационных систем широко применяются методы на основе отношений доверия, консенсуса, криптографической защиты. Отдельное внимание уделено механизмам логического разграничения доступа субъектов к удаленным объектам, принадлежащим другим компонентам (сегментам) распределенной информационной безопасности. Приводятся средства защиты для реализации механизма управления доступом к ресурсам распределенных информационных систем, а также принципы аутентификации пользователя. Обсуждается специфика возникающих при этом проблем безопасности и основные подходы к их решению с учетом наличия совокупности локальных сегментов (компонентов), различающихся субъектами и объектами доступа, критичностью обрабатываемой данных и моделями разграничения доступа. Ключевые слова: управление доступом, анализ событий, криптографическая защита, целостность информации, сегментация информационных ресурсов, распределенные информационные системы, субъекты и объекты доступа.
DOI:10.21681/2311-3456-2020-01-02-07 Введение Методы защиты ресурсов информационной системы (ИС) существенно зависят от ее архитектуры. В настоящее время широкое распространение получили сложные, территориально распределенные ИС, в которых гибко сочетаются элементы централизации и децентрализации. В сложных корпоративных ИС обычно присутствуют несколько уровней управления. Степень централизации системы определяется на основе установления соотношения объемов задач, решаемых на разных уровнях и, в определенном смысле, служит мерой разделения полномочий между уровнями. Смещение основной массы решений в сторону вышестоящего уровня (повышение степени централизации) отождествляют обычно с повышением управляемости подсистем. Повышение степени децентрализации соответствует увеличению самостоятельности подсистем и уменьшению объема информации, перерабатываемой верхними уровнями, однако часто связано с усложнением управления и увеличением времени адаптации ИС. Новые возможности, предоставляемые распределенной обработкой данных с использованием механизмов централизации и децентрализации, одновременно порождают новые проблемы безопасности, решение которых требует учета целого ряда факторов. Например, какие функции должны быть централизованы, а
какие децентрализованы; каков тип реализованной децентрализации (вертикальная или горизонтальная); где хранятся данные; какова конфигурация технических средств; как распределены полномочия по принятию управленческих решений в процессе эксплуатации ИС; каким образом обеспечивается доступ к данным на узлах ИС; каким образом обеспечивается согласованность работы узлов и согласованное состояние данных (согласованное состояние во всех репликах структуры данных, количества и значений общих данных) и др. В аспекте проблемы разграничения доступа необходимо также учитывать, что территориально распределенная гетерогенная ИС часто представляется в виде совокупности локальных сегментов (компонентов, зон), различающихся субъектами и объектами доступа, критичностью обрабатываемых данных, существующими рисками и угрозами безопасности и соответственно требованиями управления доступом. Наличие подобных факторов обусловливает специфику обеспечения информационной безопасности распределенных ИС с элементами централизации и децентрализации и требуют разработки новых адекватных методов защиты, обеспечивающих достаточный уровень защищенности активов ИС, возможность управления механизмами защиты как централизованно (удаленно, с рабочего
1
Кругликов Сергей Владимирович, доктор военных наук, заместитель генерального директора по научной и инновационной работе Объединенного института проблем информатики Национальной академии наук Белоруссии, Белоруссия, Минск. E mail: kruglikov_s@newman.bas-net.by
2
Дмитриев Владимир Александрович, кандидат физико-математических наук, заведующий лабораторией Объединенного института проблем информатики Национальной академии наук Белоруссии, Белоруссия, Минск. E-mail: vladdmitr@newman.bas-net.by
3
Степанян Арарат Баркевович, кандидат технических наук, ведущий научный сотрудник Объединенного института проблем информатики Национальной академии наук Белоруссии, Белоруссия, Минск. E-mail: ararat@newman.bas-net.by
4
Максимович Елена Павловна, кандидат физико-математических наук, ведущий научный сотрудник Объединенного института проблем информатики Национальной академии наук Белоруссии, Белоруссия, Минск. E-mail: maksimovich@newman.bas-net.by
2
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.53 Оценка эффективности систем информационной безопасности 004.94
места администратора безопасности ИС), так и децен- подпись, имитовставка, хэширование, направленные трализовано (непосредственно с конкретной рабочей на обеспечение целостности/подлинности информастанции). ции, а также шифрование/дешифрование, направленВ рамках реализации методов обеспечения инфор- ные на обеспечение конфиденциальности информации. мационной безопасности распределенных ИС долж- В условиях конкретной ИС выбор методов защиты при но быть обеспечено выполнение общих мер защиты: проектировании системы защиты информации зависит идентификация и аутентификация (пользователей про- от архитектуры ИС, базового программного обеспечецессов и т.д.); разграничение доступа к ресурсам си- ния, типа защищаемых данных, способов их обработстемы; регистрация и анализ событий, происходящих ки, хранения, передачи по каналам связи, организации в системе; контроль целостности объектов системы; управления функционированием ИС, используемых мешифрование данных ограниченного распространения; ханизмов централизации/децентрализации и др. резервное копирование и восстановление данных и Отдельное внимание должно быть уделено механизпрограммного обеспечения и др. мам логического разграничения доступа субъектов к При реализации указанных мер возникают, напри- удаленным объектам, принадлежащим другим компомер, следующие общие проблемы: нентам (сегментам) распределенной ИС. Сегментация -- обеспечение синхронизации/согласованности информационных ресурсов по требованиям доступа хранения и обработки данных, регламентов и по- к ним позволяет добиться более гибкого контроля долитик доступа в децентрализованных сегментах ступа в зависимости от пользователей сегментов и поИС (в частности, в случае отсутствия централизо- могает ограничить соединения между ними в зависиванного хранилища информации возникает не- мости от уровня доверия при выполнении транзакций. обходимость производить регламентацию досту- Сегментация также уменьшает ущерб от взлома систепа на каждом сегменте (сервере, автоматизиро- мы безопасности. При злонамеренном проникновении ванном рабочем месте), а также обеспечивать в определенный компонент сетевая сегментация, коннепротиворечивость этих регламентов для всех тролирующая трафик между уровнями, снижает число и взаимодействующих сегментов ИС); разнообразие атак. -- обеспечение текущего мониторинга состояния Предметом политики разграничения доступа в расИС (обеспечение оперативного учета событий, пределенных ИС является рассмотрение принципов орспособных повлиять на состояние безопасности ганизации и механизмов доступа, в том числе и межсегИС и оповещения ответственных лиц независи- ментного, при котором реализовывалась бы некая обмо от их расположения в системе путем доставки щая политика безопасности, обеспечивающая как внууведомления в сегменты ИС с поиском назна- трисегментную, так и межсегментную безопасность и ченного получателя); позволяющая обеспечить объединение внутрисегмент-- обеспечение защиты каналов связи между сег- ных политик безопасности, основанных на различных ментами ИС; моделях логического разграничения [1,2,3,4,5]. Особую -- обеспечение доступности информации (напри- актуальность приобретает при этом проблема интеромер, предотвращение недоступности информа- перабельности – взаимодействия разнородных компоции, хранящейся в одном экземпляре на сег- нентов, модулей, подсистем или программных систем в менте, который вышел из строя; невозможности гетерогенной ИС, достижение их согласованности, «взаконтроля изменений информации, производи- имопонимания», способности к совместному использомых на сегменте; невозможности согласованности, восстановлеванию, обмену данными, запросами, совместной деясогласованности, «взаимопонимания», способности со «взаимопонимания», способности согласованности, «взаимопонимания», способностикк ксо ния согласованности, предыдущего состояния «взаимопонимания», информационного тельности при решении задач, возможности определесогласованности, «взаимопонимания», способности к совместному способности к совместному использованию, обмену данными, запросами, совместной деятель использованию, обмену данными, запросами, совместной деятельн согласованности, «взаимопонимания», способности к совместному ресурса); ния и совместного использования (разделения) данных использованию, обмену данными, запросами, совместной дея использованию,обмену обменуданными, данными, запросами, совместной деятельности при использованию, запросами, совместной деятельности при решении задач, возможности определения и совместного исп задач, возможности определения и совместного использованию, обмену данными, запросами, совместной деятельности при испо -- снижение издержек на реализациюрешении функций ауи услуг в пределах различных компонентов ИС. решении задач, возможности определения и совместного решении задач,возможности возможности определения иважных совместного использования решении задач, определения иуслуг совместного использования тентификации, авторизации, хранения и управ(разделения) данных и услуг в пределах различных компонентов ИС. В качестве парадигм при построении моде(разделения) данных и в пределах различных компонентов ИС. решении задач, возможности определения и в совместного использования данных икомпонентов услуг пределах различных компонентов И (разделения) данных и услуг в(разделения) пределах различных ИС. построении (разделения) данных и услуг в пределах различных компонентов ления учетными записями в сегментах разграничения доступа наИС. основе локальных модекачестве важных парадигм при построении моделей раз ВВ качестве важных парадигм при моделей разг (разделения) данныхИС. и услуг вВлей пределах различных компонентов ИС. качестве важных парадигм при построении моделей качестве важных парадигм при построении моделей разграничения В Вкачестве важных парадигм при построении моделей разграничения В рамках организационных мер защиты обостряетлей разграничения доступа выступает отношения доведоступа на основе локальных моделей разграничения доступа доступа на основе локальных моделей разграничения доступа В качестве важных парадигм при построении моделей разграничения доступа наи консенсуса. основе локальных моделей разграничения дост ся проблема физической безопасности перрия доступа основе локальных моделей доступа выступает доступа на назащиты, основе локальных моделей разграничения доступа выступает отношения доверия консенсуса. отношения доверия ииразграничения консенсуса. доступа на основе локальных моделей разграничения доступа выступает сонала (егоотношения лояльности, квалификации) и организации Осуществление доступа субъекта к удаленному объотношения доверия и консенсуса. отношения доверия и консенсуса. доверия и консенсуса. Осуществление доступа субъекта к удаленному объекту изиног ино Осуществление доступа субъекта к удаленному объекту из доверия информаи консенсуса. работ с документами отношения и документированной екту из иного сегмента ИС, как правило, возможно тольОсуществление доступа субъекта ксегмента удаленному объекту из Осуществление доступа субъекта к удаленному объекту из иного сегмента доступа субъекта к удаленному объекту из иного цией (обеспечениеОсуществление необходимого уровня детализации, ко с использованием другого субъекта, расположенного ИС, как правило, возможно только с использованием другого ИС, ИС, как правило, возможно только с использованием другого Осуществление доступа субъекта к удаленному объекту из иного сегмента как правило, возможно только с использованием дру ИС,каккак правило,возможно возможно только использованием другого ИС, правило, только с всже другого четкости руководств пользователей, эксплуатационной в том сегменте распределенной ИС,субъекта, чтосубъекта, и объект до-что расположенного виспользованием том же сегменте распределенной ИС, что ии объек объе расположенного том распределенной ИС, ИС, как правило, возможно только с сегменте использованием другого субъекта, расположенного в же том же сегменте распределенной документации, инструкций). ступа. Например, доверие между клиентом и сервером ИС, что и расположенного в том же сегменте распределенной ИС, что и объект доступа. расположенного в том жеНапример, сегменте распределенной ИС, что и объект доступа. Например, доверие между клиентом и сервером для различны доверие между клиентом сервером для различных расположенного в томНапример, же сегменте распределенной ИС, ичто ии объект доступа. дляиразличных сетевых протоколов уровня приложений доверие между клиентом сервером для разл Например,доверие довериемежду между клиентом исервером сервером различных сетевых Например, клиентом длядля различных сетевых Методы защиты протоколов уровня приложений FTP, SSH, Telnet и др. протоколов уровня приложений FTP, SSH, Telnet и др. Например, доверие между клиентом и сервером для различных сетевых FTP, SSH, Telnet и др. протоколов уровня приложений FTP, SSH, Telnet и др. протоколов уровня приложений FTP, SSH, Telnet идоверия др.между протоколов уровня приложений FTP, SSH, Telnet и др. Отношение доверия между сегментами и BB распределе Отношение доверия сегментами Для защиты ресурсов распределенных Отношение между сегментами АА ии протоколов уровняцентрализоприложений FTP, SSH, Telnet и др. Отношение доверия между сегментами А и распредел B распр Отношение доверия между сегментами А иB Bраспределенной распределенной ИС ОтношениеИСдоверия между сегментами А и ИС распределенной ИС определяется подмножеством пар ванных и децентрализованных широко применяютопределяется подмножеством пар TA,B ={(a,b)} S(A)×S(B), где S(A S(A Отношение доверия между сегментамипар А иT B={(a,b)} распределенной ИС определяется подмножеством S(A)×S(B), где A,B ={(a,b)} S(A)×S(B), где определяется подмножеством пар T A,B S(B) , где ––субъся методы определяется на определяется основе отношений доверия, консенсуса, подмножеством парTA,BT={(a,b)} S(A)×S(B),где гдеS(A), S(A), S(B) – подмножеством пар S(A)×S(B), A,B={(a,b)} субъекты сегментов B. Если (a,b) субъект может ={(a,b)} S(A)×S(B), где S(A), S(B) получит –получи определяется подмножеством пар субъекты сегментов АTАA,B ииB. (a,b) TTA,B ,,то субъект aaможет A,B то субъект сегментов B. Если криптографической защиты. В частности, важными субъекты ААЕсли иaиB. Если (a,b) TтоA,B , то субъект субъекты сегментов и объектам B. Если (a,b) Tсегментов , Вто субъект a может получить доступ субъекты сегментов А иАB. Если (a,b) Tекты ,A,B то субъект может получить доступ к к а a может по A,B объектам сегмента В посредством субъекта b [2]. сегмента посредством субъекта b [2]. субъекты сегментов А и B. Если (a,b) T , то субъект a может получить доступ к может получить доступ к объектам сегмента В посредсредствами безопасности, используемыми при передаA,B объектам сегмента В посредством субъекта b [2]. объектам сегмента В посредством субъекта b [2]. объектам сегмента В посредством субъекта b [2]. аспекте управления доступом доверие доверие рассматривается рассматривается [2]. доступом ствомсубъекта субъекта че/хранении данных, объектам являются электронная ВВ аспекте управления сегмента Вцифровая посредством b [2].
В аспекте управления доступом доверие рассматрива аспектеуправления управления доступом доверие рассматривается мера В Васпекте доступом доверие рассматривается каккак мера готовности стороны некоторой относительной уверенностью пр стороны аа сс некоторой относительной уверенностью пр В аспектеготовности управления доступом доверие рассматривается как уверенность мера готовности стороны а с некоторой относительной готовности стороны сстороне некоторой относительной уверенностью предоставить готовности стороны а са некоторой относительной уверенностью предоставить стороне b запрашиваемый доступ, несмотря на возможные b запрашиваемый доступ, несмотря на возможные готовности стороны астороне с некоторой относительной уверенностью предоставить b несмотря запрашиваемый доступ, несмотря на возможнн сторонеb bзапрашиваемый запрашиваемый доступ, возможные негативные стороне доступ, несмотря на навозможные негативные последствия (то есть принимая в расчет возможный ущерб отдействий действий последствия (то есть принимая в расчет возможный ущерб стороне b запрашиваемый доступ, несмотря на возможные негативные 3от DOI:10.21681/2311-3456-2020-01-02-07 (то естьущерб принимая вдействий расчетстороны возможный последствия есть принимая в расчет возможный ущерб от стороны последствия (то(то есть принимая впоследствия расчет возможный от действий b, b,ущерб от дейс не согласующихся с заявленной ролью). не согласующихся с заявленной ролью). последствия (то есть принимая в расчет возможный ущерб от действий стороны b, не согласующихся с заявленной ролью). согласующихся с заявленной ролью). не не согласующихся с заявленной ролью). Методы на основе отношений доверия между субъектами ИСф Методы на основе отношений доверия между субъектами ИС не согласующихся с заявленной ролью). Методы намежду основе отношений доверия между субъектами Методы основе отношений доверия субъектами фактически Методы на на основе отношений доверия между субъектами ИСИС фактически являются способом формализации отношений пользователей и должны являются способом формализации отношений пользователей и должны Методы на основе отношений доверия между субъектами ИСпользователей фактически и дол являются способом формализации отношений являются способом формализации отношений пользователей и должны позволять: являются способом формализации отношений пользователей и должны позволять:
Информационная безопасность информационных систем с элементами... В аспекте управления доступом доверие рассматривается как мера готовности стороны а с некоторой относительной уверенностью предоставить стороне b запрашиваемый доступ, несмотря на возможные негативные последствия (то есть принимая в расчет возможный ущерб от действий стороны b, не согласующихся с заявленной ролью). Методы на основе отношений доверия между субъектами ИС фактически являются способом формализации отношений пользователей и должны позволять: -- проверить уровень доверия пользователя (объекта доверия); -- узнать, кто является «доверителями» пользователя, которые присвоили ему такой уровень доверия; -- не допускать подделки пользователем своего уровня доверия; -- не допускать подделки чужого уровня доверия другими пользователями; -- управлять возможностью доступа пользователя в зависимости от его уровня доверия (например, предоставлять доступ, если текущая оценка уровня доверия пользователя превышает некоторый установленный порог). Существует много подходов к оценке уровня (степени) доверия. В частности, решение об уровне доверия пользователя может приниматься на основании данных централизованной службы (центра), выступающей в качестве доверенной стороны, либо самостоятельно субъектами доверия, например, на основе мониторинга действий пользователя в системе, опыта прошлых взаимодействий с ним, сведений об оценках других пользователей (с учетом репутации этих пользователей). В качестве простой оценки уровня доверия может использоваться, например, взвешенная сумма положительных отзывов об участнике от других участников, умноженных на коэффициент доверия к тому, кто этот отзыв оставил. Ряд вычислительных моделей репутации/ доверия приведен, например, в [6, 7, 8, 9]. Один из общих подходов к управлению доступом к ресурсам гетерогенной распределенной ИС состоит в следующем: -- осуществляется разбиение ИС на локальные сегменты (компоненты) монолитные с точки зрения механизмов разграничения доступа; -- определяются множества необходимых информационных потоков между компонентами и внешних информационных потоков, которые должны быть реализованы для обеспечения функционирования ИС и управления доступом пользователей к ресурсам ИС; -- в каждом локальном сегменте (компоненте) определяются с учетом действующих механизмов/средств управления доступом локальные модели разграничения доступа; -- определяются условия, гарантирующие возможность сопряжения моделей разграничения доступа всех взаимодействующих между собой сегментов, формируется предоставление одних моделей в терминах других;
4
-- формализуются процедуры предоставления субъектам необходимого авторизованного доступа к ресурсам разных сегментов ИС на основе отношений доверия и в соответствии c согласованными между собой локальными политиками разграничения доступа сегментов ИС; -- формируется на основе интеграции полученных результатов общая объединенная модель управления доступом к ресурсам ИС. Наряду с отношением доверия для защиты ресурсов в распределенных системах с элементами децентрализации можно использовать также алгоритмы консенсуса, соответствующим образом адаптированные для применения в корпоративной среде [10,11,12]. Создание блоков может не требовать доказательства работы (proof-of-work) [13]. Вместо него, для консенсуса могут использоваться алгоритмы консенсуса с аутентифицированными участниками, в которых участники заранее известны и аутентифицированы, например, Practical Byzantine Fault Tolerance (PBFT) [14], основанный на обмене данными между узлами и подходящий для работы в доверенных сетях, например таких как внутрикорпоративные или межорганизационные блокчейны. Другой пример – протокол создания блоков, используемый в BitShares. В подобных алгоритмах у каждого обработчика транзакций есть пара ключей – закрытый и открытый. Создатели блоков известны и определяются по цифровой подписи блока. Реализация подобного подхода применительно к модели системы учета профессиональных компетенций граждан и траекторий их развития предложена, например, в [15]. Кроме того, в качестве средств защиты для реализации механизма управления доступом к ресурсам распределенных ИС используются также средства аутентификации, авторизации, цифровые подписи, сертификаты, регламентирование назначения и контроля полномочий и др. В частности, аутентификация пользователя может быть основана на следующих принципах: -- предъявление пользователем пароля; -- предъявление пользователем доказательств, что он обладает секретной ключевой информацией; -- предъявление ответов на некоторые тестовые вопросы; -- предъявление пользователем некоторых неизменных признаков, неразрывно связанных с ним; -- предоставление доказательств того, что пользователь находится в определенном месте в определенное время; -- установление подлинности пользователя некоторой третьей доверенной стороной, в частности, на основании сертификата открытого ключа. Для распределенных корпоративных ИС типичными являются модель доверительных междоменных отношений по принципу строгой иерархии или модель с реверсивными сертификатами. В первой модели каждый пользователь изначально имеет и доверяет только сертификату корневого удостоверяющего центра (УЦ). Доверительные отношения пользователей устанавлива-
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.53 Оценка эффективности систем информационной безопасности 004.94 ются только через корневой УЦ и цепочку находящихся между ними УЦ. Модель с реверсионными сертификатами отличается тем, что нижестоящий УЦ может создавать сертификаты для вышестоящего удостоверяющего центра. Каждый пользователь изначально доверяет только открытому ключу того УЦ, в котором он зарегистрирован. Любая цепочка сертификатов будет начинаться с сертификата локального УЦ и заканчиваться сертификатом УЦ конечного пользователя. Пользователи, находящиеся в одном домене, могут напрямую взаимодействовать друг с другом через сертификат их общего УЦ. Недостатком этой схемы является то, что при взаимодействии пользователей из разных доменов требуется обработка достаточно длинной цепочки сертификатов. Для решения данной проблемы нужна установка прямых доверительных отношений между соответствующими УЦ. В качестве средств защиты ресурсов распределенных ИС следует упомянуть также средства обеспечения конфиденциальности и целостности передаваемых данных (криптографические методы шифрования, электронной цифровой подписи, имитовставки, хэширования). Конфиденциальность обеспечивается с помощью алгоритмов и методов симметричного и асимметричного шифрования, а также путем взаимной аутентификации абонентов на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарткарт и т.п. Целостность/подлинность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной цифровой подписи, имитовставки, хэширования. Заключение Одним из современных направлений исследования возможности реализации методов защиты для распре-
деленных корпоративных сетей с элементами децентрализации является технология корпоративного (эксклюзивного) блокчейна, когда обработка транзакций осуществляется определенным списком лиц или компаний, чьи личности установлены и имеют соответствующий допуск к информации. Корпоративный блокчейн создает структуру управления, которая отличается прозрачностью, адаптивностью и гибкостью по сравнению с открытой системой. Он более востребован в тех областях, где требуется решение специфических бизнес-задач. В этом случае можно создавать новые блоки без доказательства работы. Вместо него используются алгоритмы консенсуса с участниками прошедшими аутентицифкацию. При этом любой обработчик транзакций имеет пару ключей (открытый и закрытый). В рамках корпоративного блокчейна реализуются криптография на эллиптических кривых, хеширование и алгоритмы работы блокчейна (связка блоков (хэш каждого блока записывается как компонент следующего блока), адресация транзакций (отслеживаение транзакций, например, с помощью учетные записи верифицированных и авторизованных участников), подтверждение транзакций (включение их в состав блока), нахождение консенсуса. Получает развитие также технология корпоративного сайдчейна, позволяющая токенам и другим цифровым активам одного блокчейна безопасным образом использоваться в другом блокчейне и затем (в случае необходимости) быть возвращенными в оригинальный блокчейн. Концепция сайдчейнов, как отдельных блокчейнов с двусторонней привязкой к родительскому блокчейну, предполагает возможность создания в будущем широкой сети множества сплетенных между собой блокчейнов, у каждого из которых будет свой протокол, правила и набор функций.
Литература 1.
Гайдамакин Н.А. Теоретические основы компьютерной безопасности – Екатеринбург: Уральский государственный университет им. Горького А.М. – 2008. – 212 с. 2. Иткес А.А. Управление доступом к ресурсам распределенных информационных систем на основе отношений доверия: диссертация ... кандидата физико-математических наук: 05.13.19 / Иткес А.А.; [Место защиты: Моск. гос. ун т им. М.В. Ломоносова]. Москва, 2010. 151с. 3. Иткес А.А. Объединение моделей логического разграничения доступа для сложноорганизованных распределенных информационных систем // Проблемы информатики. 2010. № 1. С. 85-95. 4. Иткес А.А. Реляционная модель логического разграничения доступа // Интеллектуальные системы. Теория и приложения. 2016. Т. 20. № 4. С. 49-54. 5. Васенин В.А., Иткес А.А., Шапченко К.А., Бухонов В.Ю. Реляционная модель логического разграничения доступа на основе цепочек отношений // Программная инженерия. 2015. № 9. С. 30-31. 6. Губанов Д.А. Обзор онлайновых систем репутации/доверия // [Электронный ресурс]. URL: http://www.mtas.ru/search/search_ results_ubs_new.php?publication_id=18622&IBLOCK_ID=10. 7. Голован С.В. Эффект забывания в теории коллективной репутации. 1999. М.: Российская экономическая школа. 38 с. 8. Ермаков Н.С., Иващенко А.А., Новиков Д.А. Модели репутации и норм деятельности. 2005. М.: ИПУ РАН. – 67 с. 9. Новиков Д.А., Чхартишвили А.Г. Прикладные модели информационного управления. 2004. М.: ИПУ РАН. 130 с. 10. Герасимов И.Ю., Чижов И.В. Алгоритм консенсуса платформы Tendermint и механизм Proof Of Lock Change // International Journal of Open Information Technologies. 2019. Т. 7. № 6. С. 24-29. 11. Иванова Г.С. Анализ алгоритмов консенсуса в блокчейн-системах // Технологии инженерных и информационных систем. 2019. № 1. С. 35-44.
DOI:10.21681/2311-3456-2020-01-02-07
5
Информационная безопасность информационных систем с элементами... 12. Музыченко В.А. Организация индекса распределенной поисковой системы, работающей по алгоритму консенсуса BFT // Моделирование, оптимизация и информационные технологии. 2019. Т. 7. № 3 (26). / [Электронный ресурс]. URL: https://moit. vivt.ru/?page_id=9992&lang=ru. 13. Can we afford integrity by proof-of-work? Scenarios inspired by the bitcoin currency / J. Becker [et al.] // The economics of information security and privacy. Berlin, Heidelberg: Springer, 2013. P. 135-156. 14. Lamport L., Shostak R., Pease M. The Byzantine generals problem // ACM Transactions on Programming Languages and Systems (TOPLAS). 1982. Vol. 4. No. 3. P. 382–401. 15. Новиков С.П., Михеенко О.В., Кулагина Н.А., Казаков О.Д. Цифровизация учета профессиональных компетенций граждан на основе технологий распределенных реестров и смарт-контрактов // Бизнес-информатика. 2018. № 4 (46). С. 43-53.
Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор Московского государственного технического университета им. Н.Э. Баумана, г. Москва, Россия. E-mail: a.markov@bmstu.ru
INFORMATION SECURITY OF INFORMATION SYSTEMS WITH ELEMENTS OF CENTRALIZATION AND DECENTRALIZATION Kruglikov S.V.5 , Dmitriev V.А.6 , Stepanian A.B.7 , Maksimovich E.P.8 Annotation: The article is dedicated to the issues of protecting the resources of complex, territorially distributed information systems that incorporate the elements of centralization and decentralization. To protect the resources of distributed centralized and decentralized information systems, methods based on trust relationships, consensus, cryptographic security are widely used. Special attention is given to the mechanisms of logical distinction of subjects’ access to remote objects belonging to other components (segments) of distributed information security. Protection means used to implement the mechanism of managing the access to the resources of the distributed information systems are provided as well as the principles of user authentication. The specifics of the security problems arising in this case and the main approaches to their solutions are discussed taking into consideration a set of local segments (components) that differ by access subjects and objects, criticality of the data processed and access management models. Keywords: access management, event analysis, cryptographic protection, information integrity, information resource segmentation, distributed information systems, entities and access facilities.
References 1. 2. 3. 4.
Haidamakin N.A. Teoreticheskie osnovy komp'juternoy bezopasnosti – Ekaterinburg: Ural’skij gosudarstvennjij universitet imeni Gor’kogo A.M. 2008. 212 s. Itkes A.A. Upravlenie dostupom k resursam raspredelennyh informatsionnyh sistem na osnove otnoshenija doverija: dissertatsiya ... kandidata phiziko-matematicheskih nauk: 05.13.19 / Itkes A.A.; [Mesto zashchity: Mosk. gos. un-t im. M.V.Lomonosova]. M., 2010. 151 s. Itkes A.A. Ob»edinenie modelej logicheskogo razgranichenija dostupa dlja slozhnoorganizovannyh raspredelennyh informatsyonnyh sistem // Problemy informatiki. 2010. № 1. S. 85-95. Itkes A.A. Reljatsyonnaja model’ logicheskogo razgranichenija dostupa // Intellektual’nye sistemy. Teorija I prilozhenija. 2016. Т. 20. № 4. S. 49-54.
5
Sergey Kruglikov, Dr.Sc., Deputy General Director for Research and Innovation of the United Institute of Informatics Problems of the National Academy of Sciences of Belarus, Minsk, Belarus. E mail: kruglikov_s@newman.bas-net.by
6
Vladimir Dmitriev, Ph.D., Head of laboratory of the United Institute of Informatics Problems of the National Academy of Sciences of Belarus, Minsk, Belarus. E-mail: vladdmitr@newman.bas-net.by
7
Ararat Stepanian, Ph.D., Leading Researcher of the United Institute of Informatics Problems of the National Academy of Sciences of Belarus, Minsk, Belarus. E-mail: ararat@newman.bas-net.by
8
Elena Maksimovich, Ph.D., Leading Researcher of the United Institute of Informatics Problems of the National Academy of Sciences of Belarus, Minsk, Belarus. E-mail: maksimovich@newman.bas-net.by
6
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.53 Оценка эффективности систем информационной безопасности 004.94 5. 6. 7. 8. 9. 10. 11. 12.
13. 14. 15.
Vasenin V.A., Itkes A.A., Shapchenko K.A., Buhonov V.Ju. Reljatsyonnaja model’ logicheskogo razgranichenija dostupa na osnove tsepochek otnoshenij // Programmnaja inzhenerija. 2015. № 9. S. 30-31. Hubanov D.A. Obzor onlaynovyh sistem reputatsii/doverija // [Electronic resource]. – URL: http://www.mtas.ru/search/search_ results_ubs_new.php?publication_id=18622&IBLOCK_ID=10. Golovan S.V. Effekt zabyvanija v teorii kollektivnoj reputatsii. 1999. М.: Rossijskaja ekonomicheskaja shkola. 38 s. Ermakov N.S., Ivashchenko A.A., Novikov D.A. Modeli reputatsii i norm dejatel’nosti. 2005. М.: IPU RAN. 67 s. Novikov D.A., Chkhartishvili A.G. Prikladnye modeli informatsionnogo upravlenija. 2004. М.: IPU RAN. 130 s. Gerasimov I.Yu., Chizhov I.V. Algoritm konsensusa platformy Tendermint i mehanizm Proof Of Lock Change // International Journal of Open Information Technologies. 2019. Т. 7. № 6. S. 24-29. Ivanova G.S. Analiz algoritmov konsensusa v blokchejn-sistemah // Tehnologija inzhenernyh in informatsionnyh sistem. 2019. № 1. S. 35-44. Muzychenko V.A. Organizatsyja indeksa raspredelennoj poiskovoj sistemy, rabotayushchej po algoritmu konsensusa BFT // Modelirovanie, optimizatsija i informatsionnye tehnologii. 2019. Т. 7. № 3 (26). / [Electronic resource]. URL: https://moit.vivt.ru/?page_ id=9992&lang=ru. Can we afford integrity by proof-of-work? Scenarios inspired by the bitcoin currency / J. Becker [et al.] // The economics of information security and privacy. Berlin, Heidelberg: Springer, 2013. P. 135-156. Lamport L., Shostak R., Pease M. The Byzantine generals problem // ACM Transactions on Programming Languages and Systems (TOPLAS). 1982. Vol. 4. No. 3. P. 382–401. Novikov S.P., Miheenko O.V., Kulagina N.A., Kazakov O.D., Tsifrovizatsija ucheta professional’nyh kompetentsij grazhdan na osnove tehnologiy raspredelennyh reestrov i smart-kontractov // Biznes-informatika. 2018. № 4 (46). S. 43-53.
DOI:10.21681/2311-3456-2020-01-02-07
7
Повышение безопасности эксплуатации значимых объектов критической...
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ С ИСПОЛЬЗОВАНИЕМ ПАРАМЕТРИЧЕСКИХ МОДЕЛЕЙ ЭВОЛЮЦИИ Кубарев А.В.1, Лапсарь А.П.2, Федорова Я.В.3 Цель статьи: разработка метода повышения безопасности значимых объектов критической информационной инфраструктуры в условиях нештатного режима их эксплуатации, вызванного деструктивным информационным воздействием. Методы: синтез диффузионной марковской модели исследуемого объекта в параметрическом виде; анализ имеющихся способов и математических моделей оценки состояния сложных технических систем и выбор оптимальной. Полученный результат: на основе известного аппарата диффузионных марковских процессов в работе предложен оригинальный метод оперативной оценки состояния значимых объектов критической информационной инфраструктуры в процессе их функционирования для повышения безопасности их эксплуатации. Повышение оперативности оценки достигнуто путем разделения процесса оценки на два периода, при этом наиболее трудоемкий и длительный процесс получения базовых решений эволюционных уравнений, моделирующих поведение исследуемого объекта, проводится заблаговременно. Вычисление стохастических характеристик объекта критической информационной инфраструктуры, характеризующих его техническое состояние, проводится непосредственно при обнаружении деструктивного воздействия на основе полученных ранее базовых решений. Полученная оценка технического состояния позволяет спланировать меры по повышению безопасности объекта. В работе также рассмотрен процесс синтеза эволюционных уравнений, описывающих поведение объекта исследования в параметризованном виде, получения их базовых решений, а также алгоритм реализации предложенного метода. Результаты проведенного исследования могут быть использованы при разработке технических заданий (частных технических заданий) на модернизацию систем безопасности объектов критической информационной инфраструктуры. Ключевые слова: сложный технический объект, деструктивное воздействие, марковские модели, эволюционные уравнения, базовые решения, оценка состояния, оперативность оценки.
DOI:10.21681/2311-3456-2020-01-08-17 Введение В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 5 декабря 2016 г. №646, отмечается, что информационные технологии стали неотъемлемой частью всех сфер деятельности личности, общества и государства. При этом расширение областей применения информационных технологий, являясь фактором развития экономики и повышения производительности труда, одновременно порождает новые информационные угрозы, реализация которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка [1‑ 4].
Одним из основных негативных факторов, влияющих на состояние информационной безопасности Российской Федерации, является наращивание рядом зарубежных стран возможностей информационно-технического воздействия на информационную инфраструктуру в военных целях. Большинством развитых зарубежных стран создаются специальные формирования, задачей которых является осуществление компьютерных атак на критическую информационную инфраструктуру противника. При этом ущерб, который они могут нанести часто бывает сравним с ущербом, наносимым традиционными средствами поражения. Именно поэтому в последние годы регулярно проходят учения зарубежных силовых структур, на которых от-
1
Кубарев Алексей Валентинович, преподаватель АНО ДПО «Учебный центр «Эшелон, г. Москва, Россия. E-mail: mr.kubarev@gmail.com
2
Лапсарь Алексей Петрович, кандидат технических наук, доцент, заместитель начальника отдела Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам, г. Ростов-на-Дону, Россия. E-mail: lapsar1958@mail.ru
3
Федорова Яна Владимировна, доцент кафедры «Информационных технологий и защиты информации», ФГБОУ ВО Ростовский государственный экономический университет (РИНХ), г. Ростов-на-Дону, Россия. E‑mail: fyv21@mail.ru
8
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.21, 681.518.22 (25)
Безопасность критической инфраструктуры
рабатываются тактики и приемы противодействия компьютерным атакам, а также осуществление таких атак. Кроме того, учитывая доступность средств проведения компьютерных атак и отсутствие необходимости наличия специальных навыков для их проведения, такие атаки активно проводятся преступными группировками и одиночными хакерами. Исходя из этого интенсивность, сложность и продолжительность деструктивного воздействия могут существенно различаться. Каждую неделю в средствах массовой информации появляются сообщения об успешной реализации компьютерных атак на объекты информационной инфраструктуры различных стран. Успешная реализация компьютерной атаки на объекты критической информационной инфраструктуры может в отдельных случаях привести к катастрофическим последствиям. В связи с этим обеспечению защиты таких объектов информационной инфраструктуры от угроз безопасности информации необходимо уделять особое внимание. В целях обеспечения устойчивого функционирования критической информационной инфраструктуры Российской Федерации при проведении в отношении нее компьютерных атак в 2017 году принят Федеральный закон «О безопасности критической информационной инфраструктуры». В соответствии с указанным Федеральным законом к критическим относятся информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети в сферах энергетики, топливно-энергетического комплекса, атомной энергии, оборонной, ракетно-космической, химической промышленности и других. Объекты критической информационной инфраструктуры, ущерб от нарушения функционирования которых в результате компьютерных атак имеет наибольшее значение, относятся к значимым объектам критической инфраструктуры информации (ЗОКИИ). Значимые объекты критической инфраструктуры различаются по назначению, свойствам, принципам работы, условиям функционирования, однако имеют ряд общих признаков и особенностей. Процессы, происходящие в ЗОКИИ, носят случайный характер, вызванный как внутренними процессами в объекте, так и воздействием внешних факторов: смежных систем, окружающей среды информационного пространства и иных. На них влияет широкий спектр многофакторных воздействий, связанных со спецификой их функционирования. Эти же воздействия оказывают влияние на информационно-управляющие системы ЗОКИИ, что приводит к тому, что процессы измерения и контроля являются нестационарными случайными процессами с априори неизвестными статистическими свойствами. Физические процессы и информационные деструктивные воздействий, предшествующих возникновению аварийной ситуации, нештатной ситуации и последующему нарушения штатного режима функционирования ЗОКИИ слабо изучены и не формализованы. Вместе с тем, в ЗОКИИ имеет место определенная параметрическая избыточность, что позволяет повысить надежность и безопасность их функционирования, а также обеспе-
DOI:10.21681/2311-3456-2020-01-08-17
чивает возможность оценки их состояния на некотором интервале времени [5,6]. Исходя из вышесказанного и учитывая, что ЗОКИИ состоят из большого числа разнородных элементов, блоков, подсистем, названные объекты необходимо рассматривать как сложные технические системы. Из теории систем известно [2,6,7], что система является сложной, если она состоит из большого числа взаимосвязанных и взаимодействующих между собой элементов (подсистем) и способна выполнять сложную функцию. Основной отличительной особенностью сложного объекта является то, что его отказ не наступает внезапно, а является следствием снижения качества и дрейфа показателей его функционирования за границы области допустимых значений. Однако построение единой универсальной модели оценки технического состояния ЗОКИИ, связанной со снижением заложенного при вводе в эксплуатацию ресурса, чрезвычайно затруднено. Широко используемые в теории надежности модели регрессии не отражают специфики функционирования ЗОКИИ [6-11]. Возникает проблема выбора или синтеза модели, учитывающей не только техническое состояние объекта, но и его взаимодействие с внешней средой и смежными системами. При этом необходимо учитывать возможность целенаправленного деструктивного воздействия на ЗОКИИ с целью нарушения режима его штатного функционирования [12-14]. Одной из основных задач, решаемых при эксплуатации ЗОКИИ является поддержание их функционирования с требуемой надежностью, безопасностью и готовностью к использованию по назначению, в том числе и при возникновении нештатной ситуации. Поскольку нештатная ситуация может развиваться на протяжении продолжительного времени, остро встает задача планирования поддержания ЗОКИИ в работоспособном состоянии в течение некоторого времени, необходимого для проведения мероприятий по нейтрализации негативных последствий. Известны случаи, когда продолжительность деструктивного воздействия на объект составляла несколько недель [12]. Результатами деструктивного информационного воздействия могут быть полный или частичный отказ объекта, нарушение штатного режима функционирования, ухудшение его качества, снижение эффективности системы безопасности объекта и другие. Кроме прямых потерь от нарушения штатного режима функционирования объекта следует учитывать и косвенные. К ним относятся репутационные потери, судебные издержки, расход ресурсов на отражение деструктивного воздействия и ликвидацию его последствий: расход времени, материальных средств, человеческих ресурсов, блокировка участков памяти и других. В работах по надежности важных и потенциально опасных технических объектов в качестве защиты от неисправности и усугубления последствий развития аварии предлагается прекращать работу объекта [7,8,10,13]. Такой подход возможен и применительно к ЗОКИИ, однако при этом должны быть учтены последствия остановки объекта и не только экономический
9
Повышение безопасности эксплуатации значимых объектов критической...
ущерб, но и социальные, политические, экологические дельных элементов, блоков и даже подсистем не всегда и другие последствия [2-4]. Потери от выхода из строя теряет работоспособность, зачастую только снижаются ЗОКИИ при аварии, вызванной деструктивным воздей- характеристики ее эффективности. Отказ ЗОКИИ следуствием, как правило, существенно выше, чем при реа- ет определять как событие, заключающееся в выходе лизации мер по предупреждению развития аварийной характеристик его функционирования за установленситуации: плановой остановке объекта, отключении от- ные пределы. дельных подсистем, проведении дополнительных мероДля формального описания нештатного режима эксприятий по обеспечению нормального функционирова- плуатации ЗОКИИ требуется выбрать или синтезировать ния объекта. соответствующую модель. Модель, используемая для Принятие решения о составе и объеме мероприя- решения задачи оценки технического состояния ЗОКИИ тий по купированию угроз информационной безопасно- в условиях нештатного режима эксплуатации, должна сти должно базироваться не только на оценке текущего быть максимально адекватной исследуемому объекту. состояния ЗОКИИ, но и на прогнозе развития аварий- Предъявляемому требованию наиболее соответствуют ной ситуации. Для этого требуется оценить состояние модели, синтезированные на основе диффузионных объекта на некоторый последующий период времени, (эволюционных) марковских процессов [6,16,17], кочто осуществляется на базе эффективных моделей. торые в настоящее время находят все более широкое Это особенно актуально для социально значимых объ- применение. В основе таких моделей лежит стохастичеектов, имеющих непрерывный цикл работы, таких как ское дифференциальное уравнение в форме Ито4: системы отопления, энерго и водоснабжения, очистdx = f x, t dt + g x, t dw t , ные сооружения, системы жизнеобеспечения и других. При этом следует отметить, что проблему обеспечения 6 6 и дифгде f x, t , g x, t – коэффициенты сноса безопасности функционирования ЗОКИИ в условиях денаходят все более широкое применение. В основе таких лежи w моделей – вифузии марковского процесса соответственно, структивного информационного воздействия не следует находят болееуравнение широкоев применение. неровскийвсе процесс. рассматривать в отрыве от обеспечения технической дифференциальное стохастическое форме Ито4: В основе так в форме Ито Отличительной надежности и безопасности объекта. Оценку состояния стохастическое t , уравнениемодеdx f дифференциальное x,особенностью t dt g x, t dwмарковских чтопозволяет объектов КИИ будем рассматривать в широком смыс- лей является отсутствие последействия, dx f x, t dt g x, t dwt , где – коэффициенты сноса и диффузии марковского процес f x, t ,ноg иx, t применять нештатного режима ле, то есть не только в текущий момент времени, где f x, t их , gв xусловиях сноса эксплуаи диффузии мар , t – коэффициенты соответственно, – винеровский тации, связанного процесс. с развитием аварийной ситуации. на некоторую перспективу, обусловленную спецификой w соответственно, винеровский процесс. w –марковских Отсутствие последействия означает, что при оценке отсутстви решаемых задач по эксплуатации ЗОКИИ [5,6,9,11,13]. Отличительной особенностью моделей является Отличительной особенностью марковских я поведения процесса в последующий момент временимоделей последействия, что позволяет применять их в условиях нештатного режим Выбор модели оценки состояния значимого объекта последействия, что позволяет применять их в условиях н существенным является только знание состояния этоэксплуатации, связанного с развитием аварийной ситуации. Отсутстви критической информационной инфраструктуры го процесса в настоящий момент Поведение эксплуатации, с времени. развитием аварийной ситу последействия означает, что присвязанного оценке поведения процесса в последующи диффузионного марковского процесса применительно В настоящее время известно множество моделей последействия означает, что при оценке поведения процес моментсложных временик существенным является толькоописывается знание состояния это конкретному ЗОКИИИ полностью его оценки технического состояния и надежности момент времени существенным является только знани процесса в настоящий момент времени. Поведение диффузионно технических объектов, к которым относятся и ЗОКИИ стохастическими характеристиками, то есть коэффипроцесса в настоящий момент времени. марковского процесса применительно к конкретному ЗОКИИИ полность циентами сноса, характеризующим среднее значениеПоведени [5,8,11,13-15]. Однако абсолютное большинство таких марковского процесса применительно к скорость конкретному ЗО локальной скорости, и диффузии – локальную моделей описывают штатную эксплуатацию техниче- его описывается стохастическими характеристиками, то ес описывается его стохастическими характеристик изменения дисперсии приращения марковского проского объекта и базируются на процессах регрессии. коэффициентами сноса, характеризующим среднее значение локально цесса. коэффициентами сноса, скорость характеризующим зн Поэтому все классические методы неприменимы скорости, виус- диффузии – локальную изменениясреднее дисперси ловиях деструктивного информационного воздействия скорости, и диффузии – локальную скорость изме приращения марковского процесса. Синтез параметризованной марковской из-за следующих особенностей возникающего при этом приращения марковского процесса. модели значимого объекта критической нештатного режима эксплуатации: информационной инфраструктуры Синтез объекта параметризованной марковской модели значимого объект -- дефицит времени на оценку состояния Синтез параметризованной марковской модели зн Рассмотрим использование диффузионных маркови принятие решения по выработке управляющихинформационной критической инфраструктуры критической информационной инфраструктуры скихиспользование процессов применительно к задаче оценки состоя- процессо воздействий; Рассмотрим диффузионных марковских Рассмотрим использование диффузионных марк ния ЗОКИИ в условиях нештатного режима эксплуатации, -- расширение области определения параметров применительно к задаче оценки состояния ЗОКИИ в условиях нештатно связанного с развитием аварийной ситуации, вызванобъекта в связи с их выходом за границы облаприменительно к задаче оценки состояния ЗОКИИ в усл режима эксплуатации, связанного с развитием аварийной ситуаци ной деструктивным информационным воздействием. сти допусков и возрастания параметрической режима эксплуатации, связанного с развитием ава вызванной деструктивным информационным воздействием. x t ∈ R rвоздействием неПусть вектор технического информационным состояния неопределенности; вызванной деструктивным ЗОКИ xt R r некоторого Пусть вектор технического состояниястохастическим которого ЗОКИИ описывается диффе-- существенное повышение уровня внутренних Пусть уравнением вектор технического состояния xt R r н ренциальным шумов и внешних помех, снижающих достоверописывается стохастическим дифференциальным уравнением описывается стохастическим дифференциальным уравнени ность оценки; dxt -- резкое возрастание динамической погрешности ( f л x, t gdx t,t nфf tx, , txt 0g xx,0t ,n t (1) л x , xt 0 x0 dt оценки даже при незначительном изменении пал л ф dt раметров объекта; – детерминированные функци где f л x, t R r , g л x, t R r Rrr r r – детерминиров -- необходимость оценки последствий принятых ре- гдегде f л x, t R , g л x, t R R – детерминисоответствующих аргументов, удовлетворяющие условию Липшица рованные функции соответствующих аргументов, удов-условию шений с целью исключения усугубления нештат- соответствующих аргументов, удовлетворяющие ной ситуации. f л x1 , t условию g л x1 , t L x2 x1 , L 0 , f л x 2 , tлетворяющие g л x 2 , tЛипшица ( f x , t f x , t g x , t g x , t L x Значимый объект критической информационной л 2 л 1 л 2 л 1 2 R r –от- формирующий нормальный белый шум с известным инфраструктуры как сложная системаnпри отказе ф t r — японский 4 Ито Киёси математик-статистик.
( ) ( ) () ( ) ( )
()
nф t R
10
– формирующий нормальный белый шу Nф t t M nф t1 nфT t 2 статистическими характеристиками: M2 nф t12 nфT 1 статистическими характеристиками: M nф t 0 , N ф – спектральная плотность шума. Вопросы кибербезопасности. 2020. № 1(35) M nф t 0 , N ф – спектральная плотность шума. Если в качестве отказа (нарушения работоспособности) объек Если в качестве отказа (нарушения работоспос принять выход хотя бы одного параметра xi t , i 1, r , за границ принять выход хотя бы одного параметра xi t , i 1
N критической информационной инфраструктуры ым воздействием. применительно к задаче оценки состояния ЗОКИИ в условиях нештатного a x, t N bx, t , U x, t 0 ванной марковской модели значимого объектапеременных с информационным развитием аварийной ситуации, Сделав замену t T s N, получим мотрим использование диффузионных марковских процессов описывается стохастическим дифференциальным уравнением вызванной деструктивным информационным воздействием. тами сноса, характеризующим среднее значение локальной r Рассмотрим использование диффузионных марковских процессов t x 2 x2 2 режима эксплуатации, связанного с развитием аварийной ситуации, некоторого ЗОКИИ x t R хнического состояния ационной инфраструктуры ионным воздействием. , , P x t P x t P x , t 1 к задаче оценки состояния ЗОКИИ визменения условиях нештатного N N r N t скорость dxоценки иьно диффузии – кПусть локальную некоторого ЗОКИИ вектор Очевидно, второму уравнению Фокк применительно состояния вдисперсии bxчто , t (1) , U (прямому) x, t 0 1 . (5) r задаче вызванной деструктивным воздействием. процессов aусловиях ,Rнештатного fтехнического , t g лаварийной x,ЗОКИИ t состояния nф t , xситуации, t0x,xttx0 2 пользование диффузионных марковских ским дифференциальным уравнением л xинформационным некоторого ЗОКИИ x t R стояния сплуатации, связанного с развитием t x 2 x марковского процесса. dt Колмогорова удовлетворяет плотность вероятности : p x , t режима эксплуатации, связанного с развитием аварийной ситуации, описывается стохастическим дифференциальным уравнением че оценкиУДК состояния втехнического условиях нештатного нциальным ЗОКИИ xt R r некоторого Пусть ЗОКИИ вектор состояния деструктивным информационным воздействием. Очевидно, что второму (прямому) уравнению Фоккера-Планкауравнением Безопасность критической инфраструктуры r xt r(25) r 004.21, 681.518.22 2 , (1) f x , t g x , t n t , x вызванной деструктивным информационным воздействием. dx t – детерминированные функции где f x , t R , g x , t R R л л ф 0 0 , p x t л с л , связанного развитием аварийной ситуации, r описывается стохастическим дифференциальным уравнением , (1) f x , t g x , t n t , x t x Колмогорова удовлетворяет плотность pt xp,tx,:t 1 b x, t p x, t , p x, t 0 раметризованной марковской модели л R значимого л 0 0 вероятности некоторого ЗОКИИ rфобъекта x t вектор технического состояния , a x некоторого xt Rусловию Пусть состояния аргументов, Липшица xинформационной t , xt вектор x0 детерминированные , технического (1) , t информационным nсоответствующих ным воздействием. tЗОКИИ x 2 x 2 2 dxt dt удовлетворяющие инфраструктуры функции xяй , tстохастическим Rфr R r 0 – дифференциальным уравнением , p x t 1 r r r x t значений параметра могут быть со ( ) , (1) f x , t g x , t n t , x t x описывается стохастическим уравнением ip л Липшица –, фt процессов где f л ,tx, t t RxRдифференциальным ,,rgt лнекоторого x,gtл Rмарковских RЗОКИИ функции x,допустимой ,1t ,0 p 0 граничных aдетерминированные x, xt 2p0 xТаким b x, t(2) t назначенных , p x, t 0 получены x . из(6) xдиффузионных хнического состояния образом, при условиях f x f x , t g x L x L 0 , отрим использование dt 2 л 2 л 1 л 2 л 1 dx t (2) отношений (4)-(6). Границы области опредеентов, удовлетворяющие условию – детерминированные функции xrt , x 2задачи, x dx t (1) f x , t g x , t n t , x t конкретной характеристики ЗОКИИ в момент выхода соответствующих аргументов, удовлетворяющие условию Липшица r r еским дифференциальным уравнением 0t , –xt нештатного r л f x,состояния ьно к nзадаче исходя из(1) требований предприятий, 0x,в0t R,nусловиях f, лgлxф, xЗОКИИ t , t g Таким при x0 ,ляются функции стандартов t лR лR ф образом, 0 детерминированные tгде Rоценки –л Липшица формирующий нормальный белый шум допустимых с известными назначенных граничных условиях, исходя из творяющие условию ф dt x , t g x , t g x , t L x x , L (2) области значений параметра dt могут быть п x t 2 связанного л 1 2 1 f rx, tлсоответствующих tсплуатации, проектныхi и эксr rf x саргументов, , 0t развитием f л0 1,xr 1 , t удовлетворяющие аварийной g лзадачи, x 2 , t (1) характеристики g лситуации, x1 условию , t технических L x 2 Липшица ЗОКИИ x1заданий , L 0в,(условий), (2)других g x , t n t t x конкретной момент выхода за границы л, x2– детерминированные функции t R , g x , t R R r r л л ф N плуатационных документов. ф где tеструктивным g л x1fнормальный ,ллt x, tLинформационным 0 ,R шум детерминированные функции x 2R,xgr1 л,белый xL, t воздействием. R (2) соотношений (4)-(6). Границы допустимой области определяют ующий с –допустимых известными nLфTxВt 2параметра xшум 0t 2,xизвестными , L условиях i t1 ,функционирования M n,фt t статистическими характеристиками: области значений могут получены 1белый – формирующий нормальный белый реальных объекта из ис n t R – формирующий нормальный с ющих аргументов, удовлетворяющие условию Липшица r f x , t f x , t g x , t g x (2) быть технических r r ф требований стандартов предприятий, заданий (усло лдетерминированные 2 лудовлетворяющие 1 xt Rл некоторого 2функции л 1 ЗОКИИ 2 1 2 соответствующих аргументов, условию Липшица технического состояния –шум x,вектор t R шум R с известными альный белый с статистическими известными N характеристиками: следования возникает необходимость решения уравнеф соотношений (4)-(6). Границы допустимой области определяются исходя из T r проектных и эксплуатационных документов. nf nлфxt1t,t 0R спектральная Nф ,плотность арактеристиками: ,фt tg1лngтребований x 2 , t M удовлетворяющие , gNлф–x–M tnусловию x1,tЛипшица белый с известными яментов, ф л стохастическим 2 ,формирующий (4)-(6) процесса фf x ,дифференциальным xtx121, ,tшума. Lt1L, 0x,2предприятий, xt2 2 уравнением t L2xнормальный g2 л xM1ний ,n(2) L шум 0n, фT втехнических (2)зависимости стандартов (условий), других объекта и tслучае t 2заданий t1 ,исследуемого статистическими л 2 t T f л x1N л характеристиками: m ф условиях функционирования фВt1 реальных 2 . Наиболее знаот некоторых параметров Если в качестве отказа (нарушения работоспособности) объекта dx t ω ∈Ω ⊂ R M n t n t t t ми: , 2 N r – формирующий нормальный белый шум с известными ф ф 1 2 2 1 проектных и эксплуатационных документов. тральная плотность шума. ф xgt, tлx10g,,tлNx2, Lt –nxспектральная tнормальный ,x1 x, tL0 0 x, плотность (1) xn1 ф, tt gRлстатистическими x2M–, tfnлформирующий (2) M возникает необходимость решения уравнений (4)-(6) в случае шум сn Tизвестными ф 0 , белый 2характеристиками: чимые для оценки работоспособности ЗОКИИ параметры n t t t t , шума. 2 1 объекта 1ф, r ,2 за границу принять выход хотяф бы одного параметра xi t ,ф i1функционирования dt ф В реальных исследования Nусловиях 2 шума. еность отказа (нарушения работоспособности) определяются начальными граничными параметров условиями, R исследуемого процесса от и некоторых T объекта ф r r r белый N рующий нормальный шум с известными 1 ф tплотность необходимость шума. Tзначимые nфункции внешней M, то nотказа nф (нарушения t 2M t 2решения t1 , работы возникает уравнений (4)-(6) в случаефункционировазависимости кими вG работоспособности) объекта бы Rодного характеристиками: –качестве детерминированные t статистическими , gлM x, n t фtR Если 0R ф вероятность 1плотность R допустимой области безотказной ЗОКИИ: N , – спектральная шума. спектральная средой, реальными условиями n t t t t характеристиками: , Д i , для оценки работоспособности ЗОКИИ параметры о ф i 1, r , Nза границу параметра xi t , объекта ф2 1 ф 2 2 1 рушения работоспособности) 2, i 1внешними ния объекта, воздействиями иmт.. п.Наиболее Длявнешней решеисследуемого процесса от некоторых R ющих аргументов, удовлетворяющие условию Липшица r, параметров r , за границу принять выход хотя бы одного параметра x t ф T i начальными и граничными условиями, средой, Если в,безотказной (нарушения объекта отказа P , st1шума. Pфплотность xотказа t G Д работоспособно,ЗОКИИ: tt s,tT xsработоспособности) G , G Д оценки R , (3) NфnR–1 ,спектральная ,M плотность MNкачестве nxза n t характеристиками: , Д задачи i 1 r , , границу параметра x t ф 2 2 1 то вероятность работы t 0 N , – спектральная шума. Если в качестве (нарушения ния состояния ЗОКИИ в условиях нештатi значимые ,i 12для оценки работоспособности ЗОКИИ параметры определяются ф ф условиями объекта, внешними воздействиям допустимой , то вероятность безотказной ЗОКИИ: x , t fсти) (нарушения ,i одного , t gвыход x 2 ,области t g л xG , Дtработоспособности) LRxодного ,параметра L 0 , объекта (2)режима i функционирования 1, rработы ,эксплуатации за внешней границу принять хотя xного лв л x1объекта лпринять 1бы 2r xи 1параметра выход к наиболее информативным i t , условиями, граничными средой, реальными оятность безотказной работы (нарушения работоспособности) объекта 2Pкачестве xЕсли t G Д в,отказа качестве t sшума. ,T xsотказа ЗОКИИ: Gначальными ,хотя G Д бы R , (3) ктральная плотность решения задачи оценки состояния ЗОКИИ в условиях нештат Д r 1Pxt G , , параметра за границу области параметрам следует отнести (3) свойства деструктивного i ∈1,нормальный rобласти ) , одного Дx,i,белый PN условиями s Rxдопустимой t s , T x s G , G R , i (tбы –принять формирующий шум с известными i 1 , r , , за границу ыход хотяxдопустимой t , то вероятность безотказной работы ЗОКИИ: Д Д Д функционирования объекта, внешними воздействиями и т. п.параметрам Для r G i эксплуатации к наиболее информативным след i 1 , r , , за границу выход хотя бы одного параметра x t s —G1японский , GД работоспособности) ,е tотказа 4sИто , T Киёси x(нарушения R , (3) объекта информационного воздействия, например его вид, инi Д математик-статистик. r в условиях нештатного режима решения задачи оценки состояния ЗОКИИ N свойства деструктивного информационного воздействия, напри G R 1 области , то вероятность безотказной работы ЗОКИИ: P x , s P x t G , t s , T x s G , G R , (3) , то вероятность безотказной работы ЗОКИИ: тенсивность, ф Д ,i области Д Д продолжительность, сложность, критичность T Дграницу iM вероятность 1n, r ,t за бы одного параметра xi NRt ,,эксплуатации G Д ,i допустимой то безотказной работы tинтенсивность, t1 , ЗОКИИ: кими характеристиками: наиболее информативным параметрам отнести критичность ф 1 nф t 2к 2 атакуемых узлов продолжительность, и управляемых ими следует процессов. r сложность, матик-статистик. Gработы 4 ИтоPКиёси tдеструктивного P1N, то x, sвероятность xP t G , t tsсвойства ,T x,s G , TG Дxs 2R r ,(3) информационного (3) Д Pxматематик-статистик. Д воздействия, например его вид, R безотказной ЗОКИИ: x , s s , G , G R — японский , (3) Названные параметры определяют значения коэфi N Д Дузлов Д и управляемых ими процессов. ,Д ,N ф – спектральная плотность шума. фициентов сноса и диффузии исследуемого процесса, интенсивность, продолжительность, сложность, критичность атакуемых r 7 Названные параметры определяют значенияа коэффициен s Pxt 4Ито G Киёси , t —sяпонский , T xs математик-статистик. G Д , G Д R , (3) также другие составляющие диффузионных уравнений. в качестве Дотказа (нарушения работоспособности) объекта узлов и управляемых ими процессов. исследуемого процесса, а также другие со 7 что процесс xдиффузии где где ни разу не значения выйдет t Тогда, PN PxN, s(x, -s )вероятность –параметра вероятностьтого, того, что процесс на основании (3) закоэффициентов сноса и x (t )границу японский математик-статистик. Названные параметры определяют 4 i 1 , r , , за ыход хотя бы одного x t i диффузионных уравнений. Тогда, на основании (3) Ито Киёси японский математик-статистик. ни— разу не выйдет за границы области... на интервале границы Gдопустимой Gисследуемого G где P того, что разу R- допустимой диффузии процесса, составляющие Д процесс Д ,1 GxДt, 2 ни Д , r не 1 вероятностьобласти N x, s xа, , sтакже за Ps,Txдругие Pвыйдет , t GД , t s, T x(7) , s G Д . G области , то вероятность безотказной работы ЗОКИИ: на интервале при условии, что в наs , T N 7 [ ] Д ,i матик-статистик. диффузионных уравнений. Тогда, на основании (3) при условии, что в начальный момент времени он находился в допустимой на интервале границы допустимой области он s, T G Днаходился G Д ,1 G 7 G чальный момент времени в Ддопустимой , 2 ... Д , r r Уравнения (4)-(6) в этом случае примут вид: был области PNтого, x, s что PGxпроцесс t то Gесть , xобъект tобъект , Tбыл xsисправен. GPД выйдет ,xG , x, t(3) Д Rзанаходился , Д , sон P GвД допустимой , t s, T x, s G Д . (7) исправен. области тность разу не t sни тоначальный есть N Д , ,в пригде условии, что момент времени не, s выйдет 2 PN x, , s того, что процесс разу за PN x, , s 1 xst ни P s - вероятность PДля N x, N x,скалярного r = 1 ) вероятность случая ( P x , ( ) , , a x s b x , , s , PN x Уравнения (4)-(6) в этомPслучае вид: N интервале s, Tчаст... области G ДGДДля G G Добъект G наx,sинтервале примут скалярного случая удовлетворяет r 1) вероятность , то области Д7,1есть , 2 ...был Д ,исправен. r на ( границы допустимой области G Д уравнению G Д ,1 G Д ,в2 G Д ,rNУравнения s x примут 2 вид: x 2 (4)-(6)s, вT этом случае удовлетворяет дифференциальному 2 , s PN1в)x,вчастных PNx,xs,, удовлетворяет s 1 PN x, , s дифференциальному начальный момент времени случая онуравнению находился допустимой Для скалярного ( rмомент вероятность ных производных ,он aпроизводных x, за s Pнаходился в допустимой bx, , s , PN x, , T 1 , (8) N японскийпри математик-статистик. условии, что в начальный времени ятность того, что процесс не выйдет xt ни разу 2 ∂xP,Ns(2x, ω , s ) ∂ 2 PN ( x s Pпроизводных x 2 ∂PN ( x, ω , s ) ,1 (8) объект был исправен. уравнению xP PN x, s в частных 1 N x, s N дифференциальному = a ( (4) + b ( x, ω , s ) x, ω , s ) исправен. области x,интервале s aна s,2Tb x2, s −x 2 ∂s й области G GGД , 1то есть G Д ,2 объект ... Gбыл 7 ∂x ∂x 2 о случая (Дr 1) Д ,вероятность P x s x, s x 1 , PN x, s s PNД,rx, sPNудовлетворяет N (4) PN x, s удовлетворяет Для скалярного случая (r11.в) допустимой вероятность b x s a x , s , (4) начальный момент времени он находился 2 2 при начальном условии P x , T - вероятность PN x, s производных уравнениюгде в частных s ∂PN ( xN, ω , s )того, x что 2процесс ∂PN ( x, ωx,xts) ни1 разу не ∂выйдет PN ( x, ωза, s ) уравнению в =частных производных объектдифференциальному был исправен. 2 − a x ω s + b x ω s , , , , ( ) ( ) Сделав замену переменных , получим t T s границы G Д2,r на интервале∂xs,2 T , PN ( x, ω , T ) = 1 PN xпри xдопустимой , s начальном , s 1 PN x,области P7 условии Д G Д ,1 G Д∂ , 2x ... 2 ∂T sPPN1xx,. s, s Gудовлетворяет 2 P x , s P x , s P b x s , ax,(sr 1N) вероятность 1 (4) N N N го случая x, tнаходился ,2xU, sx, t в1допустимой x,st , получим 1 Nчто bx, P s Nон xN,atxt2x,PsTNмомент (4)(5) Сделав замену причто условии, начальный времени x Pпеременных 2x,xtвt s процесс a b x , t . тность того, ни разу не выйдет за 0 2 s x x 22 уравнению в частных производных ∂ P x , ω , t ) = a x, ω , t ∂PN ( x, ω , t ) + ,1 b (9)x, ω , t ∂ 2 PN ( x tесть объект ии PN x, T области при 1. начальном PG x,,tто P PN (xx,был tT)x=исправен. 11 . 2 PN x, tx N ( N Д , условии 2 ) ( ) . bx, t s, T уравнению начальном xД,N,PTr Nна 1интервале x,PtNG второму 1. (5) ( , U x, t0 Фоккера-ПланкаG G a... что Д Очевидно, при G sx,,tусловии Д,21переменных Pобласти sполучим PДN,1замену N x, s переменных ∂x ∂x 2 2 xtx=, sT (прямому) 2rs, 1получим (4) x2 − скалярного (T ) получим вероятность PN x, s ∂tудовлетворяет axСделав ,ts TДля bx, s случая 2 Сделав замену переменных , t s 2он находился 8 Колмогорова удовлетворяет вероятности , t : момент x(прямому) 2второму s плотность уравнению ачальный времени Очевидно, Pдифференциальному P∂NPNxуравнению ,(tx, ω 1x что , t ) ввдопустимой ∂производных PN2 ( x, ωp,tx)Фоккера-Планка∂ 2 PN ( x, ω , t ) 1 N x, t частных , , P x t P x t P x t , 2 , a x t b x , t , U x , t 1 . (5) объект был исправен. =0вероятности a ( 1x, ω , PN ( x, ω , t0 ) = 1 N вии Колмогорова PN x, T 1. удовлетворяет 2 p2 x, Nt 2плотность Nx, t : +p22Pxx,b,tt(0xx,Ps, Nω b,xtx,)t,bsx,pt(5) 1,x.pt,) x, t. (5) x P 1∂xpx2 x, t ,,U ∂a(6) x2x, , t PN x, , t 1 bx, , t PN x, , xaPaNx,x∂tx,t,t s p xx, t N N 0 0 t 2 2 2 x, s 2 x bx, s (4) a1удовлетворяет случая ), t вероятность оопеременных второму( rt(прямому) уравнению st, получим x PsN x, sФоккера-Планкаp1xT что x 2 x 2 2, p x, t 0 Фоккера-Планка,xt pуравнению x 2p80 x .t (6) 2x, второму Очевидно, (прямому) , a t p x t b x x , t уравнению , P x t P x t , 1 вN частных производных воряет x,Pt, :назначенных Таким исходя из начальном t вероятности . 1 . граничных Ux,Txx2,,t0 x,1t2вероятности x,xt условии N pпри ,плотность axКолмогорова t при bобразом, (5)Ppxx,,t 2 p x, , t удовлетворяет :, t 1p x, , t 2 P x, ,t p x, , t 1 условиях, NP 2 2 плотность 2задачи, N, s N N a x t , , b x t , , , p конкретной характеристики ЗОКИИ в момент выхода за границы x 2 x P x , s P x , s P x 1 N N , t условиях, исходя 2 axs,,(4) bxt , , t из , PxN x, ,2t 0 1 , (9) N 1образом, при переменных граничных 2 ,назначенных aТаким x 2 pдопустимых x, t2bзамену второму xx,,ts(прямому) Сделав 1t p0T x, t pобласти x, bуравнению tpx,sxзначений t , p2 x,Фоккера-Планкаt 0tпараметра x . xполучим (6) . (10) x 2 x оsaконкретной могут быть получены из t 2P xa, tx, t pxx, t ЗОКИИ задачи, N, xp,tx, t 0за границы характеристики уравнению , ti p x,2tPвыхода p 0 x2известно, . (6) x 2xx что x вb1xbмомент второму P Как Очевидно, ФоккеN N x, t 2 творяет плотность вероятности : t, p(прямому) xa,ptпараметра t x 2 x t p x t , , , p t (5) плотность распределения стохас 1 , x x , t , U x , t 1 . x, ,из соотношений (4)-(6). Границы допустимой области определяются исходя . ии P x , T 1 области допустимых значений могут быть получены из x t 0 2 N м, при назначенных граничных условиях, исходя из i a xграничных является x,ω, tинформативной , b x, ,исходя t наиболее , pего ра-Планка-Колмогорова удовлетворяетxплотность t при 2 , t вероxусловиях, 0 p 0 x, .(10) характерист 2 Таким назначенных требований стандартов предприятий, технических (условий), соотношений t xзаданий 2решение переменных (sxобразом, других x 2из получим другие значимые для п допустимой области определяются исходя(8)-(10), из : Границы характеристики ЗОКИИ в, tмомент выхода за границы p1(4)-(6). ,, tполучим ) что второму (прямому) уравнению Фоккера-Планкаax,конкретной x, tt TОчевидно, t проектных pятности b x p x , t , p x , t p x . (6) 0 ЗОКИИ 0 2 характеристики в заданий момент (условий), выхода задругих границыстохастического процесса документов. 2 Как известно, плотность распределения x, tстандартов 2 1задачи, PN параметра предприятий, P x, t быть требований технических xзначений получены из xудовлетворяет иxbэксплуатационных последующей эксплуатации ЗОКИИ характеристики. плотность вероятности : p x , t i t Nмогут, U ax,области t Колмогорова x , t x , t 1 . (5) допустимых значений параметра могут быть получены из распределения xi tего информативной Ви эксплуатационных реальных условиях функционирования объекта исследования 0 наиболее Как известно, плотность стохастиче2 является характеристикой. Синтезировав проектных документов. м, при назначенных граничных условиях, исходя из 2 2 x x На базе решения уравнения (3) можно оцени Границы допустимой области определяются 1 из , p x t ского процесса является наиболее его информативной возникает необходимость решения уравнений (4)-(6) в случае зависимости соотношений (4)-(6). Границы допустимой области определяются исходя из решение (8)-(10), получим другие значимые для принятия решения о В реальных условиях функционирования объекта исследования характеристики ЗОКИИ в момент выхода за границы оов второму (прямому) уравнению Фоккера-Планка , , a x t p x t b x , t p x , t , p x , t p x . (6) надежность точкахполуинтервала оцен предприятий, технических заданий (условий), других 0 0ЗОКИИ в заданных m 2 (6) характеристикой. Синтезировав решение (8)-(10), требований стандартов предприятий, технических заданий (условий), других 2 t x . Наиболее исследуемого процесса от некоторых параметров R последующей эксплуатации ЗОКИИ характеристики. x возникает необходимость решения уравнений (4)-(6) в случае зависимости хворяет значений параметра xi t могут плотность вероятности p x, t :быть получены из числе и на некоторый последующий интервал времени тационных документов. чим другие значимые для принятия решения о последупроектных ипроцесса эксплуатационных документов. m (3) значимые для оценки ЗОКИИ параметры определяются Таким образом, при На назначенных граничных исходя из области, базе решения можно оценить параметрическую 2 . Наиболее исследуемого от работоспособности некоторых параметров Rусловиях, границ допустимой потенциальную опасно функционирования объекта исследования Границы допустимой области определяются исходя из уравнения ющей эксплуатации ЗОКИИ характеристики. .условиях 1 В реальных условиях функционирования объекта исследования начальными и граничными условиями, внешней средой, реальными конкретной задачи, характеристики ЗОКИИ в момент выхода за границы надежность ЗОКИИ в заданных точках интервала оценки состояния (в том , , b x , t p x , t , p x , t p x a x t p x t . (6) На базе решения уравнения (3) можно оценить па-назначить опт значимые для оценки работоспособности ЗОКИИ параметры определяются информационного воздействия на объект, 0 0 мость решения уравнений (4)-(6) в случае зависимости тов предприятий, технических заданий (условий), других 2 2 x x возникает необходимость решения уравнений (4)-(6) в случае зависимости условиями функционирования объекта, внешними воздействиями и т. п. Для области допустимых значений параметра могут быть получены из x t числе и на некоторый последующий интервал времени), время достижения m раметрическую надежность ЗОКИИ в заданных точках i начальными и параметров граничными условиями, внешней средой,ограничения реальнымина параметры функционирования. атационных документов. Наиболее ссапри от назначенных некоторых R . исходя м, граничных условиях, решения задачи оценки состояния ЗОКИИ виз условиях нештатного режима границ допустимой области, потенциальную опасность деструктивного Таким образом, при назначенных граничных услоинтервала состояния числе и на некото.Математическая Наиболее исследуемого процесса от некоторых параметров определяются Rиmоценки соотношений (4)-(6). Границы допустимой области исходя из(в том условиями функционирования объекта, внешними воздействиями т. п. Для постановка задачи оценки условиях функционирования объекта исследования и работоспособности ЗОКИИ параметры определяются характеристики ЗОКИИ в момент выхода за границы виях, исходя из конкретной задачи, характеристики ЗОрый последующий интервал времени), время достижеэксплуатации к наиболее информативным параметрам следует отнести информационного воздействия на объект, назначить оптимальные допуска и значимые для оценки работоспособности ЗОКИИ параметры определяются требований стандартов предприятий, технических заданий (условий), других решения задачи оценки состояния ЗОКИИ в условиях нештатного режима выглядит следующим образом. мость решения уравнений (4)-(6) в случае зависимости ничными условиями, внешней средой, реальными КИИ в момент выхода за границы области допустимых ния границ допустимой области, потенциальную опасзначений параметра могут быть получены из x t свойства деструктивного информационного воздействия, например его вид, ограничения на параметры функционирования. начальными и граничными условиями, внешней средой, реальными i m проектных и эксплуатационных эксплуатации квнешними наиболее информативным параметрам следует Рассмотрим отнести в некотором нормированном ирования объекта, воздействиями т. п. Для .и Наиболее есса от интенсивность, некоторых параметров Rдокументов. продолжительность, сложность, критичность атакуемых Математическая постановка задачи оценки состояния ЗОКИИ Границы допустимой области определяются исходя из условиями функционирования объекта, внешними воздействиями и т. п. Для В реальных условиях функционирования объекта исследования свойства деструктивного информационного воздействия, например его вид, уравнения эволюционные (ЭУ) в частных производны нкиработоспособности состояния ЗОКИИЗОКИИ в условиях нештатного режима ки параметры определяются узлов и управляемых ими процессов. выглядит следующим образом. ов предприятий, технических заданий (условий), других решения задачи оценки состояния ЗОКИИ в условиях нештатного режима возникает необходимость решения уравнений (4)-(6) в случае зависимости интенсивность, продолжительность, сложность, критичность атакуемых иболее информативным параметрамсредой, следуетреальными отнести аничными условиями, внешней марковский процесс технического состояния r - мерный Названные параметры определяют значения коэффициентов сноса и Рассмотрим в некотором нормированном пространстве W11 тационных документов. эксплуатации к наиболее информативным параметрам 0 DOI:10.21681/2311-3456-2020-01-08-17 иисследуемого управляемых ими процессов. ., Наиболее процесса отнапример некоторых параметров следует Rpmотнести ногоузлов информационного воздействия, его вид, нирования объекта, внешними воздействиями и т. п. Для x , t r диффузии исследуемого процесса, а также другие составляющие условиях функционирования объекта исследования свойства деструктивного информационного воздействия, например его вид, эволюционные уравнения (ЭУ) в частных производных характеризующие L p x , , t , p x , , t W, x X R Названные параметры определяют значения коэффициентов сноса и значимые для оценки работоспособности ЗОКИИ параметры определяются ,t должительность, сложность, критичность атакуемых нки состояния ЗОКИИ в условиях нештатного режима(3) t диффузионных уравнений. Тогда, на основании мость решения уравнений (4)-(6) в случае зависимости интенсивность, продолжительность, сложность, критичность атакуемых мерный марковский процесс технического состояния объекта r x t диффузии исследуемого процесса, а также внешней другие составляющие начальными и параметрам граничными условиями, средой,r реальными ими процессов. иболее информативным следует m , t отнести узлов и управляемых Pпараметров x, , sими Тогда, Pпроцессов. x , t G sвнешними , T x, s G Д где . оператор эволюционного уравнения L , t и –т. п.(7) . Наиболее сса от некоторых R N функционирования Д диффузионных уравнений. на основании (3) условиями объекта, воздействиями Для p x , , t r аметры определяют значения коэффициентов сноса и ного информационного воздействия, например его px,, t , px, , t W , x X R r , t T~ R1 , (11) L вид,
pω ( x, ω , t )
Повышение безопасности эксплуатации значимых объектов критической... ность деструктивного информационного воздействия на объект, назначить оптимальные допуска и ограничения на параметры функционирования. Математическая постановка задачи оценки состояния ЗОКИИ выглядит следующим образом. Рассмотрим в некотором нормированном пространстве W0 эволюционные уравнения (ЭУ) в частных производных характеризующие r ‑ мерный марковский процесс технического состояния объекта x t
()
∂ p ( x, ω , t ) ( r ) = Lω ,t { p ( x, ω , t )} , p ( x, ω , t ) ∈W , ∂t x ∈ X ⊂ R r , t ∈T ⊂ R1 ,
где
Метод получения базовых решений параметризованных уравнений эволюции Представим задачу (11) с граничными условиями вида (12) в виде одного точного операторного уравнения по аналогии с [6,18]
p ( x, ω , t ) − λ K (ω ) p ( x, ω , t ) = f ( x, ω , t ) , (13) f ( x, ω , t ) ∈W ,
( )
где K ω – линейный непрерывный оператор, (11) действующий в нормированном пространстве W ⊂ W0 , λ – некоторая постоянная, не являющаяся характеристическим значением оператора K ω для
(r )
Lω , t – оператор эволюционного уравнения:
(
ω = ω 0T , ω1T ,..., ω TL
)
T
1
( )
∈Ω = Ω0 × Ω1 × ... × Ω L1 ⊂
R m = R m0 × R m1 × ... × R априорный или апостериорный, T = T + τ . Оператор функция из W .
mL1
,
f ( x, ω , t ) – заданная
Полагаем, что по результатам решения первой
L(ωr ), t зависит от вещественного векторного параметра частной задачи может быть построено аналитикопараметрическое решение pω ( x, ω , t ) оператор-
ω,
принимающего значения из ограниченной выпуm клой многомерной области Ω ⊂ R . Искомое решение pω x, ω , t уравнения (11) для
(
всех ω ∈Ω ⊂ ям вида
R m подчинено дополнительным услови-
Γ j pω ( x, ω , t )
( x ,t )∈Si
)
( x ,t )∈Si
Si - некоторое многообразие в области
X × T , число измерений которого меньше r + 1 ,
φ j ( Si )
– заданная функция, определенная на много-
образии Si . В условиях нештатного режима функционирования ЗОКИИ получение информации о его текущем состоянии и оценка основных стохастических характеристик на некоторый период является необходимым условием предотвращения развития аварийной ситуации и безопасности его дальнейшей эксплуатации. Задача оценки стохастических характеристик состоит из двух частных задач: определение плотности распределения стохастического процесса pω x, ω , t и собственно вычисление требуемых характеристик. При этом первая частная задача, связанная с решением уравнений эволюции, является наиболее трудоемкой, требует существенных временных затрат, а также разработки нового метода решения для синтеза искомой плотности распределения процесса сразу в параметризованном виде.
(
12
)
ство
)
(
(13), то и вместо
Γ j – линейный непрерывный оператор, дей-
ствующий в W ,
(
( ) []
= φ j ( Si ) , i = 1, (12) L 0 , j = 1, L1
= φ j ( Si ) , i = 1, L 0 , j = 1, L1
где
ного уравнения (13), а затем определена совокупность искомых стохастических характеристик ЗОКИИ Yi ω = Fi pω x, ω , t , i = 1, M 0 , ω ∈Ω , где Fi ⋅ – ограниченные непрерывные функционалы. Поскольку вместо pω x, ω , t можно определить x, ω , t уравнения лишь приближенное решение p
{Y (ω )} i
M0
i =1
{Y (ω )} i
M0 i =1
)
(
)
вычисляется лишь семей-
приближенных стохастических харак-
теристик. Таким образом, необходимо с учетом принятых моделей и ограничений разработать метод оперативного оценивания стохастических характеристик ЗОКИИ как марковских параметрических систем с приемлемой точностью. По аналогии с [17-19] запишем приближенное уравнение (13) p x, ω , t − λ PK ω p x, ω , t = Pf x, ω , t , (14)
(
где
)
( ) (
)
(
)
P – непрерывный линейный оператор, проекти-
рующий
W на свое полное подпространство W .
Решение уравнения (14) считается приближенным решением исходного уравнения (13) и представляется ∞
в виде
p ( x, ω , t ) = ∑ ci (ω )γ i ( x, t ) , где γ i ( x, t ) ∈W i =1
Уравнение (14) представим в параметрическом (зависящем от параметра ω ) виде с использованием метода Галеркина [18,19]
Вопросы кибербезопасности. 2020. № 1(35)
найденных - узлы сетки. частн i Галеркина, cnj i a jk i cnjгде 1, n, i Коэффициенты 1, Nиз , (16) путем (18)cnj«усечения», записывае ib j i , j полученная ~ 1 PK ~ px,W , t . Pf x, , t , Суть предлагаемого метода состоит в том, что обл (14) дпространство k 1 ~ n, t , гдеобобщенных n затем интерполируются коэффицие ixразбивается p x, , t nдля ci нахождения уравнения (13) и представляется в виде 2 2 значений параметра на подобласти, в к узлы сетки. Коэффициенты найденных частных решений где c Решение уравнения (14)считается приближенным решением исходного W йный оператор, проектирующий на свое полное c c . (17) c j a jk c j b jnj , j 1, n, ni 1 l 2 k i ln2 .стр ~ b j , jот1параметра c j a jk n c jkквазипостоянным, , n, а cnзатем являются непрерывными которыезначение ~ 1функциями k 1 считается k ~ затем для нахождения обобщенных коэффициентов , c x, t интерполируются W . Уравнение i681.518.22 (14) представим в параметрическом (зависящем от k 1 n p x , , t c x , t авнения УДК (13) 004.21, и представляется вСуть виде , где Приближенное аналитическое бесконечной систем Безопасность критической инфраструктуры (25) предлагаемого i i состоит возможных метода в том, область Далее для решение каждого фиксированного уз мощностью N .что 14) считается приближенным решением iфункциями 1 метода Галеркина Суть предлагаемого метода состоит в том, что облас ) видеисходного спараметра использованием [18,19] параметра . которые являются непрерывными от параметра алгебраических уравнений (17) строится в виде ~ значений разбивается на подобласти, в каждой из которых решение соответствующей конечной системы линейн представим параметра x, t W . Уравнение параметрическом (зависящем ~ от ~ разбивается решение бесконечной системы линейных узлов , v1подобласти, ,(19) n , v 2 ,..., вn ка ,v сетка c~nзначений , c~аn2xзатем 0, ... n на p (14) x, Приближенное ,ct значение ci xi,вt x ,аналитическое t , считается тавляется в виде ~ где квазипостоянным, уравнений 1 Pf j квазипостоянным, 1,,02,,... ,,..., , t c,nnстроится , (15) D c D PK x ,tcnD j k j k k j k считается а затем стро значение алгебраических уравнений (17) строится в виде метода Галеркина [18,19] раметра ) виде с использованием i 1 n k 1 мощностью длягдекаждого узла ищется частное Nk .1 Далее - интерполяционная n , viфиксированного v - вектор коэф функция, . cДалее a... i i b j i , j узл 1, n , vN ,..., линейных xi,,vt,nдля ,.0, 0,каждого (19) c~D система c~n1(зависящем , c~функционалов, c~nn ,0(15) ,биортогональная 0, ... конечной мощностью 4) представим в параметрическом i cnjфиксированного nj jk , где n , v1 ,системы n базису nk n j nсоответствующей 2 ,...,от решение алгебраических 2 ,..., (15) ck D j k x, t ck D j PK k x, t D j Pf x, , ti ,1j, nрешение k 1 конечной системы .1,2Если в соответствующей качестве интерполирующей функциилинейны принять ьзованием метода Галеркина уравнений Основным , vi - интерполяционная где функция, коэффициентов, k 1 k 1 c k методом определения неизвестных коэффициентов n [18,19] i - вектор сетки. Коэффициенты гдетоv cnj найденны уравнений полином, решение (16) с учетом (19) i - узлы n DjD -PK x , t система функционалов, биортогональная базису . k n i 1 , n . Если в качестве интерполирующей функции принять степенной считается метод, заключающийся в составлении бесконечной системы N N N j 1 , 2 ,... D Pf x , , t , , (15) x , t v –k n (i ωинтерполируются , vb )j –ciинтерполяционная ,j v1,n, для cnj i a jk iгде , N ,функция, обобщенных коэ j k j k ki 1 cзатем nj θ нахождения i (18) a, , , ...j v 2ki cknj,..., v nkbi c k c~inограничением Основным методом определения неизвестных коэффициентов 1k их jkчисла j ,0 i ,0 i 1, , n, линейных алгебраических k (19) 1 с последующим nj полином, то решение (16) суравнений учетом k 1 k 1 1 k= которые непрерывными функциями функционалов, . k вx, tсоставлении налов, биортогональная базису где N N D j – система 1, nk.1Если в качестве интер- от параметр где заключающийся биортогональвектор коэффициентов, узлы найденных Коэффициенты частных решений cnjkявляются итается метод, бесконечной i - узлы Nсетки. iполином k k гдесистемы ~ сетки. Коэффициенты найденных c если интерполяционный Лагранжа, то Приближенное аналитическое решение бесконечной cn v1ограничением vnki ,0,0, ... , (20) ~ nj v 2 k ,..., нейных алгебраических уравнений с последующим ихk числа k ,для c k определения неизвестных коэффициентов затем интерполируются обобщенных коэффициентов ,то cn вN виде Nфункции Nстепенной k 1 k 1 нахождения 1 алгебраических уравнений (17) строится полирующей принять полином, ная базису γ k ( x, t ) . затем интерполируются для нахождения обобщенных коэфф ~ c c L , c L ,..., cnn,v ,k Lk , ающийся в Основным составлении бесконечной системы ~ ~ ~ ~ n n 1 k k n 2 k k если интерполяционный полином Лагранжа, то методом определения неизвестных коэф- решение (16) с учетом (19) . которые являются непрерывными функциями от параметра v 2,,0 c c , c ,..., c , 0 , 0 , ... n n kявляются n1 n 2 k 1 nn 1 1 k 1n от параметра которые непрерывными функциями N N N N N N уравненийфициентов с последующим ограничением их числа ck (ω ) считается метод, заключающийся в аналитическое решение линейных Приближенное k решение k бесконечной k kpc-L kинтерполяционная Nn cnn, vбесконечной где функция, Приближенное аналитическое алгебра,..., (ω ),0=,0,,системы c~n системы , cn 2 k Lk i ... cn1 v,1k (21) ω , v 2 k ω (20) ,..., ∑v iv nk-ω вект , 0,с составлении бесконечной линейных k Lkуравнений ∑ ∑ алгебраических (17) строится в виде n [ ] где Lkалгебраических k 1 k 1 k 1 уравнений (17) строится в виде ических уравнений с последующим ограничением их k = 1 k = 1 k = 1 i 1 , n . Если в качестве интерполирующей функции ~ c~ , c~ ,...,c~ ,0,0, ... p0 nk~, Nv ,..., n , vn ,0,0, ... , (19) 10Ncn n2 nn pn1 числа 1,p,nc~n2k,v 2(16) n , v1 , n , v 2 ,... c~Nnp cn1решение ,...,Nc~nn ,k0,0, ...(19) k k полином, то с учетом L где k c ω = v ω , v ω ,..., v ω , 0, 0, ... v гдеp 0n ,v интерполяционная функция, вектор коэффициентов, ( ) ∑ ∑ ∑ i [ n] Точность N nk N ЭУ для отрезка N 2 kпараметризованного 1kрешения , vi k =-1 i интерполяционная v i - вектор где k=(16) k ~ k =1 v k , функция, 1n c j a jk ck pbkj k , pj= 1,2,..., (16) k ,..., c v v ,0,0, . i 1 , n n . Если в качестве интерполирующей функции принять степенной 1k nk 1 2 k. соответственно 1 и i верхнее и нижнее значения k 1 1 , n . Если в качестве интерполирующей функции пр 2 k k k 1 1 Лагранжа , где решения параметризованного ЭУ для отрезка полином, то10решение (16) синтерполяционного учетом (19) 1 , 2 Лагранжа, 2 2 Точность если интерполяционный полином то 2 полинома оценивается выражением 10 если интерполяционный полином Лагранжа, то полином, то решение (16) с учетом (19) . . N N a jk , b j 1 и, k ,и нижнее cверхнее значения на основеN N k . соответственно, k N ~ N ,k 1 j =1 c k2a 1 c b v nk~N k ,0,0,d...2N,d1 kN G c v , v ,..., dN 1 k(20) k , (16) , j = 1 , 2 ,... ~ n jk Nv где (21) j интерполяционного k j ~ 1k 2k c 2 ,..., c L , c L ,..., c c v , v , 0 , 0 , ... полинома Лагранжа оценивается выражением [20,21] sup 2 c c n G max sup k 2 n n 1 k k n k k nn , n k ,1 2k nk c j k1 a jk ck b j , k 1j = 1,2,... N n k 1n k 1 (16)N k 41 1k k 1k N jk 1 k 1 1 ! Конечная система линейных алгебраических уравнений d метода N k 1 10 если полином тоN 2 2 интерполяционный G N Лагранжа, d c jполином 1 2 интерполяционный если Лагранжа, то ркина,где полученная (16) путем записывается a jk из b j c«усечения», N2 2,2d2 d1. .такN [18,19] p sup n2, c~cnk n G max sup , . (22) 2, N N N L ~10 jN N j ,k 1 a jk j =,1 b j c k 1 где , ckc . .c!1где 4L,k , N d k Lk , N,0c,0,... ,L(21) ~k kLk ,..., ck nn 2 n n 1 n k 0 p , (16) a c b , j = 1 , 2 ,... p n c c L ,..., cnn k L jk 2 j =1 kk11 k n j ,k 1 j n n 1 k k n 2 k k k 21 k 1 pkk1 Конечная система линейных алгебраических уравнений метода k 1c k 1 k 1 c . (17) acjk c b , j 1 , n , 2 ck n j j j l из (16) линейных N, jалгебраических (16) метода система a jkсистема линейных ck путем bалгебраических ,..., 10 Конечная n= 1 ,p2уравj полученная j k 1 k Конечная 1 уравнений 2Галеркина, «усечения», записывается такТочность [18,19] решения N p параметризованного ЭУ для отре k, 1 . .где Lk j предлагаемого bСуть нений ,Галеркина, 2 полученная ckметода из (16) путем «усечения», записывается так [18,19] L где где Галеркина, полученная из (16) путем «усевозможных метода состоит в том, что область 0 p k 1 и 122 pверхнее и нижнее значения . соответс k p 2 2 2 0 k p nj = 1,2,... a jkчения», ,, разбивается ckпараметра 2 n которых где kbc1j записывается b j так , [18,19] , на cподобласти, вкаждой .. p k ,(16) ений из k 1 k ck a c j k 1b j , j 1, n, cn l 2 интерполяционного полинома Лагранжа оценивается выр n .p k(17) j алгебраических k 1 считается j =1 jkn 2 2для отрезка , , где ма уравнений метода затем ениеj ,линейных ЭУ 1 узлов решения k2Точность 1 2 N cnn сетка c . (17) c j kквазипостоянным, 1 a jk c j Точность bаj ,решения j строится 1, n,параметризованного 2 k Точность решения параметризованного ЭУ для отрезк параметризованного 2 ln k 1 G Nот1 dЭУ путем такверхнее [18,19] d 2 на для .k Далее узла ищется частное ностью NcСуть 1основе ~ k .1записывается . линейных из (16) Конечная , «усечения», система , для каждого 2 возможных предлагаемого метода в том, что область алгебраических уравнений метода . 1 фиксированного и состоит и нижнее значения соответственно, sup 2 c c n G N max , ω 2 , где и верхнее и нижнее (17) резка Ω = ω , ω ω 1 верхнее 2] n [ ! . соответст 1 [18,19] и из иn1нижнее значения 2 k 1 2 которых j ение соответствующей системы линейных 1подобласти, 4 интерпоN возможных Суть предлагаемого метода состоит в том,алгебраических что область значений параметра на в значения каждой разбивается Галеркина, полученная изконечной (16) путем записывается так соответственно, на основе полинома ω ∈Ω . интерполяционного Лагранжа оценивается выражением [20,21] n«усечения», 2 2 интерполяционного полинома Лагранжа оценивается выраж нений значений параметра разбивается на подобласти, в каждой из которых а затем строится сетка узловЛагранжа оценивается значение ляционного полинома выражеcлинейных ck метода , j 1считается , n, cn квазипостоянным, уравнений 1N j b j алгебраических ln2 . ~(17) d N c j N 1 n d 2 d1 2 G N n k 1 квазипостоянным, 2 считается а затем строится сетка узлов значение нием [20,21] 2 мощностью Далее для каждого фиксированного узла ищется частное N.n записывается 1 d d 16) путем «усечения», так [18,19] sup n , G N~ max sup 2 N 1 . G(22) c,k (18) N acjk.j Далее . (17) c j cnj ,i n ,,n jcnc1,n n, c1возможных bj i1 ,2N ajk i cb i, каждого iсоответствующей nj j j sup c частное n 2 , G N max s ln2 линейных о метода состоит в том, что область 4 ! N n c n j 2 dN решение конечной системы алгебраических мощностью для фиксированного узла ищется N k 1 k 1 k 1 j 1 ! d 2 − d1 4 GN 1N Суть метода состоит том, что об- линейных 2 , (22) 2 в разбивается напредлагаемого подобласти, вn состоит каждой которых уравнений решение соответствующей конечной системы алгебраических c c n − ≤ sup ω ω 2 ( ) ( ) 2 виз узлы сетки. Коэффициенты найденных частных решений c возможных Суть предлагаемого метода том, что область n [ n] i b ,ласть ω разбива ln2 значений сетка ck njпараметра . (17) 4 N! я квазипостоянным, j Ω 1, nвозможных , cnазатем ω j строится узлов nk уравнений ~ значений параметра разбивается на подобласти, в каждой из которых нахождения 1 ется на подобласти, в каждой из которых значение ω c a c b , j 1 , n , i 1 , N , (18) м интерполируются для обобщенных коэффициентов , c узла i i частное i nj jk n i ищется nj j n d N c j (ω ) для каждого фиксированного квазипостоянным, а затем строится сетка узлов считается значение k 1 . считается квазипостоянным, а затем строится сетка узвозможных етода состоит в том, что область для от cnj a jkалгебраических G,N = max(18) sup i функциями i. , j 1, n, i 1, N i cпараметра nj i b j рые непрерывными щейявляются конечной системы линейных j узлы сетки. Коэффициенты частных решений где наiмощностью cnj найденных лов N. фиксированного мощностью .- Далее дляДалее фиксированного узла ищется частное N dω N ω k 1каждого збивается вкаждого каждой из которых подобласти, Приближенное решение бесконечной системыалгебраических линейных ~ узла ищется частное решение соответствующей решение соответствующей конечной системы линейных аналитическое узлы сетки. Коэффициенты частных где cnj конеч найденных азипостоянным, строится сетка узлов затем интерполируются для нахождения обобщенных коэффициентов cn решений , 11 i а - затем n браических уравнений (17) строится в виде Приближенное решение на основе степенного поной системы линейных алгебраических уравнений уравнений ~ фиксированного узла ищется частное a c b , j 1 , n , i 1 , N , (18) ~каждого ~ ~ ~ затем интерполируются для нахождения обобщенных коэффициентов , c i nj, cявляются i ,..., in ,0,0, ... функциями jk j c непрерывными . которые от параметра n линома с учетом (20) , v , , v ,..., , v , 0 , 0 , ... , (19) c решение на основе степенного полинома с учетом (20) n n n n n kконечной n1 n2 nn 1 2 Приближенное 1 системы линейных алгебраических (18) Приближенное аналитическое решение бесконечной системы c a c b , j 1 , n , i 1 , N , (18) n N . линейных которые являются непрерывными функциями от параметра nj i jk i nj i j i Коэффициенты v i решений функция, - вектор коэффициентов, частных cnj найденных ~ n , vi - интерполяционная (23) k 1 vik k i x, t , (2 p x алгебраических уравнений (17) строится в виде n , , tлинейных Приближенное аналитическое решение бесконечной системы ~найденных i 1 k 1 ~ ~ ~ ~ nдля . Если в качестве интерполирующей функции принять степенной нахождения обобщенных коэффициентов , c узлы сетки. Коэффициенты частных решений где c , vвиде , n , v 2 ,..., n , vn ,0,0, ... , (19) 1,,..., N,0,,0, строится cn1 ,, cnj2уравнений ... nj n nв ni bj(16) a jk i ic njcалгебраических n, cinn 1,(17) (18) 1 i а решение на основе интерполяционного полинома Лагранжа ном, то решение с учетом (19) ~ ~ ~ ~ . ерывными функциями от параметра затем интерполируются для нахождения обобщенных ,-v1 вектор , n , vа2 решение ,..., nc~ vна ,0n , ... (19) ,функция, 0,0, ... nv iкоэффициентов где n cn,v интерполяционная коэффициентов, n , N , интерполяционного n ,,0 n1 , cn 2 N ,...,cnn N основе полинома i - cN ~ эффициенты частных решений cnj ω найденных литическое решение бесконечной системы линейных kсетки. k kc (ω ) най~ . (2 p x , , t c L x , t где – узлы Коэффициенты Лагранжа n N n ni k k i которые функциями от параметра непрерывными v-1k , vинтерполирующей ,..., v nk ,0,0, ... ,v i - . принять качестве интерполяционная функция, вектор (20) коэффициентов, i являются 1где , n .cnЕсли степенной i (,i )vв n 2k ~ nj, функции i 1 k 1 ний (17) строится в виде . (24) k k k 1 1 1 нахождения обобщенных коэффициентов c pn ( xпринять , ω , t ) = ∑∑ cni ω (k ) Lk (ω ) γ i ( x, t ) Приближенное аналитическое решение системы линейных n полином, решение (16) с учетом (19) бесконечной , nто .частных в ,качестве функции степенной Оценка точности решения параметризованного ЭУ разработанны затем интерполируются для на,0,0, ... N, (19) от параметра , vрешений , vстроится ,...,интерполирующей ,вvnвиде ,..., ,денных c~nn 0i ,0,1... Если интерполяционный i =1 k =1 n полином n Лагранжа, n алгебраических уравнений (17) N2 . Nто 1 вными функциями k k k методом применительно к (23) и (24) производится по формуле [20, 21] полином, то c~решение (16) с учетом ω обобщенных ) , которые N Nn ] ( ~ ~ -коэффициентов , v 2 kc [(19) v ,..., ,0,0,... линейных вектор vn, ,0,0, ... , (19)(20) оляционная n,..., v ,..., , v,..., , ,,... хождения ,непрерывными функциями коэффициентов, Nc~cn1функция, c~nL ,0v,01k, ическое системы i cnn n N n ,nkvL n ,0 2 N... N ω 1 2 . ,0 от параметра Оценка точности решение c~n cn , c L c , (21) q ~решения параметризованного ЭУ 1 k k k 1 1 1 n1 kбесконечной являются k k n2 nn k k k k ~ I и (24) K 1 , (2 pвектор x, ,t , методом p x,(20) , применительно t , q I кP(23) kпринять c~kаналитическое v1Лагранжа, k, v nk, t коэффициентов, ,p 0,0x,,... (17) интерполирующей строится в- виде функция, k v 1 2vk бесконечk i1Приближенное разработанным тве функции степенной n1 полином если где интерполяционная -,..., k решение n , vинтерполяционный i то 1 q ~ ,0,0,N... k ,1v ,0,0, ... k 1уравнений k(17) 1 ной системы линейных алгебраических производится по формуле [20, 21] , v , , v ,..., , (19) (19) в n качестве n n N n nn 6) 1с, учетом p N 1 2 n . Если интерполирующей функции принять степенной N-тозаданное оператор. где ~N интерполяционный если полином Лагранжа, Li k строится в виде ,0,0,I...-единичный c c L , c L ,..., cnn k Lkчисло, , (21) N N n n 1 k k n 2 k k v ционная вектор коэффициентов, p k0функция, k k i полином, то решение (16) с учетом (19) N N N Соответственно для случая(25) справедлива оценка k v p,..., k 1 v 1k , v nk ,0,0, ...k 1 , (20)k 1 ~ , k1 cNn1 принять cn 2 N k Lk ,..., cnn k Lk ,0,0, ... n , (21) k kLNk интерполирующей степенной N функции k 1 pk k 1 c2kn~ k k ~ ~ pv , v k 1 k ЭУ 1 ,...,для k, 1,,t c v , 0 , 0 , ... (20) c c x , t ci i x, t . (2 p x p x , , t , , где Точность решения параметризованного отрезка L где n i ni i n 2k nk 1 2 k йучетом полином то k1 1k (19)Лагранжа, k 1 k 1 i 1 i n1 p 0 N k p p N значения N . то и 2интерполяционный верхнее иpNнижнее соответственно, на основе kполином если заранее задавая значение , характеризующее точнос k рполяционного k, vcгде LkN,..., Lkkv N pk,Лагранжа, (21)Таким образом, vL1kk ,kЛагранжа 0,c0nn , ... ,Nвыражением Lоценивается n2 k2 k полинома k ,0,0, ...(20) 0 pnk,..., [20,21] Точность решения параметризованного ЭУ для отрезка интегрирования (15), по1 , формулам (25), (26) находятся параметры сет k 1 k k 1 1 1 2 , где cn1 pk kLk , cnN2 c~n DOI:10.21681/2311-3456-2020-01-08-17 Lk ,...,интерполяции, cnn k dLkNc обеспечивающие ,0,0, ... , (21) 13 k G заданную точность расчетов. 1 kd1 параметризованного линомЛагранжа, то k значения на основе иd 2 нижнее jотрезка N 1 и ~1 верхнее k2c 1. соответственно, Точность 2 , , где решения ЭУ для 1 2 sup 2 c n G max sup , . (22) ~ N n N N N n px, , t для плотности вероятнос базе j На интерполяционного полинома выражением [20,21]на решения оценивается N 4 Лагранжа !,0, ... N dприближенного верхнее 2,..., . значения соответственно, основе p c иLнижнее , cn 2 k1 Lиk , 0 , (21) k k nn гдеk L1k N N получить аналитические зависимости для оцен несложно p x , , t d c j [20,21] d d1 G N 1оценивается интерполяционного p 0 k kp1~ c n ЭУ полинома c nдля 2 2 Лагранжа sup n, 2где sup , G N maxвыражением . (22)ЗОКИИ. Наиболее значимыми для оцен 1 , 2стохастических параметризованного отрезка характеристик N
{ } {
{ }
}
( )
Повышение безопасности эксплуатации значимых объектов критической... p ( x, ω , t ) − p ( x, ω , t ) ≤
( I − λ K (ω ))
q= λ ε I −P
q p ( x, ω , t ) , 1− q (25) −1
<1,
где ε – заданное число, I – единичный оператор. Соответственно для случая (25) справедлива оценка
p ( x, ω , t ) − p n ( x, ω , t )
≤
n
∑ c (ω ) − c (ω ) γ ( x, t ) i
i =1
+
ni
∞
∑ c (ω ) γ ( x , t )
i = n +1
i
(26)
i
.
i
Таким образом, заранее задавая значение ε , характеризующее точность интегрирования (15), по формулам (25), (26) находятся параметры сетки интерполяции, обеспечивающие заданную точность расчетов. x, ω , t для На базе приближенного решения p p x , ω , t несложно получить плотности вероятности аналитические зависимости для оценки стохастических характеристик ЗОКИИ. Наиболее значимыми для оценки состояния объекта, подвергнувшегося деструктивному информационному воздействию, можно считать вероятность безотказной работы в течение заданного времени, время достижения параметрами функционирования границ допустимой области, потенциальную опасность объекта после окончания воздействия [6-8, 14, 17]. На основе полученных стохастических характеристик можно оперативно принять решение о дальнейшем использовании объекта, выработать стратегию устранения последствий деструктивного воздействия и повышения устойчивости к таким воздействиям. x, ω , t найдем сеС учетом найденного решения p мейство оценок искомых приближенных стохастических
(
(
)
(
характеристик:
)
)
Yi (ω ) = Fi p ( x, ω , t ) , i = 1, M 0 .
Очевидно, что точность оценки складывается из двух со x, ω , t – решения ставляющих: точности получения p параметризованных ЭУ и точности вычисления стохастических характеристик, определяемой свойствами функци-
(
)
[]
оналов Fi ⋅ , i = 1, M 0 . Соотношения для искомых стохастических характеристик, представим в следующем виде (считая для простоты
Fi [⋅] линейными функционалами)
Yi (ω ) = Fi pω ( x, ω , t ) + ∆p ( x, ω , t )
= Fi pω ( x, ω , t ) + Fi ∆ p ( x, ω , t ) = Yi (ω ) + ∆Yi (ω ) .
14
(27)
Предложенный метод оценивания стохастических характеристик ЗОКИИ может быть положен в основу синтеза систем оценки состояния объекта, работающих в масштабе времени, близкому к реальному [17, 22, 23]. Алгоритм выработки управляющих воздействий для обеспечения функционирования ЗОКИИ в условиях нештатного режима эксплуатации Жизненный цикл ЗОКИИ условно разобьем на несколько этапов. 1. Предварительный этап начинается с момента создания объекта и внедрения на нем системы защиты от последствий нештатного режима эксплуатации. Основное содержание этого этапа состоит в накоплении информации о поведении характеристик объекта во времени в разных режимах его работы, исследование возможных деструктивных информационных воздействий на него и их последствий. Итогом данного этапа является синтез марковской модели ЗОКИИ в виде параметризованных эволюционных уравнений и оценка области определения параметров Ω . Здесь же осуществляется контроль состояния безопасности и оценка необходимости и состава мероприятий по модернизации ЗОКИИ. 2. Этап штатной эксплуатации – это основной этап. Он завершается в момент обнаружения деструктивного воздействия. Следует отметить, что после прекращения деструктивного воздействия и ликвидации его последствий штатная эксплуатация восстанавливается и данный этап продолжается. Основное содержание этапа – получение дополнительной информации о ЗОКИИ в параметризованной форме, уточнение модели объекта и базовых решений, расширение и корректировка области возможных деструктивных воздействий, исследование их свойств. 3. Этап нештатного режима эксплуатации начинается с момента обнаружения деструктивного информационного воздействия (ДИВ) специально созданной системой или получения информации о воздействии от смежного объекта или системы высшего уровня. На данном этапе производится оценка параметра воздействия, оперативное вычисление стохастических характеристик ЗОКИИ, принятие решения о его дальнейшей эксплуатации и формирование управляющих воздействий по восстановлению штатной эксплуатации объекта. Заключение В работе предложен метод повышения надежности и безопасности ЗОКИИ в условиях нештатного режима эксплуатации, вызванной деструктивным информационным воздействием. В качестве основы для разработанного метода был использован аппарат диффузионных марковских процессов. Модели на основе диффузионных марковских процессов позволяют решать задачи о достижении границ допустимой области случайным процессом функционирования ЗОКИИ, получать другие его характеристики, что дает возможность оценить состояние объекта и принять оперативное решение о его
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.21, 681.518.22 (25)
Безопасность критической инфраструктуры
дальнейшем использовании, принять дополнительные меры, направленные на повышение устойчивости его функционирования. Такие модели могут быть применены для уникальных высоконадежных объектов и построены даже по одной реализации. С учетом особенностей, вызванных необходимостью получения оценки состояния ЗОКИИ в масштабе времени, близком к реальному, решения эволюционных уравнений марковской модели получены в параметрическом виде. При этом сам процесс оценки состояния ЗОКИИ, то есть получения стохастических характеристик его функционирования, разбивается на два периода. На первом, включающем в себя первые два этапа жизненного цикла, обеспечивается формирование, хранение и уточнение базовых решений параметризованных эволюционных уравнений. Второй период реализуется в момент обнаружения деструктивного информационного воздействия. Базовые решения, полученные во время первого периода в аналитикопараметрическом виде, используются для оперативной оценки важнейших стохастических характеристик объекта, что, в свою очередь, позволяет принять обоснованное решение о дальнейшем использовании ЗОКИИ
и о составе дополнительных мер, направленных на повышение устойчивости его функционирования. Предложенный метод может быть применен для синтеза внедряемых на объектах ЗОКИИ систем безопасности. Системы безопасности, синтезированные с использованием разработанного метода и интегрированная в общую информационно-управляющую систему, разделяется на две подсистемы. От первой, реализующей первый период, не требуется высокого быстродействия. Она призвана обеспечить формирование базовых решений для оценки состояния сложных и уникальных объектов критической информационной инфраструктуры и может быть выполнена на основе стандартных стационарных ЭВМ и вычислительных комплексов. Вторая подсистема, обеспечивающая хранение базовых решений и оперативное получение оценки состояния объекта, может быть реализована в компактном и мобильном исполнении. В настоящее время материалы данного исследования используются в разрабатываемых технических заданиях на создание системы защиты от деструктивных информационных воздействий сложных промышленных объектов, классифицированных как ЗОКИИ.
Рецензент: Цирлов Валентин Леонидович, кандидат технических наук, доцент Московского государственного технического университета им. Н.Э. Баумана, г. Москва, Россия. E-mail: v.tsirlov@bmstu.ru
Литература 1.
2. 3. 4. 5. 6. 7. 8. 9.
10. 11. 12. 13.
14.
Зегжда Д.П., Васильев Ю.С., Полтавцева М.А., Кефели И.Ф., Боровков А.И. Кибербезопасность прогрессивных производственных технологий в эпоху цифровой трансформации // Вопросы кибербезопасности. 2018. №2. С. 2-15. DOI: 10.21681/2311-34562018-2-2-15 Госькова Д.А., Массель А.Г. Технология анализа киберугроз и оценка рисков кибербезопасности критической инфраструктуры // Вопросы кибербезопасности. 2019. №2. С.42-49. DOI:10.21681/2311-3456-2019-2-42-49 Колосок И.Н., Гурина Л.А., Повышение кибербезопасности интеллектуальных энергетических систем методами оценивания состояния // Вопросы кибербезопасности. 2018. №3. С. 63-69. DOI:10.21681/2311-3456-2018-3-63-69 Васильева В.И., Кириллова А.Д., Кухарев С.Н. Кибербезопасность автоматизированных систем управления промышленных объектов (современное состояние, тенденции) // Вестник УрФО. Безопасность в информационной сфере. 2018. № 4. С. 66-74. Северцев Н.А. Системный анализ и моделирование безопасности. М.: Высшая школа, 2018. 462 с. Пугачев В.С., Синицын И.Н. Теория стохастических систем. М.: Логос, 2000. 1000 с. Викторова В. С., Степанянц. А.С. Модели и методы расчета надежности технических систем. М.: Ленанд, 2014. 256 c. Острейковский В.А. Теория надежности. М.: Высшая школа, 2004. 462 с. Данилюк С.Г., Мурашко А.А. Применение вероятностно-лингвистического подхода при решении задач оценивания уязвимости систем обеспечения безопасности эксплуатации важных технических объектов // Известия Института инженерной физики, 2016 № 2. С. 5-10. Гурина Л.А., Зеркальцев В.И., Колосок И.Н., Коркина И.С., Мокрый И.В. Оценивание состояния электроэнергетической системы: алгоритмы и примеры линеаризованных задач. Иркутск: ИСЭМ СО РАН, 2016. 37 с. Лифшиц И.И., Фаткиева Р.Р. Модель интегрированной системы менеджмента для обеспечения безопасности сложных объектов // Вопросы кибербезопасности. 2018. №1. С. 64-71. DOI:10.21681/2311-3456-2018-1-64-71 Число DDoS – атак в 2018 году снизилось, но они стали сложнее [Электронный ресурс] https://www.itweek.ru/security/newscompany/detail. php?ID=205254 (дата обращения к ресурсу: 14.03.2019 г.). Братченко А.И., Бутусов И.В., Кобелян А.М., Романов А.А. Применение метода нечетких множеств к оценке рисков нарушения критически важных свойств защищаемых ресурсов автоматизированных систем управления // Вопросы кибербезопасности. 2019. №1. С. 18-24. DOI:10.21681/2311-3456-2019-1-18-24 Андрюхин Е.В., Ридли М.К., Правиков Д.И., Прогнозирование сбоев и отказов в распределенных системах управления на основе моделей прогнозирования временных рядов // Вопросы кибербезопасности. 2019. №3. С. 24-32. DOI:10.21681/2311-34562019-3-24-32
DOI:10.21681/2311-3456-2020-01-08-17
15
Повышение безопасности эксплуатации значимых объектов критической... 15. Пяткова Н.И., Береснева Н.М. Моделирование критических инфраструктур энергетики с учетом требований энергетической безопасности. // Информационные и математические технологии в науке и управлении. 2017. № 3. С 54-65. 16. Тихонов В.И., Миронов М.А. Марковские процессы. – М.: Советское радио, 1977. 488с. 17. Кочнев С.В., Лапсарь А.П. Синтез измерительно-управляющих систем для потенциально опасных сложных технических объектов на базе параметризованных марковских моделей // Проблемы безопасности и чрезвычайных ситуаций. 2014. №5. С. 77-85. 18. Канторович Л.В., Акилов Г.П. Функциональный анализ. – М.: СПб: BHV, 2017. 816 с. 19. Танана В.П. Методы решения операторных уравнений. – М.: Наука, 2015. 160 с. 20. Бахвалов Н.С., Жидков Н.П., Кобельков Г.М. Численные методы. – М.: Бином, 2011. 640 с. 21. Самарский А.А., Гулин А.В. Численные методы математической физики. – М.: Альянс, 2016. 432 с. 22. Гришко А.К., Лысенко А.В., Моисеев С.А. Прогнозирование и оптимизация управления процессов проектирования сложных систем в масштабах реального времени // Надежность и качество сложных систем. 2018. №1. С. 40-45. 23. Кудинов Ю.И, Келина А.Ю, Кудинов И.Ю., Пащенко А.Ф. Нечеткие модели и системы управления. М.: Ленард, 2017. 237 с.
INCREASE THE SECURITY OF IMPORTANT CRITICAL INFRASTRUCTURE USING PARAMETRIC MODELS OF EVOLUTION Kubarev A. V. 5, Lapsar A. P. 6, Fedorova Ya.V. 7 The purpose of the article is to develop a method to improve the security of important objects of critical information infrastructure in the conditions of non-standard mode of their operation caused by destructive information impact. Methods: analysis of available methods and mathematical models for assessing the state of complex technical systems and the choice of optimal; synthesis of diffusion Markov model of the object under study in parametric form. The result: the basis of the well-known apparatus of diffusion Markov processes, the paper proposes an original method of rapid assessment of the state of important objects of critical information infrastructure in the process of their functioning to improve the safety of their operation. Increasing the efficiency of evaluation is achieved by dividing the evaluation process into two periods, with the most time-consuming and time-consuming process of obtaining basic solutions of evolutionary equations modeling the behavior of the object under study, carried out in advance. Calculation of stochastic characteristics of the object of critical information infrastructure, characterizing its technical condition, is carried out directly upon detection of destructive impact on the basis of previously obtained basic solutions. The resulting assessment of the technical condition allows you to plan measures to improve the safety of the object. The paper considers the process of synthesis of evolutionary equations describing the behavior of the object of study in parameterized form, obtaining their basic solutions, as well as the algorithm for the implementation of the proposed method. The results of the study can be used in the development of technical specifications (private technical specifications) for the modernization of security systems of critical information infrastructure. Keywords: complex technical object, destructive influence, non-standard operation mode, safety, Markov models, evolutionary equations, basic solutions, condition assessment, score state, speed of assessment.
References 1. 2. 3.
Zegzhda D.P., Vasil`ev Yu.S., Poltavceva M.A., Kefeli I.F., Borovkov A.I. Kiberbezopasnost` progressivny`x proizvodstvenny`x texnologij v e`poxu cifrovoj transformacii // Voprosy` kiberbezopasnosti. 2018. №2. S. 2-15. DOI:10.21681/2311-3456-2018-2-2-15 Gos`kova D.A., Massel` A.G. Texnologiya analiza kiberugroz i ocenka riskov kiberbezopasnosti kriticheskoj infrastruktury` // Voprosy` kiberbezopasnosti. 2019. №2. S. 42-49. DOI:10.21681/2311-3456-2019-2-42-49 Kolosok I.N., Gurina L.A., Povy`shenie kiberbezopasnosti intellektual`ny`x e`nergeticheskix sistem metodami ocenivaniya sostoyaniya // Voprosy` kiberbezopasnosti. 2018. №3. S. 63-69. DOI:10.21681/2311-3456-2018-3-63-69
5
Alexey V. Kubarev, lecturer of the Educational center «Echelon», Moscow, Russia. E-mail: kubarev@gmail.com
6
Alexey P. Lapsar, Ph.D., associate Professor, Deputy head of the Department of FSTEC of Russia in the southern and North Caucasus Federal districts, Rostov-on-Don, Russia. E‑mail: lapsar1958@mail.ru
7
Yana V. Fedorova, the associate Professor of the Department «Information technologies and information protection» Department AT Rostov state economic University (RINH), Rostov-on-Don, Russia. E‑mail: fyv21@mail.ru
16
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.21, 681.518.22 (25) 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.
14. 15. 16. 17. 18. 19. 20. 21. 22. 23.
Безопасность критической инфраструктуры
Vasil`eva V.I., Kirillova A.D., Kuxarev S.N. Kiberbezopasnost` avtomatizirovanny`x sistem upravleniya promy`shlenny`x ob``ektov (sovremennoe sostoyanie, tendencii) // Vestnik UrFO. Bezopasnost` v informacionnoj sfere. 2018. № 4. S. 66-74. Severcev N.A. Sistemny`j analiz i modelirovanie bezopasnosti. M.: Vy`sshaya shkola, 2018. 462 s. Pugachev V.S., Sinicyn I.N. Teoriya stoxasticheskix sistem. M.: Logos, 2000. 1000 s. Viktorova V. S., Stepanyancz. A.S. Modeli i metody` rascheta nadezhnosti texnicheskix sistem. M.: Lenand, 2014. 256 c. Ostrejkovskij V.A. Teoriya nadezhnosti. M.: Vy`sshaya shkola, 2004. 462 s. Danilyuk S.G., Murashko A.A. Primenenie veroyatnostno-lingvisticheskogo podxoda pri reshenii zadach ocenivaniya uyazvimosti sistem obespecheniya bezopasnosti e`kspluatacii vazhny`x texnicheskix ob``ektov // Izvestiya Instituta inzhenernoj fiziki, 2016 № 2. S. 5-10. Gurina L.A., Zerkal`cev V.I., Kolosok I.N., Korkina I.S., Mokry`j I.V. Ocenivanie sostoyaniya e`lektroe`nergeticheskoj sistemy`: algoritmy` i primery` linearizovanny`x zadach. Irkutsk: ISE`M SO RAN, 2016. 37 s. Lifshicz I.I., Fatkieva R.R. Model` integrirovannoj sistemy` menedzhmenta dlya obespecheniya bezopasnosti slozhny`x ob``ektov // Voprosy` kiberbezopasnosti. 2018. №1. S. 64-71. DOI:10.21681/2311-3456-2018-1-64-71 Chislo DDoS – atak v 2018 godu snizilos`, no oni stali slozhnee [E`lektronny`j resurs] https://www.itweek.ru/security/news-company/ detail. php?ID=205254 (data obrashheniya k resursu: 14.03.2019 g.). Bratchenko A.I., Butusov I.V., Kobelyan A.M., Romanov A.A. Primenenie metoda nechetkix mnozhestv k ocenke riskov narusheniya kriticheski vazhny`x svojstv zashhishhaemy`x resursov avtomatizirovanny`x sistem upravleniya // Voprosy` kiberbezopasnosti. 2019. №1. S. 18-24. DOI:10.21681/2311-3456-2019-1-18-24 Andryuxin E.V. , Ridli M.K., Pravikov D.I., Prognozirovanie sboev i otkazov v raspredelenny`x sistemax upravleniya na osnove modelej prognozirovaniya vremenny`x ryadov // Voprosy` kiberbezopasnosti. 2019. №3. S. 24-32. DOI:10.21681/2311-3456-2019-3-24-32 Pyatkova N.I., Beresneva N.M. Modelirovanie kriticheskix infrastruktur e`nergetiki s uchetom trebovanij e`nergeticheskoj bezopasnosti. // Informacionny`e i matematicheskie texnologii v nauke i upravlenii. 2017. № 3. S 54-65. Tixonov V.I., Mironov M.A. Markovskie processy`. M.: Sovetskoe radio, 1977. 488s. Kochnev S.V., Lapsar` A.P. Sintez izmeritel`no-upravlyayushhix sistem dlya potencial`no opasny`x slozhny`x texnicheskix ob``ektov na baze parametrizovanny`x markovskix modelej // Problemy` bezopasnosti i chrezvy`chajny`x situacij. 2014. №5. S. 77-85. Kantorovich L.V., Akilov G.P. Funkcional`ny`j analiz. M.: SPb: BHV, 2017. 816 s. Tanana V.P. Metody` resheniya operatorny`x uravnenij. M.: Nauka, 2015. 160 s. Baxvalov N.S., Zhidkov N.P., Kobel`kov G.M. Chislenny`e metody`. M.: Binom, 2011. 640 s. Samarskij A.A., Gulin A.V. Chislenny`e metody` matematicheskoj fiziki. M.: Al`yans, 2016. 432 s. Grishko A.K., Ly`senko A.V., Moiseev S.A. Prognozirovanie i optimizaciya upravleniya processov proektirovaniya slozhny`x sistem v masshtabax real`nogo vremeni // Nadezhnost` i kachestvo slozhny`x sistem. 2018. №1. S. 40-45. Kudinov Yu.I, Kelina A.Yu, Kudinov I.Yu., Pashhenko A.F. Nechetkie modeli i sistemy` upravleniya. M.: Lenard, 2017. 237 s.
DOI:10.21681/2311-3456-2020-01-08-17
17
Применение адаптивного сенсорного интерфейса в приложениях...
ПРИМЕНЕНИЕ АДАПТИВНОГО СЕНСОРНОГО ИНТЕРФЕЙСА В ПРИЛОЖЕНИЯХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Жернова К.Н.1, Коломеец М.В.2, Котенко И.В.3 , Чечулин А.А.4 Цель статьи: разработка подхода к созданию адаптивных интерфейсов на основе сенсорных экранов для приложений информационной безопасности. Метод исследования: системный анализ современных «наилучших практик» для создания жестовых и графических интерфейсов, разработка собственного подхода и его экспериментальная проверка. Полученный результат: предложен подход к формированию сенсорных интерфейсов для визуального анализа в приложениях информационной безопасности, в частности анализа безопасности для устройств Интернета вещей. Предложены алгоритмы адаптации интерфейсов под конкретные задачи информационной безопасности и модели взаимодействия пользователя с интерфейсом на бизнес уровне и на уровне реализации. Представлены результаты экспериментов по восприятию пользователями жестов на примерах визуальной аналитики состояния иерархической централизованной сети встроенных устройств и децентрализованной сенсорной сети. Область применения предложенного подхода – создание адаптивных сенсорных интерфейсов, которые могут использоваться для повышения эффективности взаимодействия оператора с приложениями информационной безопасности. Ключевые слова: пользовательский интерфейс, графический интерфейс пользователя, сенсорный интерфейс, адаптивные интерфейсы, предиктивные интерфейсы, информационная безопасность, сенсорные экраны.
DOI:10.21681/2311-3456-2020-01-18-28 Введение Один из способов анализа безопасности основан на применении методов визуальной аналитики. Визуальная аналитика использует визуализацию данных для обнаружения событий, интерпретации инцидентов и выработки контрмер. В информационной безопасности визуализация данных имеет множество применений: контроль и разграничение доступа в различных моделях безопасности; анализ состояния сетей, образованных устройствами Интернета вещей (IoT-устройствами); анализ метрик безопасности и другие. Для решения задач такого рода используются различные модели визуализации, которые основаны на традиционных интерфейсах взаимодействия. Тем не менее, усложнение моделей визуализации требует новых форм взаимодействия, которые были бы более удобными для оператора и тем самым повышали бы скорость и качество принятия решений. Одним из таких решений являются интерфейсы на основе сенсорных экранов, однако они обычно не рассматриваются как инструмент взаимодействия аналитика и визуализации данных.
Другой проблемой является противоречие между реализованным функционалом и функционалом, необходимым пользователю для решения конкретных задач. Для решения этой проблемы применяются адаптивные и предиктивные интерфейсы, подстраивающиеся под конкретного пользователя и решаемую им задачу. В данной статье предлагается подход к формированию пользовательских интерфейсов на основе сенсорных экранов и распознавания жестов оператора и его применение для приложений информационной безопасности. Преимуществом данного подхода, в сравнении с традиционным, является повышение оперативности выполнения аналитики событий информационной безопасности, упрощение взаимодействия с моделями визуализации и повышение качества принятия решений. Для этого предлагаются модели взаимодействия пользователя и алгоритмы адаптации интерфейсов пользователя для решения задач информационной безопасности, связанных с управлением иерархической централизованной сетью встроенных устройств и визуализацией децентрализованной сенсорной сети.
1
Жернова Ксения Николаевна, аспирант, ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук, г. Санкт-Петербург, Россия. E‑mail: zhernova@comsec.spb.ru
2
Коломеец Максим Вадимович, младший научный сотрудник, ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук, г. Санкт-Петербург, Россия. E-mail: kolomeec@comsec.spb.ru
3
Котенко Игорь Витальевич, доктор технических наук, профессор, главный научный сотрудник и заведующий лабораторией проблем компьютерной безопасности, ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук, г. СанктПетербург, Россия. E-mail: ivkote@comsec.spb.ru
4
Чечулин Андрей Алексеевич, кандидат технических наук, ведущий научный сотрудник, ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук, г. Санкт-Петербург, Россия. E-mail: chechulin@comsec.spb.ru
18
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.51 Научная новизна данной работы заключается в (1) предложенном комбинированном способе реализации сенсорного интерфейса, основанного на адаптивной подстройке интерфейса под конкретного пользователя и решаемую задачу информационной безопасности и (2) использовании «наилучших практик» в разработке предиктивного жестового интерфейса. Вкладом данной работы является подход, включающий модели и алгоритмы адаптации сенсорного интерфейса под задачи информационной безопасности. Во второй части статьи проводится обзор релевантных работ из области визуальной аналитики информационной безопасности и интерфейсов взаимодействия. В третьей части предлагается подход к разработке адаптивного интерфейса для информационной безопасности, в том числе модели взаимодействия пользователя и компонентов визуализации, алгоритм адаптации и алгоритм соответствия интерфейса с «наилучшими практиками». В четвертой части описываются эксперименты по восприятию пользователями жестов на примерах визуальной аналитики состояния иерархической централизованной сети встроенных устройств и децентрализованной сенсорной сети. В пятой части рассматриваются достоинства и недостатки предлагаемого подхода и описываются дальнейшие направления работы. Обзор релевантных подходов Интерфейсы взаимодействия человека с компьютером тесно связаны с моделями визуализации. Так, в зависимости от решаемой задачи, используются различные типы моделей визуализации, от которых зависит реализация интерфейсов. Например, с помощью графов можно визуализировать компьютерную сеть [1], сканирование портов [2], атаки и их маршруты [3-5], также есть возможность моделирования сценариев атак [6]. При этом методы визуализации могут сочетаться между собой. Например, с помощью графа типа «дерево» можно изобразить физическую иерархическую топологию компьютерной сети, радиальное дерево можно использовать для визуализации атак, диаграммы Корда для одновременного представления физической и логической топологии, а матрицы для отображения доступности сегментов сети для атакующего [7]. Для контроля и разграничения доступа используются способы визуализации, показывающие отношения субъекта и объекта в той или иной модели прав доступа. Так, для дискретных моделей доступа используются матрицы [8]. Для моделей доступа Take-Grant ‑ графы [9], для иерархических моделей управления доступом на основе ролей (RBAC) ‑ TreeMaps [10]. Кроме того, существуют сложные модели визуализации, предназначенные для анализа в комбинированных моделях безопасности. Например, треугольные матрицы [11] применяются для визуализации как матриц, так и деревьев. Каждая из существующих моделей используется в конкретном случае анализа и управления правами доступа. Чем сложнее модель визуализации и чем сложнее анализ модели безопасности, тем более сложные методы взаимодействия необходимы оператору. Например, в [8] представлена матрица доступа, в которой
DOI:10.21681/2311-3456-2020-01-18-28
Мониторинг безопасности объектов применяются механизмы фильтрации и группирования субъектов и объектов. Для этого используются классические средства, например, выпадающие списки. В TreeMaps можно фильтровать данные, показав только определенную часть дерева [10]. Для этого, как правило, необходимо при визуализации кликнуть на отображение корня искомого поддерева. При анализе состояния сетей также используются графы, TreeMaps, матрицы и прочие модели визуализации [7]. Графы наиболее универсальны, и с их помощью можно визуализировать любую структуру сети [11]. TreeMaps подходят для визуализации иерархических сетей [3], а матрицы ‑ для сетей топологии «каждый с каждым» [1]. Также для сетей, которые могут образовывать планарные структуры, используются карты Вороного [12]. Это справедливо, например, для отображения самоорганизующейся сенсорной сети, топология которой была урезана до планарной для сохранения энергии и уменьшения интерференции [12]. Каждый метод имеет свои достоинства и недостатки, поэтому часто их совмещают [13]. Вышеперечисленные модели визуализации применяются во многих областях. Как уже упоминалось – чем сложнее задача и чем больше метрик нужно визуализировать, тем более сложной становится модель визуализации. Например, в [14] представлен подход к объединению моделей визуализации для того, чтобы отображать больше метрик. С другой стороны, чем более сложная модель, тем больше инструментов взаимодействия необходимо оператору. Например, при реализации 3D-моделей нужны инструменты, реализующие поворот и масштабирование. В перегруженных графах масштабирование также необходимо [13]. При этом часто стандартных инструментов может быть недостаточно, и вместо стандартного масштабирования применяется «рыбий глаз» и дисторсия Кортезиана [15]. Всё это ведет к перегруженности интерфейса и усложнению работы оператора-аналитика. При проектировании визуальных моделей рассматриваются только традиционные способы управления, основанные на использовании монитора, мыши, клавиатуры. Однако визуальную аналитику можно проводить также с помощью планшетов, смартфонов и других сенсорных устройств, поскольку они получают все большее распространение и обеспечивают большую мобильность оператора, например, на производстве. В работах, посвященных визуальной аналитике информационной безопасности, не рассматриваются подходы к работе на сенсорных экранах и их влияние на процесс визуального анализа и принятия решений информационной безопасности. Приложения анализа безопасности, имеющие сенсорный интерфейс, как правило, не используются. Мы рассмотрели немногие из них (например, «Network Scanner», «Net Analyzer» и «IP Tools») и выяснили, что жесты чаще всего ограничены касанием одного пальца (редко – двух), при этом взаимодействие с моделями визуализации также ограничено нажатием и перетягиванием. Так, интерфейсы многих современных приложений служат простой имитацией взаимодействия с компьютерной мышью. Для приложений информационной безопасности, ввиду сложности обрабатываемой информации и ком-
19
Применение адаптивного сенсорного интерфейса в приложениях... плексности и многоуровневости визуализации данных, может быть недостаточно одних стандартных жестов, имитирующих мышь и клавиатуру. Однако жесты также не должны быть слишком сложны для запоминания или неестественны для использования. Для использования таких жестов в интерфейсах безопасности в настоящей работе предлагается подход, включающий модели взаимодействия пользователя и компонентов визуализации, алгоритм адаптации и алгоритм соответствия жестов «наилучшим практикам». Предлагаемый подход Для понимания работы интерфейса приложений информационной безопасности следует обратиться к специфике интерфейсов данной предметной области. В информационной безопасности чаще всего присутствуют следующие элементы: -- использование цвета для разграничения по степени опасности (например, зелёный ‑ безопасный, жёлтый ‑ средняя опасность, красный ‑ высшая степень опасности); -- вложенность (вызов дополнительных деталей по требованию, например, показать параметры устройства на графе); -- большое количество данных, которые нужно обработать (например, маршруты трафика); -- ситуационная осведомленность (выдача пользователю актуальных данных с привязкой ко времени и месту, например, при мониторинге сети); -- визуализация обрабатываемых данных (например, представление различных топологий сети). Перечисленные элементы должны присутствовать в приложениях информационной безопасности, однако их визуальное представление и взаимодействие с ними может видоизменяться. Например, при частых сообщениях о рисках безопасности, помеченных красным цветом, пользователь может утомляться и начать их игнорировать. Данную проблему можно решить с помощью адаптивности интерфейса – через определенные промежутки времени изменять оттенок сообщения о тревоге в пределах красного цвета, например, использовать оттенок «маджента». Пользователь заметит изменения и вновь начнет обращать внимание на сообщения. Таким образом, адаптация интерфейса, то есть подстройка под нужды пользователя на основе его поведения при работе с приложением, также является необходимой частью его проектирования. Кроме адаптивных интерфейсов, также существуют предиктивные интерфейсы, которые предсказывают, какое действие пользователь совершит в следующий момент, а также какой дизайн интерфейса окажется наиболее удобным для пользователя на основе его поведения. Реализация предиктивного интерфейса возможна, например, на основе нейросетей или сбора статистики действий пользователя. Простой пример такого интерфейса – предиктивный набор текста, при наличии которого система запоминает слова и сочетания слов, чаще всего употребляемые пользователем. В данном разделе предлагается подход к построению адаптивного интерфейса приложений информационной
20
безопасности, который дает возможность пользователю подстроить систему взаимодействия с приложением с учетом своих предпочтений (“под себя”) и минимизировать необходимость подстраиваться самому. Для того чтобы понять, какое место интерфейсы занимают в процессе визуального анализа, необходимо определить модель взаимодействия человека и модуля визуализации. На уровне бизнес-логики модель выглядит следующим образом (рис. 1).
Рис. 1. Модель интерфейса на уровне бизнес-логики Данная модель предполагает взаимодействие пользователя с модулем визуализации через жесты, система будет обрабатывать команды пользователя, осуществляемые посредством жестов. При этом каждый конкретный пользователь имеет свои особенности, которые система также будет обрабатывать, поэтому в итоге будет формироваться не только визуальное представление, но и результат адаптации под конкретного пользователя. На уровне реализации модель выглядит, как показано на рис. 2. Данные поступают от компьютерной системы и загружаются в приложение, далее эти данные обрабатываются, отображаются и прорисовываются, чтобы получилась окончательная визуализация. При этом пользователь воздействует на изображение жестами, которые система обработает, выполнит адаптацию под особенности конкретного пользователя и видоизменит изображение в соответствии с заложенным функционалом. Как видно, ключевые элементы взаимодействия – это процессы вывода и ввода информации, осуществляющиеся при помощи визуализации и жестов соответственно. Для их адаптации процессы взаимодействия следует рассматривать на двух уровнях (направлениях) взаимодействия: (1) машины с человеком; (2) человека с машиной; Идея алгоритма адаптации состоит в самостоятельном комбинировании приложением жестов и функций, наиболее удобных для пользователя в процессе работы. Алгоритм адаптации интерфейса можно разделить на два этапа. Первый этап состоит из следующих шагов. 1. Подстройка в процессе инициализации под человека или группу. Этап инициализации обычно подразумевает вход пользователя в систему, определение уровня подготовки пользователя, выдачу актуальной на данный момент информации. В качестве «наилучших подходов» с этой точки зрения можно упомянуть следующие правила [16]:
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.51
Мониторинг безопасности объектов
Рис. 2. Модель визуализации с учетом жестового интерфейса -- фокусировка внимания пользователя на том, с чего нужно начинать (какие элементы нужно делать более крупными, выделение заголовков и т.п.); -- правильная группировка элементов из соображений схожести, близости, замыкания, связей между ними и преемственности (группировка похожих функций, отделение функциональных элементов друг от друга пространством и т.п.); -- визуализация первоочередной информации на начальной странице; -- отображение множества способов выполнения задачи (например, возможность входа в систему по почте, логину или номеру телефона); -- предоставление подсказки требуемых действий (обозначение обязательных и необязательных действий, как должен выглядеть результат действий и т.п.); -- помощь пользователям в обходе ошибок (например, отображение доступных вариантов, структурирование текстовых полей, отображение легкого способа выхода из опции, информативные сообщения об ошибках). 2. Глобальная подстройка может помочь преодолеть ряд проблем, обусловленных социокультурными различиями. Например, восприятие семантики цвета может быть разным в разных культурных средах, могут использоваться разные символы и пиктограммы для одних и тех же целей. Таким образом, кроме смены языка приложения, можно реализовать изменение цветовой гаммы интерфейса, порядка расположения окон и т.п. Такая подстройка также необходима при некоторых физических затруднениях, например, расстройствах цветового восприятия [17]. 3. Подстройка под функциональные обязанности. Целесообразно позволять пользователю выбирать вид интерфейса в соответствии со своими функциональными обязанностями, чтобы видеть детали, которые необходимы именно ему. Например, программист может запросить больше деталей, связанных с программным кодом. Специалист по информационной безопасности
DOI:10.21681/2311-3456-2020-01-18-28
может не обладать навыками программирования, однако ему будут важны детали по безопасности. 4. Подстройка под конкретного человека заключается в индивидуальной манере пользователя работать с приложением. Эта манера может выражаться в специфическом выборе наиболее удобных пользователю моделей визуализации, индивидуальном восприятии жестов сенсорного интерфейса, способе воспринимать и анализировать поступающую информацию. Также сюда входит наиболее часто используемый функционал приложения и запрашиваемая информация. Второй этап адаптации происходит в процессе работы. Его можно разделить на две составляющие. 1. Подстройка под взаимодействие со стороны компьютера касается визуализации информации, обрабатываемой программой. В качестве подстройки может выступать подбор наиболее комфортных для пользователя визуальных моделей, корректировка выбранной цветовой гаммы, подбор и настройка других сигналов, кроме визуальных, например, звуковых и вибрационных. При необходимости отражается более подробная информация, детали по требованию, подсказки и пр. На рис. 3 на основе представления диаграмм, созданных с помощью D3.js, продемонстрирован набор комплексных моделей визуализации, которые могут применяться для решения задач информационной безопасности. 2. Подстройка под взаимодействие со стороны человека касается того, каким образом человек сообщает свои намерения программно-аппаратной системе. На данном этапе система должна определять наиболее удобные пользователю жесты для определенных функций. Также она должна подстраиваться под исполнение жеста конкретного человека (например, различается время нажатия, пользователь может начать делать один жест, потом передумать и закончить другим). Особенностью сенсорных интерфейсов является взаимодействие через жесты. Жестовый интерфейс, как и графический, должен подчиняться принципу прямого взаимодействия [18], т.е. используемые жесты должны быть интуитивно понятны пользователю. Пример
21
Применение адаптивного сенсорного интерфейса в приложениях...
Рис. 3. Примеры диаграмм, созданных с помощью D3.js, которые могут использоваться в информационной безопасности
Рис. 4. Примеры простых и сложных жестов для сенсорных интерфейсов[19]
использования интуитивных жестов показан на рис. 4. Для улучшения жестов предлагается алгоритм, позволяющий создавать жесты в соответствии со своими «наилучшими подходами» [20-22]: (1) адаптация под мобильное устройство (изменение ширины страницы, размера текста и рисунков при изменении разрешения экрана, появление возможности листания либо прокручивания); (2) создание удобных для жестов графических элементов (крупные кнопки, прокручивающиеся элементы, изображения высокого разрешения, до-
22
статочное расстояние между интерактивными элементами); (3) использование стандартных жестов (нажатие, двойное нажатие, перетаскивание, листание, вращение, удержание и т.д.); (4) использование интуитивно подходящих для функции жестов; (5) отказ от традиционных жестов мыши (например, наведение); (6) создание элементов интерфейса, которые не будут перекрываться руками пользователя.
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.51 Применение Предлагаемые модели человеко-компьютерного взаимодействия были разработаны в качестве программного прототипа веб-приложения. Прототип был выполнен на языке JavaScript с применением языка разметки HTML5 и библиотек D3.js, hammer.js и свободно распространяемого пакета Bootstrap. Проект состоит из двух компонентов: компонента визуализации и компонента человеко-компьютерного взаимодействия. Визуализация представляет собой силовой граф, сформированный из заранее загруженных данных. Всего использовалось три набора данных. Набор 1 сформирован для визуализации имитационного моделирования децентрализованной сенсорной сети без усечения до планарности. В эксперименте использовались данные о симуляции децентрализованной сенсорной сети, состоящей из автономных устройств. В рамках моделирования учитывались следующие параметры устройств: заряд аккумулятора, уровень освещенности и звука. Некоторые из них находились вне помещения. Каждое устройство имеет критический уровень, рассчитанный на основе критичности активов [14], которые были расположены в этой области. Таким образом, потеря датчика означала бы потерю контроля над этим активом. Поскольку устройства являются автономными, они разряжаются, но их можно заряжать с помощью солнечных батарей. Наборы 2 и 3 сформированы для визуализации имитационного моделирования иерархической централизованной сети комплексной системы безопасности, содержащей встроенные устройства [23]. Встроенные устройства оснащены набором сенсоров, представляющие собой датчики движения, считыватель RFID, датчик горючих газов, датчик температуры, влажности и освещенности. Встроенные устройства подсоединялись к концентратору, осуществляющему сбор, нормализацию и предварительную обработку получаемых данных. Концентраторы подключались к серверу, который хранил, обрабатывал и анализировал сообщения безопасности от устройств и состояние этих устройств. В процессе анализа данных имелась возможность взаимодействия с визуализированной информацией посредством жестов на сенсорном экране. В прототипе реализованы следующие жесты: -- притягивание ближайшей вершины графа (устройства) и вызов контекстного меню для этой вершины при касании пальцем, выбор опции контекстного меню повторным касанием, причем выделение отдельных вершин и групп вершин реализовано через контекстное меню; -- перемещение трех пальцев влево/вправо – вызов/скрытие дополнительной информации (показать/скрыть MAС-адреса, уровень заряда, количество переданных сообщений и т.д.); -- касание четырех пальцев – изменение фильтрации (отобразить цвет вершины как тип устройства, уровень заряда устройства, количество переданных сообщений, количество принятых сообщений и т.д.);
DOI:10.21681/2311-3456-2020-01-18-28
Мониторинг безопасности объектов -- сведение/разведение пяти пальцев – изменение связей графа (показать, как физически связаны устройства, их маршруты трафика). Жесты были изначально закреплены за определенными функциями, которые выполняет приложение. На странице приложения справа от графа располагается пояснение о соответствии жестов функциям. В качестве теста данного прототипа был предложен ряд заданий, основанных на доступных способах человеко-компьютерного взаимодействия. Перечислим эти задания для набора данных 1: (1) зафиксировать устройства с определенными MAС-адресами (MAС-адреса скрыты и показываются по определенному жесту); (2) выделить разряженные устройства (значения «высокий уровень заряда», «устройство почти разряжено», «устройство разряжено и отключилось» – задаются с помощью цвета); (3) выделить определённый тип устройств (тип устройства задаётся цветом); (4) выделить устройства, не подключенные к самоорганизующейся сети (вершина без ребер); (5) выделить почти разряженные устройства с высокой критичностью (параметр «устройство почти разряжено» задается цветом, критичность актива задается размером вершины). Перечислим эти задания для наборов данных 2 и 3: (1) зафиксировать все выключенные устройства (включенные устройства или выключенные – задается цветом); (2) выделить все концентраторы (тип устройства задается цветом); (3) выделить все RFID-сканнеры и датчики дыма, исходя из цвета вершины (тип датчика задается цветом); (4) выделить концентраторы, на которые пришло наибольшее количество сообщений (чем больше сообщений, тем крупнее вершина); (5) выделить устройства, которые сгенерировали наибольшее количество сообщений (чем больше сообщений, тем крупнее вершина). Прототип был запущен через браузер на компьютере, имеющем сенсорный дисплей (рис. 5, рис. 6). На рис. 5 отображен граф, который сформирован на основе моделирования децентрализованной сенсорной сети без усечения до планарности. Вершины графа – это автономные устройства. Цвет показывает тип устройства. Сеть является самоорганизующейся, объединенные между собой устройства имеют связи, не присоединённые устройства не имеют связей. На рис. 6 отображен силовой граф, образованный при моделировании интегрированной системы безопасности иерархической централизованной сети. Вершины графа – это датчики (белые и желтые), встроенные устройства (фиолетовые), концентраторы (зеленые) и сервер (синий). При этом управление осуществлялось через дисплей посредством жестов. Проверка выполнялась следующим образом: (1) пользователь вставал перед сенсорным дисплеем; (2) запускался проверяемый прототип;
23
Применение адаптивного сенсорного интерфейса в приложениях... (3) для начала работы следовало коснуться кнопки «Начало», и в текстовом окне появлялся первый вопрос теста; (4) управление вопросами осуществлялось кнопками «Назад» и «Вперед»; (5) во время выполнения очередного задания требовалось взаимодействовать с компонентами визуализации; (6) после выполнения последнего задания следовало коснуться кнопки «Конец», это действие инициировало загрузку текстового файла с логами выполнения заданий на компьютер; (7) далее собранные логи анализировались на предмет времени, затрачиваемого на каждое задание, а также качества выполнения заданий (правильность выполнения). Проверка прототипа показала, что в начале теста интервал между выполняемыми заданиями был больше. Это означает, что испытуемым требуется время, чтобы понять и запомнить предустановленные жесты, если их нельзя задать самостоятельно перед началом работы. В приложениях информационной безопасности, как правило, нет возможности настроить взаимодействие с приложением. Кроме того, некоторые жесты могут не подходить под конкретную модель визуализации метрик безопасности, т.е. отсутствует интуитивность понимания конкретного жеста. При реализации интерфейса с возможностью предварительной настройки жестов способы взаимодействия с приложением запоминаются пользователем гораздо быстрее, так как он устанавливает их самостоятельно, в соответствии со своим собственным пониманием об удобстве взаимодействия. Эксперименты показали, что представленный подход позволяет быстрее осуществлять аналитику самоорганизующейся сенсорной сети и иерархической сети. Жесты дают возможность быстро и интуитивно переключаться между метриками, фиксировать интересующие
вершины или группы вершин, и переключаться между представлениями графа. Таким образом, улучшается качество и повышается скорость принятия решений при управлении мобильными сетями. Интуитивность жестов позволяет запомнить больше команд, что дает возможность анализировать большее количество метрик, так как между ними становится проще переключаться. Там образом в процессе управления мобильной сетью появляется больше используемой информации для принятия решений. Предполагается в дальнейшем реализовать адаптивный интерфейс на основе сбора статистики действий пользователя, например, какие жесты для каких функций он использует чаще всего. Анализ достоинств и недостатков предлагаемого подхода Настоящие исследования сосредоточены на жестах сенсорных экранов как способе улучшить взаимодействие между пользователем и системами информационной безопасности. Дальнейшая работа предполагает разработку методики создания адаптивных интерфейсов кибербезопасности для сенсорных экранов. Выделим следующие достоинства предлагаемого подхода. 1. Сохраняются все предыдущие настройки под конкретного пользователя. 2. Настроенный на конкретного пользователя интерфейс становится более удобным для этого пользователя, следовательно, работа с программным средством также происходит более оперативно и с меньшим количеством ошибок. 3. Создание адаптивного жестового интерфейса позволит пользователю самому привязывать определенные удобные ему жесты к существующим функциям приложения.
Рис. 5. Внешний вид реализованного веб-приложения при использовании набора данных 1
24
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.51
Мониторинг безопасности объектов
Рис. 6. Внешний вид реализованного веб-приложения при использовании набора данных 2. 4. Такое улучшение позволит повысить скорость обучения интерфейсу нового приложения, а также повысить скорость и эффективность дальнейшей работы оператора с приложением информационной безопасности. Основными возможными недостатками подхода являются следующие: 1. Другому пользователю будет сложно начинать работу на том же устройстве. В случае работы нескольких людей по очереди за одним устройством данный подход будет скорее недостатком. Однако чаще всего у каждого работника имеется свое индивидуальное рабочее место. 2. Потребуется некоторое время, пока приложение наберет необходимую статистику для адаптации под конкретного пользователя. С учетом описанных выше недостатков, последующая работа будет включать в себя исследование нескольких важных решений: какие жесты целесообразно назначать заранее, какие из них требуют подстройки, с какими жестами выполнять привязанные к ним функции в конце жеста, с какими – в начале, и какие жесты целесообразно использовать для визуального отображения процесса выполнения функции. Предложенная модель адаптации может применяться для контроля и разграничения доступа, где система будет подбирать наиболее адекватные ситуации и особенностям пользователя модели визуализации, позволять сортировать колонки и строки матриц удобными для пользователя жестами, масштабировать деревья [24]. Также модель применима для контроля над самоорганизующимися сенсорными сетями, где, в соответствии с ситуацией, будет приниматься решение об отображении сети с помощью графа, TreeMaps, карт Вороного или какой-либо их комбинации, а также будет осуществляться подбор жестов, в наибольшей степени соответствующих выбранным моделям визуализации [25]. В целом подход позволяет увеличить оперативность процессов принятия решений и повысить их качество
DOI:10.21681/2311-3456-2020-01-18-28
при настройке сетей мобильных устройств. Например, при анализе сетей, использование жестов позволяет быстрее и более интуитивно переключаться между метриками, фиксировать интересуемые вершины или группы вершин, и переключаться между представлениями графа. Также жесты можно использовать при управлении контролем доступа (например, при управлении разрешений между мобильными устройствами) и оценке рисков (например, при оценке риска и стоимости потери устройства). Отдельно стоит отметить ценность жестов при использовании на планшетах и мобильных устройствах, что востребовано на производстве – когда специалисту необходимо настраивать сети мобильных устройств в полевых условиях. Таким образом, подход также расширяет возможности использования визуальной аналитики для ситуаций, когда использование персональных компьютеров затруднительно. Заключение В статье предложен подход к человеко-компьютерному взаимодействию с интерфейсами приложений информационной безопасности на основе сенсорных экранов. Представлены модели взаимодействия пользователя и компонентов визуализации, алгоритм адаптации и алгоритм соответствия интерфейса «наилучшим практикам». Методики, модели, алгоритмы и архитектуры, выбранные на основе существующих «наилучших практик» создания жестовых интерфейсов, могут быть применены для создания адаптивного сенсорного интерфейса приложений информационной безопасности. При этом в предложенном подходе адаптивность интерфейса достигается с помощью следующих процедур: -- подстройки в процессе инициализации под человека или группу; -- подстройки под социокультурные особенности пользователя;
25
Применение адаптивного сенсорного интерфейса в приложениях... -- подстройки под функциональные обязанности пользователя; -- подстройки под индивидуальные физические особенности пользователя. Кроме того, адаптация происходит как на уровне вывода информации от компьютера, так и на уровне ввода информации в компьютер пользователем. Основой для реализации жестового интерфейса послужили открытые библиотеки D3.js (для визуализации), hammer.js (для реализации мультитач‑жестов), а также открытый набор библиотек и шаблонов Bootstrap (для оформления внешнего вида web-приложения). В качестве стенда выступал дисплей с сенсорным экраном с возможностью расположить его горизонтально. На реализованном программно-аппаратном стенде проведены эксперименты по восприятию пользователями жестов на примерах визуальной аналитики состояния иерархической централизованной сети встроенных устройств и децентрализованной сенсорной сети.
Основным результатом эксперимента служит то, что с помощью представленного подхода аналитика самоорганизующейся сенсорной сети и иерархической сети осуществляется быстрее, что приводит к улучшению качества и повышению скорости принятия решений при управлении мобильными сетями. Методология, предложенная в данной статье, может быть использована для создания новых моделей взаимодействия с сенсорным интерфейсом в процессе оценки рисков. Также подход к разработке адаптивного интерфейса может быть использован в образовательных и исследовательских целях в области информационной безопасности, визуализации данных и человекокомпьютерного взаимодействия. Дальнейшие исследования будут направлены на изучение естественности жестов на сенсорных экранах в восприятии пользователей, а также изучение наилучшего соответствия жестов визуальному отображению метрик информационной безопасности.
Рецензент: Молдовян Александр Андреевич, доктор технических наук, профессор, заведующий отделом проблем информационной безопасности ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук, Санкт-Петербург, Россия. E-mail: maal305@yandex.ru Работа выполнена при частичной финансовой поддержке РФФИ (проект № 18-07-01488-а) и бюджетной темы 0073-2019-0002. Литература 1.
2. 3. 4. 5.
6. 7. 8. 9. 10. 11. 12. 13. 14.
26
Котенко И., Левшун Д., Чечулин А., Ушаков И., Красов А. Комплексный подход к обеспечению безопасности киберфизических систем на системе микроконтроллеров // Вопросы кибербезопасности. 2018. № 3 (27). С.29-38. DOI: 10.21681/2311-34562018-3-29-38 Best D., Bohn S., Love D., Wynne A., Pike W. Real-time visualization of network behaviors for situational awareness // Proceedings of the seventh international symposium on visualization for cyber security. ACM, 2010. P. 79-90. Choi H., Lee H., Kim H. Fast detection and visualization of network attacks on parallel coordinates // Сomputers & security. 2009. Vol. 28. No. 5. P. 276-288. Котенко И., Степашкин М., Дойникова Е. Анализ защищенности автоматизированных систем с учетом социо-инженерных атак // Проблемы информационной безопасности. Компьютерные системы. 2011, № 3, С.40-57. Дойникова Е., Котенко Д., Котенко И. Реагирование на компьютерные вторжения с использованием графов атак и графов зависимостей сервисов // 21-я научно-техническая конференция «Методы и технические средства обеспечения безопасности информации». 24 июня – 29 июня 2012 г. Санкт-Петербург. Материалы. Издательство Политехнического университета. С.45-47. Ingols K., Lippmann R., Piwowarski K. Practical attack graph generation for network defense // 2006 22nd Annual Computer Security Applications Conference (ACSAC’06). IEEE, 2006. P.121-130. Коломеец М., Чечулин А., Котенко И. Обзор методологических примитивов для поэтапного построения модели визуализации данных // Труды СПИИРАН. 2015. Вып. 42. C.232-257. Heitzmann A., Palazzi B., Papamanthou C., Tamassia R. Effective visualization of file system access-control // International Workshop on Visualization for Computer Security. Springer, Berlin, Heidelberg, 2008. P. 18-25. Bishop M. Conspiracy and information flow in the take-grant protection model // Journal of Computer Security. 1996. Vol. 4. No. 4. P. 331-359. Kim D., Ray I., France R., Li N. Modeling role-based access control using parameterized UML models // International Conference on Fundamental Approaches to Software Engineering. Springer, Berlin, Heidelberg, 2004. P. 180-193. Kolomeets M., Chechulin A., Kotenko I., Saenko I. Access Control Visualization Using Triangular Matrices // 2019 27th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP). IEEE, 2019. С. 348-355. Kolomeets M., Chechulin A., Kotenko I., Strecker M. Voronoi Maps for Planar Sensor Networks Visualization // International Symposium on Mobile Internet Security. Springer, Singapore, 2017. P. 96-109. Roberts J. Guest editor’s introduction: special issue on coordinated and multiple views in exploratory visualization // Information Visualization. 2003. Vol. 2. No. 4. P. 199-200. Коломеец М., Чечулин А., Дойникова Е., Котенко И. Методика визуализации метрик кибербезопасности // Изв. вузов. Приборостроение, Т.61, № 10, 2018, С.873-880.
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.51
Мониторинг безопасности объектов
15. Sarkar M., Brown M. Graphical fisheye views // Communications of the ACM. 1994. Vol. 37. No. 12. P. 73-83. 16. Kolenda N. Psychology & Business [Электронный ресурс]: A List of UX/UI Best Practices for Websites / Режим доступа: https://www. nickkolenda.com/user-experience/# (дата обращения 05.06.2019) 17. Ananto B., Sari R., Harwahyu R. Color transformation for color blind compensation on augmented reality system // 2011 International Conference on User Science and Engineering (i-USEr). IEEE, 2011. P. 129-134. 18. Hutchins E., Hollan J., Norman D. Direct manipulation interfaces // Human-computer interaction. 1985. Vol. 1. No. 4. P. 311-338. 19. Apple [Электронный ресурс]: Use Multi-Touch gestures on your Mac – Apple Support / Режим доступа: https://support.apple.com/ en-us/HT204895 (дата обращения 05.06.2019). 20. Apple Developer [Электронный ресурс]: UI Design Do’s and Don’ts – Apple Developer / Режим доступа: https://developer.apple.com/ design/tips/ (дата обращения 02.06.2019). 21. Apple Developer [Электронный ресурс]: Gestures – User Interaction – iOS – Human Interface Guidelines – Apple Developer / Режим доступа: https://developer.apple.com/design/human-interface-guidelines/ios/user-interaction/gestures/ (дата обращения 05.06.2019). 22. World Usability Congress [Электронный ресурс]: Touch Screen Usability Best Practices When Designing Automation User Interfaces (UI) – World Usability Congress / Режим доступа: https://worldusabilitycongress.com/touch-screen-usability-best-practices-whendesigning-automation-user-interfaces-ui/ (дата обращения 05.06.2019). 23. Desnitsky V., Levshun D., Chechulin A., Kotenko I. Design Technique for Secure Embedded Devices: Application for Creation of Integrated Cyber-Physical Security System // JoWUA. 2016. Vol. 7. No. 2. P. 60-80. 24. Милославская Н., Толстой А., Бирюков А. Визуализация информации при управлении информационной безопасностью информационной инфраструктуры организации // Научная визуализация. 2014. Т. 6. №. 2. С. 74-91. 25. Боронин П., Кучерявый А. Интернет вещей как новая концепция развития сетей связи // Информационные технологии и телекоммуникации. 2014. №. 3. С. 7.
USE OF ADAPTIVE TOUCH INTERFACE IN INFORMATION SECURITY APPLICATIONS Zhernova K.N.5, Kolomeec M.V.6, Kotenko I.V. 7, Chechulin A.A. 8
The purpose of the article: development of an approach to creating adaptive interfaces based on touch screens in information security applications. Research method: analysis of modern “best practices” for creating gestural and graphical interfaces, development of our own approach and its experimental verification. The result obtained: an approach to the formation of adaptive touch interfaces for visual analysis of IoT security is proposed. Algorithms for adapting interfaces for specific tasks of information security and models of user interaction with the interface at the business level and implementation level are proposed. The results of experiments on the perception of gestures by users on the examples of visual analytics of the state of a hierarchical centralized network of embedded devices and a decentralized sensor network are presented. The area of use of the proposed approach is the creation of adaptive touch interfaces that can be used to increase the efficiency of operator interaction with information security applications. Keywords: user interface, graphical user interface, touch interface, adaptive interfaces, predictive interfaces, information security, touch screens.
References 5
Kseniia Zhernova, Ph.D. student at St. Petersburg Institute for Informatics and Automation of Russian Academy of Science, St. Petersburg, Russia. E‑mail: zhernova@comsec.spb.ru
6
Maxim Kolomeec, Junior Researchir fellow at St. Petersburg Institute for Informatics and Automation of Russian Academy of Science, St. Petersburg, Russia. E‑mail: kolomeec@comsec.spb.ru
7
Igor Kotenko, Dr.Sc. , Professor, Head of Laboratory of Computer Security Problems at St. Petersburg Institute for Informatics and Automation of Russian Academy of Science, St. Petersburg, Russia. E‑mail: ivkote@comsec.spb.ru
8
Andrey Chechulin, Ph.D, Leading Researchir fellow at St. Petersburg Institute for Informatics and Automation of Russian Academy of Science, St. Petersburg, Russia. E-mail: chechulin@comsec.spb.ru
DOI:10.21681/2311-3456-2020-01-18-28
27
Применение адаптивного сенсорного интерфейса в приложениях... 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22.
23. 24. 25.
28
Kotenko I., Levshun D., Chechulin A., Ushakov I., Krasov A. An Integrated Approach to Provide Security of Cyber-Physical Systems Based on Microcontrollers // Cybersecurity issues. 2018. No. 3 (27). P. 29-38. DOI: 10.21681/2311-3456-2018-3-29-38 Best D., Bohn S., Love D., Wynne A., Pike W. Real-time visualization of network behaviors for situational awareness // Proceedings of the seventh international symposium on visualization for cyber security. ACM, 2010. P. 79-90. Choi H., Lee H., Kim H. Fast detection and visualization of network attacks on parallel coordinates // Сomputers & security. 2009. Vol. 28. No. 5. P. 276-288. Kotenko I, Stepashkin M., Doynikova E. Security Analysis of Computer-aided Systems taking into account Social Engineering Attacks. Problems of information security. Computer systems. 2011, № 3. P. 40-57. Doynikova E., Kotenko D., Kotenko I. Analysis of the intrusions using attack and service dependency graphs. 21th All-Russian Conference “Methods and technical tools of information security” (MTTIS 2012). Proceedings. St.Petersburg, Russia. June 24-29, 2012. P.45-47. Ingols K., Lippmann R., Piwowarski K. Practical attack graph generation for network defense // 2006 22nd Annual Computer Security Applications Conference (ACSAC’06). IEEE, 2006. P.121-130. Kolomeec M., Chechulin A., Kotenko I. V. Methodological Primitives for Phased Construction of Data Visualization Models // J. Internet Serv. Inf. Secur. 2015. Vol. 5. No. 4. P. 60-84. Heitzmann A., Palazzi B., Papamanthou C., Tamassia R. Effective visualization of file system access-control // International Workshop on Visualization for Computer Security. Springer, Berlin, Heidelberg, 2008. P. 18-25. Bishop M. Conspiracy and information flow in the take-grant protection model // Journal of Computer Security. 1996. Vol. 4. No. 4. P. 331-359. Kim D., Ray I., France R., Li N. Modeling role-based access control using parameterized UML models // International Conference on Fundamental Approaches to Software Engineering. Springer, Berlin, Heidelberg, 2004. P. 180-193. Kolomeets M., Chechulin A., Kotenko I., Saenko I. Access Control Visualization Using Triangular Matrices // 2019 27th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP). IEEE, 2019. С. 348-355. Kolomeets M., Chechulin A., Kotenko I., Strecker M. Voronoi Maps for Planar Sensor Networks Visualization // International Symposium on Mobile Internet Security. Springer, Singapore, 2017. P. 96-109. Roberts J. C. Guest editor’s introduction: special issue on coordinated and multiple views in exploratory visualization // Information Visualization. 2003. Vol. 2. No. 4. P. 199-200. Kolomeec M, Chechulin A., Doynikova E., Kotenko I. Technique of Security Metrics Visualization // Journal of Instrument Engineering. 2018. Vol. 61 No. 10. P.873-880. Sarkar M., Brown M. H. Graphical fisheye views // Communications of the ACM. 1994. Vol. 37. No. 12. P. 73-83. Kolenda N. Psychology & Business [online]: A List of UX/UI Best Practices for Websites / URL: https://www.nickkolenda.com/userexperience/# (Access date 05.06.2019) Ananto B. S., Sari R. F., Harwahyu R. Color transformation for color blind compensation on augmented reality system // 2011 International Conference on User Science and Engineering (i-USEr). IEEE, 2011. P. 129-134. Hutchins E. L., Hollan J. D., Norman D. A. Direct manipulation interfaces // Human-computer interaction. 1985. Vol. 1. No. 4. P. 311338. Apple [online]: Use Multi-Touch gestures on your Mac – Apple Support / URL: https://support.apple.com/en-us/HT204895 (Access date 05.06.2019). Apple Developer [online]: UI Design Do’s and Don’ts – Apple Developer / URL: https://developer.apple.com/design/tips/ (Access date 02.06.2019). Apple Developer [online]: Gestures – User Interaction – iOS – Human Interface Guidelines – Apple Developer / URL: https://developer. apple.com/design/human-interface-guidelines/ios/user-interaction/gestures/ (Access date 05.06.2019). World Usability Congress [online]: Touch Screen Usability Best Practices When Designing Automation User Interfaces (UI) – World Usability Congress / URL: https://worldusabilitycongress.com/touch-screen-usability-best-practices-when-designing-automation-userinterfaces-ui/ (Access date 05.06.2019). Desnitsky V., Levshun D., Chechulin A., Kotenko I. Design Technique for Secure Embedded Devices: Application for Creation of Integrated Cyber-Physical Security System // JoWUA. 2016. Vol. 7. No. 2. P. 60-80. N. Miloslavskaya, A. Tolstoy, A. Birjukov Information visualization in information security management for enterprise’s information infrastructure // Scientific visualization. 2014. V. 6. No. 2. P. 74-91. Boronin P., Kucheryavy A. Internet of things as a new concept for the development of communication networks // Information Technologies and Telecommunications. 2014. No. 3 P. 7.
Вопросы кибербезопасности. 2020. № 1(35)
Система защиты терминальных программ от анализа на основе...
СИСТЕМА ЗАЩИТЫ ТЕРМИНАЛЬНЫХ ПРОГРАММ ОТ АНАЛИЗА НА ОСНОВЕ ВИРТУАЛИЗАЦИИ ИСПОЛНЯЕМОГО КОДА Маркин Д. О.1, Макеев С. М. 2
Целью работы является повышение защищенности терминальных программ от анализа и восстановления алгоритма их функционирования. Метод. Предлагаемое решение основано на применении технологии виртуальных машин с секретной архитектурой. Под архитектурой виртуальной машины в данной работе понимаются используемый алфавит байткода и функциональные объекты, используемые в защищаемых терминальных программах. Результат. В работе предложена система защиты активных данных в распределенной вычислительной системе. Проведен анализ существующих технических решений, выделена научная проблема, заключающаяся в необходимости эффективной защиты терминальных программ от анализа и восстановления алгоритмов функционирования. Объектом защиты в представленной работе являются терминальные программы или активные данные, функционирующие в узлах распределенной вычислительной системе. Разработаны и описаны модели угроз и нарушителя безопасности программного обеспечения. Сформированы требования на основе проведенного анализа условий функционирования, а также моделей угроз и нарушителя безопасности. Предложена математическая модель системы защиты активных данных от анализа на основе виртуализации исполняемого кода и ее программная реализация в виде приложений на C/C++ и Java. Экспериментально проверена эффективность системы по частным показателям качества (оперативности) предложенной системы, подтверждающая ее результативность. Предложенное решение позволяет эффективно затруднять анализ и восстановление алгоритмов функционирования терминальных программ в распределенной вычислительной системе. Ключевые слова: система защиты информации, активные данные, методы обфускации, виртуальная машина, байт-код.
DOI:10.21681/2311-3456-2020-01-29-41 Введение Недостаточная защищенность программного обеспечения от анализа, нарушения его работоспособности, модификации и других угроз может привести к серьезным неблагоприятным последствиям различного характера и масштаба. Таким образом, проблема обеспечения защищенности программного обеспечения (ПО) является актуальной и требует применения новых методов и средств, способных обеспечить требуемый уровень защиты в современных условиях. Проблема защиты программных реализаций на основе применения технологий виртуализации и других методов защиты затрагивалась в научных трудах Аранова В. Ю., Петрова А. С., Петрова А. А. [1–3], Речистова Г. С.[4], а также Казарина О. В., Варнавского Н. П., Захарова В. А., Кузюрина Н. Н. и Шокурова А. В. [5, 6], Зегжды П. Д., Бойко В. П., Заборовского В. С., Подловченко Р. И., Иванникова В. П., Сомборсона К., Викстромома Д. и других. В указанных работах отмечалась необходимость защиты программных реализаций от технологий обратной разработки, основанных,
в том числе на методах статического и динамического анализа ПО. В ряде автоматизированных систем ПО доступно исследователям в виде исходного или байт-кода. Подобные системы используют интерпретаторы либо виртуальные машины для исполнения кода. Защита такого типа ПО от анализа требует применения подходов, обеспечивающих максимальное затруднение анализа исходных текстов – т. е. применения методов обфускации [6]. Одним из наиболее эффективных способов защиты исходного текста ПО от анализа, не исключающего применения других методов, является внедрение технологии виртуализации кода. Такой подход позволяет сформировать ПО, состоящее архитектурно из двух компонентов – виртуальной машины/интерпретатора или их множества и байт-кода. При этом в зависимости от наличия лицензии у пользователя (права на использование ПО) исполняемый байт-код может преобразовываться к виду, который сможет быть обработан встроенной виртуальной машиной или
1 Маркин Дмитрий Олегович, кандидат технических наук, сотрудник Академии ФСО России, г. Орёл, Россия. E‑mail: admin@nikitka.net 2 Макеев Сергей Михайлович, кандидат технических наук, сотрудник Академии ФСО России, г. Орёл, Россия. E‑mail: maksm57@yandex.ru
DOI:10.21681/2311-3456-2020-01-29-41
29
УДК 004.056
Методы анализа программ и верификации
интерпретатором без ошибок. Данный подход описан в работах [7 , 8 ]. Объект защиты В данной работе объектом защиты являются терминальные программы, передаваемые между узлами системы, обеспечивающей их исполнение на данных узлах [9 , 10 , 14 ]. Для защиты от анализа исполняемого кода таких терминальных программ в данной работе предлагается система на основе виртуализации исполняемого кода с применением луковичной и чесночной архитектуры. Терминальные программы или активные данные – это исполняемый код в виде исходного текста или байткода, передаваемые на вход ПО, способный их выполнить. Примерами активных данных являются: -- самораспаковывающийся архивный файл; -- приложения, разработанные на скриптовых языках программирования и передаваемые удаленной среде в качестве данных; -- специализированная клиент-серверная система передачи активных данных, в том числе на основе виртуальных сред исполнения. Преимущества использования технологии активных данных: -- значительное снижение объема исполняемого кода клиентских приложений; -- возможность исполнения на клиентских приложениях произвольного кода, т. е. универсальность. Недостатки использования технологии активных данных: -- необходимость обеспечения аутентичности кода, защиты клиентского приложения от анализа, авторизации активных данных, т. е. защиты от компрометации клиентского приложения; -- необходимость использования интерпретаторов; -- передача кода в виде исходных текстов; -- необходимость диспетчеризации. Реализация концепции активных данных базируется
на применении скриптовых языков программирования, таких как PHP, Perl, Python, Ruby, JavaScript и других, а также способности приложений, выполняющих роль интерпретатора, обрабатывать содержание данных (например, тела HTTP(s)-запросов) как программный код [11 , 12 ]. Иллюстрация такого применения скриптовых языков в контексте реализации концепции активных данных представлена на рисунке 1. Эффективность такой реализации была проверена в работах [11 , 12 ] на базе сети веб-прокси серверов с помощью ряда разработанных программных средств [15 , 16 ], а также с использованием испытательного стенда на основе МАУ под управлением ОС Android [17 ] и управляющего веб-сервера для решения типовой задачи факторизации [18 ]. Типовой алгоритм обработки активных данных представлен на рисунке 2 . Для реализации подобного алгоритма требуется поддержка скриптового языка программирования и возможность его вызова из приложения для МАУ с ОС Android, iOS или другой системы. Недостатками использования технологии активных данных являются: -- необходимость обеспечения аутентичности кода, защиты клиентского приложения от анализа, авторизации исполняемых активных данных, т. е. защиты от компрометации клиентского приложения; -- необходимость использования интерпретаторов; -- передача кода в виде исходных текстов; необходимость диспетчеризации. Проблема обеспечения авторизации исполняемого кода известна очень давно, однако в контексте решения задачи построения защищенной системы туманных вычислений, реализующей концепцию активных данных, возникает задача авторизации полученного извне кода не столько самим устройством, сколько программным обеспечением агента системы туманных вычислений в условиях, когда к самому устройству нет доверия.
Рис. 1 . Реализация концепции активных данных на основе применения скриптовых языков
30
Вопросы кибербезопасности. 2020. № 1(35)
Система защиты терминальных программ от анализа на основе... менения других методов, является внедрение технологии виртуализации кода [4 , 8 , 7 , 14 ]. Такой подход позволяет сформировать ПО, состоящее архитектурно из двух компонентов – виртуальной машины/интерпретатора или их множества и байт-кода. При этом в зависимости от наличия лицензии у пользователя (права на использование ПО) исполняемый байт-код может преобразовываться к виду, который сможет быть обработан встроенной виртуальной машиной или интерпретатором без ошибок. В данной работе предлагается усовершенствовать технологию виртуальных машин за счет использования луковичной архитектуры пакета с активными данными, содержащего код для разных агентов, и использования уникальной архитектуры виртуальной машины для каждого из агентов системы туманных вычислений. Рис. 2 . Алгоритм обработки активных данных Данное ограничение предъявляет особые требования к системе защиты приложения, выполняющего активные данные. К ним можно отнести следующее: -- исполнение активных данных возможно только на тех устройствах, на которых имеется соответствующе аутентичное программное обеспечение (иными словами, нелегитимный пользовать не должен иметь возможность пользоваться вычислительными ресурсами системы туманных вычислений); -- анализ ПО агента не должен позволять исследователю (нарушителю) использовать ПО данного агента для решения его вычислительных задач, а также ПО иных агентов системы туманных вычислений (т.е. должна обеспечиваться аутентичность активных данных программному обеспечению агента); -- анализ содержания и структуры активных данных не должен позволять исследователю (нарушителю) формировать собственные активные данные, которые могли бы быть обработаны системой туманных вычислений; -- модификация активных данных, а также ПО агента должно приводить к отказу в доступе к вычислительным ресурсам устройства (т. е. должна обеспечиваться целостность вычислительного процесса и авторизация исполняемого программного кода). В ряде автоматизированных систем ПО доступно исследователям в виде исходного или байт-кода. Подобные системы используют интерпретаторы либо виртуальные машины для исполнения кода. Защита такого типа ПО от анализа требует применения подходов, обеспечивающих максимальное затруднение анализа исходных текстов – т.е. применения методов обфускации3 [6 ]. Одним из наиболее эффективных способов защиты исходного текста ПО от анализа, не исключающего при3
Обфускация или запутывание кода — приведение исходного текста или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ.
DOI:10.21681/2311-3456-2020-01-29-41
Модель нарушителя безопасности программного обеспечения Модель нарушителя безопасности ПО предполагает использование всего инструментального комплекса средств анализа ПО, к которым в настоящее время относятся автоматизированные статические средства анализа ПО, основанные на методах компьютерной лингвистики, средства динамического анализа, основанные на методах динамической бинарной инструментации (DBI – dynamic binary instrumentation), а также средства фаззинга и профилирования ПО. Кроме того, нарушитель (исследователь) имеет полный доступ к ресурсам (ЦП, ПЗУ, ОЗУ, устройства ввода/вывода и т. п.), ПО и ОС данной ПЭВМ, на которой реализуется указанная схема исследования; способен создавать копии исследуемого экземпляра ПО агента и активных данных. Обобщенная схема «атаки» на программную реализацию показана на рисунке 3 . Наиболее известными средствами исследования ПО являются дизассемблеры и декомпиляторы, отладчики и эмуляторы. Проведенный анализ существующих средств исследования ПО [13 ] показал, что наиболее распространенными дизассемблерами являются: IDAPro, x64dbg, Radare 2, DeDe, Sourcer, PeExplorer, Cutter, Hopper (OSx Linux), Scratch ABit, Plasma, D3-28, ODA – Online, WinHex, Hiew, DB52ASM, W32DASM, Binary Ninja, Capstone, Zydis, Objconv, HT Editor, distorm 64, Crudasm. Наиболее распространенными отладчиками являются [13 ]: IDA Pro, OllyDbg, GDB, SoftIce, AQtime, DBX, Dtrace, Electric Fence, GNU Debugger, LLDB, MDB, MS Visual Studio, Immunity Debugger, Dr. Watson, TotalView, WinDbg, FlexTracer, YDbg, x64dbg, Trace replayer, PIN tracer. Эмуляторы: VMware, VirtualBox, QEMU, Nox, Bochs, JVM, Colinux, AlphaVM-Free(-Pro), CHARON-AXP(-VAX), Denali, DOSBox, DOSEMU, Icore virtual accounts, Jail, KVM, OpenVZ, Parallels Workstation, PearPC, Virtual PC, Hyper-V, Virtuozzo, VMware ESX Server, SimNow, Solaris Zones, Xen, z/VM. Наиболее распространенными декомпиляторами являются: Boomerang, DCC, RecStudio, Hex-Rays, Cavaj Java Decompiler, JD.
31
УДК 004.056
Методы анализа программ и верификации
Рис. 3. Схема исследования и модификации экземпляра приложения Среди средств автоматизированного статического анализа известны: SVACE, АК-ВС 2, АИСТ-С, КСАИТ, Project Viewer, «Бурундук», а также AppChecker, RATS, Yasca, Cppcheck, graudit, Klocwork Insight, SWAAT, PHP Bug Scanner, Pixy, Ounce 6, OWASP Code Crawler, Coverity Prevent Static Analysis. К средствам автоматизированного динамического анализа можно отнести: SVACE, АК-ВС 2, EMU, IRIDA, КСАИТ, «Бурундук». Наиболее известные средства динамической бинарной инструментации4: frida, PIN, DinamoRIO, Dyninst, Valgrind. Модель угроз безопасности программного обеспечения Исходя из особенностей применения концепции активных данных, существующих технических возможностей по исследованию программного обеспечения и описанной модели нарушителя предлагаемая система защиты программного обеспечения распределенной вычислительной системы на основе активных данных должна обеспечивать защиту от следующих угроз: 1. несанкционированное использование вычислительных ресурсов агента системы распределенных вычислений на основе активных данных; 4
32
Динамическая бинарная инструментация (Dynamic Binary Instrumentation, DBI), которая заключается во вставке в бинарный исполняющийся код анализирующих (в общем случае) процедур. При данном подходе нет необходимости в исходном коде анализируемого приложения – работа происходит непосредственно с бинарным файлом в отличие от статической бинарной инструментации кода, которая заключается во вставке, изменении или удалении определенной функциональности в бинарном исполняемом файле и сохранении получившегося файла в виде отдельной копии.
2. исполнение произвольного кода средствами агента системы распределенных вычислений на основе активных данных; 3. статический анализ исходного текста терминальных программ (активных данных); 4. статический анализ исходного текста виртуальной машины агента системы распределенных вычислений на основе активных данных; 5. динамический анализ исходного текста терминальных программ (активных данных); 6. динамический анализ приложения виртуальной машины агента системы распределенных вычислений на основе активных данных, в том числе фаззинг и профилирование; 7. восстановление алгоритма программной реализации агента системы распределенных вычислений; 8. компрометация системы распределенных вычислений; 9. восстановление средства формирования пар (виртуальная машина, байт-код). Математическая модель системы защиты активных данных от анализа на основе виртуализации исполняемого кода Под защитой ПО авторы [1 , 19 ] понимают такой метод выполнения программы, при котором невозможно выявить процесс обработки данных и восстановление алгоритма работы программы, либо максимально затруднить решение данных задач. Формально, данную задачу можно представить как Y = F (X,K),
Вопросы кибербезопасности. 2020. № 1(35)
Система защиты терминальных программ от анализа на основе... где X – множество входных данных, Y – множество выходных данных, K – множество данных, определяющих право на лицензионное использование экземпляра ПО, F – отображение, определяющее множество процессов обработки входных данных. Таким образом, задача защиты ПО заключается в затруднении восстановления отображения F . Применяемые в настоящее время методы защиты условно делятся на организационно-инфраструктурные и функциональные. Первые направлены на формирование доверенной вычислительной среды (например, операционные системы (ОС) Android, iOS используют для этих целей изолированную программную среду (ИПС) на основе встроенных служб сертификации и лежащих в их основе несимметричных криптосистем), тогда как вторые – на блокирование действий, разрушающих существующие средства защиты программ от копирования и обратного проектирования (методы защиты от дизассемблеров и декомпиляторов, отладчиков и эмуляторов). Ряд функциональных методов защиты основан на применении алгоритмов и методов преобразования исполняемого кода прикладных программ к виду, затрудняющему (запутывающему) анализ алгоритмов – обфускации. При этом обфускации может подвергаться исходный текст ПО, получаемый из него машинный код, а также ее алгоритм (поток управления) [3 ]. Формально, задача обфускации состоит в получении отображеF' → Y , функционально ния (обфускатора) F ' : ( X , K )
эквивалентного отображению F в смысле получения эквивалентного множества выходных данных Y при таких же множествах входных данных ( X , K ) . Определение такого обфускатора и требования к нему приводятся в работе [4], а он сам носит название обфускатора в модели виртуального «черного ящика». В ряде работ отмечалось, что обфускаторы могут использоваться для создания криптосистем с открытым ключом [7], гомоморфных систем шифрования [7], схем дезавуируемого шифрования и односторонних функций с секретом [8]. К недостаткам применения методов обфускации можно отнести следующие: -- код программы после обработки обфускатором может стать более зависимым от программноаппаратной платформы или компилятора; -- обфускатор затрудняет анализ кода с одной стороны для исследователя, с другой стороны – для разработчика; это приводит к тому, что на этапе отладки ПО систему защиты приходится отключать; -- ни один из существующих известных обфускаторов не гарантирует достаточного уровня сложности декомпиляции (деобфускации) и не обеспечивает безопасности, сопоставимой с уровнем современных криптографических алгоритмов; -- обфускаторы могут содержать ошибки, не учитывающие некоторые особенности модели приложения, обфускацию которого они выполняют, поэтому существует ненулевая вероятность того,
Рис. 4.Структурная схема система обмена терминальными программами
DOI:10.21681/2311-3456-2020-01-29-41
33
УДК 004.056
Методы анализа программ и верификации
что прошедший через обфускатор код потеряет работоспособность (чем сложнее разрабатываемая программа, тем больше эта вероятность). Общая структурная схема системы, в которой осуществляется обмен и исполнение активных данных (терминальных программ), представлена на рисунке 4, где ВМ – виртуальная машина. Система состоит из: 1. Множества узлов, в состав которых входят приложения на основе различных реализаций виртуальных машин и модуля настройки виртуальной машины. 2. Узла управления, в состав которого входят: 1) модуль формирования алфавита байт-кода; 2) модуль формирования реализации виртуальной машины; 3) модуль формирования байт-кода; 4) модуль распределения вычислительных задач; 5) модуль формирования запроса с активными данными. Таким образом, в состав каждого из узлов системы включено приложение в виде виртуальной машины с уникальной архитектурой, отличающейся словарем и алфавитом байт-кода, а также шаблоном исходного текста ПО виртуальной машины. Для того чтобы защищаемая терминальная программа могла исполниться на данной виртуальной машине, ее код должен быть сформирован на основе соответствующей данной виртуальной машине архитектуры. Виртуализация кода, основанная на технологиях виртуальных машин, позволяет преобразовать машинные команды исходного приложения в произвольный, как правило, неизвестный никому, кроме разработчика, байт-код, который будет выполняться на соответствующей ему (байт-коду) виртуальной машине (интерпретатору), который, в свою очередь, будет входить в состав защищаемого приложения. При этом процесс функционирования защищаемого ПО можно представить как криптосистему [6, 20 ], в которой алгоритм обфускатора и сформированный ключ являются криптограммами, а защищаемый алгоритм и исходные данные – открытым текстом ( FVM , X B ) = E ( F , X , K ) , где F – отображение, определяющее множество процессов обработки входных данных, X – множество входных данных, K – секретный ключ криптосистемы, X B – множество входных данных (байт-код) для виртуальной машины FVM , FVM – отображение, определяющее множество процессов обработки входных данных, представленных в виде байт-кода, E – шифр, удовлетворяющий принципам Керкгоффса5 для криптосистем [21 ]. Отображения F FVM , FS и E в общем случае мо5
34
Принцип Керкгоффса — правило разработки криптографических систем, согласно которому в засекреченном виде держится только определённый набор параметров алгоритма, называемый ключом, а сам алгоритм шифрования должен быть открытым
гут быть представлены в виде конечного автомата: A ( X , S , Y , h, f ) , где X , S , Y – непустые множества элементов входного, внутреннего (состояния автомата) и выходных символов алфавитов, а h, f – отображения, определяющие функция переходов между состояниями и функциями выходов автомата. Таким образом, процесс отображения исходного (защищаемого) алгоритма и набора входных данных в защищенный может быть представлен как: EB X → XB , EF F → FVM ,
при условии, что Y ' = Y , где Y ' = FVM ( X B ) , а Y = F ( X , K ) , а ( EB , EF ) ∈ E . Секретным ключом K = ( K X , K B , KVM ) в предлагаемой криптосистеме являются: -- множество подстановок K X , определяющих соответствие между элементами множества X и элементами множества X B – элементы алфавита байт-кода (словаря байт-кода); -- множество подстановок K B , определяющих соответствие между инструкциями или операциями (правилами преобразования) из множества F и элементами подмножества FVM – элементы алфавита байт-кода (словаря байт-кода); -- множество KVM элементов FVM , определяющих архитектуру виртуальной машины. Схема формирования байт-кода X B с учетом его алфавита K B и архитектуры виртуальной машины KVM представлена на рисунке 5 . В свою очередь, исполняемый машинный код виртуальной машины также должен быть сформирован с учетом используемого словаря байт-кода ( K X , K B ) ⊂ K , а также избранной архитектуры виртуальной машины. С учетом изложенного схема формирования виртуальной машины будет выглядеть так, как представлено на рисунке 6 . Суть предлагаемого решения заключается в том, что каждый экземпляр реализации виртуальной машины и исполняемый на нем байт-код являются уникальными, строго соответствующими друг другу. Иными словами, байт-код и виртуальная машина, сформированные с использованием разных ключей K = ( K X , K B , KVM ) , будут несовместимы. Обобщенная схема программной реализации такой криптосистемы представлена на рисунке 7 . На рисунках 5 –6 секретным ключом являются: -- словарь байт-кода bytecode.json; -- архитектура виртуальной машины vm-template.cpp и получаемая на ее основе виртуальная машина vm.cpp. Процедуру формирования vm.cpp можно описать отображением EF ( KVM , K B ) F →F , VM
или FVM = EF ( F , KVM , K B ) .
Вопросы кибербезопасности. 2020. № 1(35)
Система защиты терминальных программ от анализа на основе...
Рис. 5. Схема формирования байт-кода виртуальной машиной
Рис. 6 . Схема формирования виртуальной машиной Процедуру формирования байт-кода, способного выполняться только в заданной виртуальной машине, можно описать отображением B( X B) X → XB , E
K
,K
или X B = EB ( X , KVM , K B ) . Таким образом, представленная криптосистема обеспечит получение выходных данных Y ' = Y , где Y ' = FVM ( X B ) , а Y = F ( X , K ) , а ( EB , EF ) ∈ E , но при этом процесс анализа экземпляра программной реализации FVM ( X B ) по сравнению с реализацией F ( X , K ) будет значительно затруднен. Таким образом, сущность защиты программного кода на основе обфускации с использованием виртуальных машин заключается в том, чтобы заставить исследователя перейти от анализа машинных инструкций известной архитектуры (например, x86) к незнакомому набору виртуальных команд, которые увеличат слож-
DOI:10.21681/2311-3456-2020-01-29-41
ность и, соответственно, затрачиваемое время на анализ защиты. Поскольку защищаемый программный код может исполняться только на соответствующей виртуальной машине, то подобная система аналогична несимметричной криптографической системе, в которой защищаемой информацией является исполняемый машинный код, а ключевой парой (открытый – секретный ключ) является архитектура виртуальной машины и две ее производные – байт-код и виртуальная машина. Схематично такая криптосистема представлена на рисунке 7. В рассматриваемой в работе несимметричной криптосистеме процесс зашифрования на открытом ключе эквивалентен процессу трансляции (отображению) EB защищаемого исходного текста X в байт-код X B : B( X B) X → XB , E
K
,K
или X B = EB ( X , KVM , K B ) ,
35
УДК 004.056
Методы анализа программ и верификации
Рис. 7 . Структурная схема программной реализации криптосистемы на основе виртуальных машин где K X – множество подстановок, определяющих соответствие между элементами множества X и элементами множества X B – элементы алфавита байткода (словаря байт-кода); K B – множество подстановок, определяющих соответствие между инструкциями или операциями (правилами преобразования) из множества F (множество инструкции исходного текста защищаемого приложения) и элементами подмножества FVM – элементы алфавита байт-кода (словаря байткода), используемые в виртуальной машине. При этом открытым ключом является словарь байткода K X , а закрытым – архитектура виртуальной машины, скомпилированная на основе того же словаря байт-кода ( K X , K B ) ⊂ K . Эффективность системы защиты активных данных в распределенной вычислительной системе Для того, чтобы преодолеть защитные механизмы, исполняемые встроенной в приложение виртуальной машиной как инструкции байт-кода, необходимо решить следующие задачи: 1. проанализировать работу компонентов интерпретатора виртуальной машины:
36
-- выделить машинные коды инструкций байт-кода; -- определить фактические инструкции, исполняемые при выполнении обнаруженных инструкций байт-кода; 2. выделить семантику инструкций байт-кода на основе анализа фактически исполняемых машинных инструкций; 3. восстановить логику работы целевого кода (алгоритм). Для оценивания эффективности предлагаемой системы было разработано два прототипа ее программной реализации [16 ]: на языке C/C++ и на языке Java и проведены эксперименты по сравнительному анализу вычислительной сложности данных прототипов. В качестве секретного ключа была выбрана простейшая структура виртуальной машины [22 ] с набором примитивных инструкций без стека и регистров. В процессе исполнения защищаемого приложения сформированный байт-код передается как входные данные модулю приложения – виртуальной машине, которая его и обрабатывает. Фрагмент исходного текста виртуальной машины на Java представлен ниже.
Вопросы кибербезопасности. 2020. № 1(35)
машины [22] с набором примитивных инструкций без стека и регистров. В процессе исполнения защищаемого приложения сформированный байт-код передается как входные данные модулю приложения – виртуальной машине, которая его и обрабатывает. Система защиты терминальных программ от анализа на основе... Фрагмент исходного текста виртуальной машины на Java представлен ниже. public class BCclass { static void BCclass(String bytecode) { bytecode = bytecode.toLowerCase(); byte[] b = bytecode.getBytes(); for (byte bytec : b) { switch (bytec) { case (bc0): func0(); break; case (bc1): func1(); break; . . . default: break; } } }
с его последующей обработкой на сервере. 2. Отправка запроса на получения вычислительной задачи от сервера управления к средству распределения задач. 3. Выбор очередной задачи средством распределения задач и отправка ответа серверу управления. 4. Формирования и отправка байт-кода агенту с Java-приложением. 5. Исполнение вычислительной задачи (тестирование методом фаззинга с отправкой запроса тестируемому веб-ресурсу). 6. Получение ответа от исследуемого веб-ресурса и его обработка. 7. Отправка результата выполнения вычислительной задачи серверу управления. 8. Отправка отчета о выполнении вычислительной задаче средству распределения задач.
public void func0() { . . . } public void func1() { . . . }
Схема функционирования виртуальной машины Схема функционирования машины представлена на рисунке 8 . В процессе виртуальной исполнения защищаемого сформированный байт-кодприложения В процессеприложения исполнения защищаемого передается как входные данные модулю приложения – виртуальной машине, которая его и обрабатывает.
представлена на рисунке 8. сформированный байт-код
12 Рис. 9. Функционирование виртуальной машины vm.java
Рис. 8. Функционирование виртуальной машины в целевой среде Работа прототипа, разработанного на языке Java, в целевой ЭВМ представлена на рисунке 9 . Порядок взаимодействия элементов прототипа, реализующих тестирование удаленного веб-ресурса методом фаззинга6, представлен на рисунке 10 . Этапы выполнения задачи в распределенной системе следующие: 1. Отправка запроса о готовности к работе от ПО агента (Java-приложения) к серверу управления 6
Фаззинг (англ. fuzzing) — техника тестирования программного обеспечения, заключающаяся в передаче приложению на вход неправильных, неожиданных или случайных данных.
DOI:10.21681/2311-3456-2020-01-29-41
Результаты оценки эффективности прототипа на базе приложения, разработанного на C/C++. 1. Объем кода: 1) защищаемого приложения (исходная программа): 195 строк; 2) защищенного приложения (программа, выполняемая в виртуальной машине): 4061 строка; 3) байт-код: 1000000 байт. Среднее время выполнения: 1) защищаемого приложения: 2,3922 мс; 2) защищенного приложения: 4,0976 мс. Результаты оценки эффективности прототипа на базе приложения, разработанного на Java. 1. Объем кода: 1) защищаемого приложения (исходная программа): 422 байта; 2) защищенного приложения (виртуальная машина): 927 байта; 3) байт-код: 1000000 байт. Среднее время выполнения: 1) защищаемого приложения: 7 мс; 2) защищенного приложения: 1003 мс. Полученные результаты позволяют сделать следующие выводы:
37
УДК 004.056
Методы анализа программ и верификации
Рис. 10 . Порядок выполнения вычислительных задач распределенной системой на базе агентов с ПО, разработанном на Java 1. Предлагаемая система защиты имеет недостаток, выраженный в том, что защита ПО с использованием предлагаемой системы предъявляет повышенные требования к вычислительной системе, в которой исполняется защищаемое ПО и снижает его производительность. 2. Достоинствами предложенной системы является: -- повышение сложности анализа ПО за счет вынуждения исследователя проводить анализ кода с неизвестными кодами виртуальных команд; -- невозможность выполнения байт-кода на виртуальной машине, если байт-код и виртуальная машина сформированы с использованием различных секретных ключей. Заключение В работе предложена система защиты активных данных в распределенной вычислительной системе
на основе применения виртуальных машин. На основе проведенного анализа условий функционирования сформированы требования к таким виртуальным машинам. Разработаны и описаны модели угроз и нарушителя безопасности программного обеспечения распределенной вычислительной системы на основе активных данных. Предложена математическая модель системы защиты активных данных от анализа на основе виртуализации исполняемого кода и ее программная реализация в виде приложений на C/C++ и Java. Экспериментально проверена эффективность системы по частным показателям качества (оперативности) предложенной системы, подтверждающая ее результативность.
Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор Московского государственного технического университета им. Н.Э. Баумана, г. Москва, Россия. E-mail: a.markov@bmstu.ru
38
Вопросы кибербезопасности. 2020. № 1(35)
Система защиты терминальных программ от анализа на основе... Литература 1. 2. 3. 4. 5. 6. 7.
8. 9. 10. 11. 12. 13.
14. 15.
16.
17.
18.
19. 20. 21. 22.
Петров А.А. Методы защиты программного кода // Информатика и безопасность современного общества. 2019. Т. 1. № 1. С. 24–28. Петров А.C., Петров А.А. Технология защиты программного кода посредством применения виртуальной машины // Вестник ВНУ. 2009. № 9 (103), часть 1. С. 117–122. Аранов В.Ю. Метод и средства защиты исполняемого программного кода от динамического и статического анализа : автореф. дис. … канд. техн. наук : 05.13.19 Санкт-Петербург, 2014. 18 с. Речистов Г.С., Юлюгин Е. А. Моделирование инструкций поддержки транзакционной памяти в современных центральных процессорах // Прикладная информатика. 2014. № 5 (53). С. 16–24. Казарин О.В., Шубинский И.Б. Надежность и безопасность программного обеспечения / Москва: Издательство Юрайт. 2018. 342 с. Варнавский Н.П., Захаров В.А., Кузюрин Н.Н., Шокуров А.В. Современное состояние исследований в области обфускации программ: определение стойкости обфускации // Труды ИСП РАН. Т. 26. Вып. 3. 2014. С. 167–198. DOI: 10.15514/ISPRAS-2014-26(3)-9. Kaiyuan Kuang, Zhanyong Tang, Xiaoqing Gong, Dingyi Fang, Xiaojiang Chen, Zheng Wang Enhanced virtual-machine-based code obfuscation security through dynamic bytecode scheduling // Computers & Security. 2018. № 74. P. 202–220. DOI: 10.1016/j. cose.2018.01.008. Barak B., Goldreich O., Impagliazzo R., Rudich S., Sahai A., Vadhan S., Ke Yang On the (im)possibility of obfuscating programs // Advances in Cryptology – CRYPTO’01, Lecture Notes in Computer Science, v. 2139, 2001, p. 1–18. DOI: 10.1145/2160158.2160159. Кулешов С.В., Цветков О.В. Активные данные в цифровых программно-определяемых системах // Информационно-измерительные и управляющие системы. 2014. Т. 12. № 6. С. 12-19. Александров В.В., Кулешов С.В., Цветков О.В., Зайцева А.А. Концепция построения инфотелекоммуникации (прототип SDR) // Труды СПИИРАН. 2008. № 6. С. 51–57. DOI: 10.15622/sp.6.5. Маркин Д.О., Галкин А.С., Архипов П.А. Организация анонимного доступа с помощью веб-прокси // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8, № 5. С. 44–49. Маркин Д.О., Галкин А.С., Архипов П.А. Исследование устойчивости анонимной сети на основе технологий веб-прокси // Вопросы кибербезопасности. 2016. № 2 (15). С. 21–28. DOI: 10.21681/2311-3456-2016-2-21-28. Маркин Д.О, Павлов Д.И., Звягинцев С.А.. Анализ методов и средств исследования программного обеспечения // Актуальные направления развития систем охраны, специальной связи и информации для нужд органов государственной власти Российской Федерации: XI Всероссийская межведомственная научная конференция: материалы и доклады (Орёл, 5–6 февраля 2019 г.) В 10 ч. Ч. 10 / под общ. ред. П. Л. Малышева. Орёл: Академия ФСО России, 2019. 200 с. С. 34–37. Маркин Д.О. Макеев С.М., Вихарев А.Н. Комплекс алгоритмов защищенных туманных вычислений на основе технологии активных данных // Известия Тульского государственного университета. Технические науки. 2019. Выпуск 3. С. 263–269. Маркин Д.О., Макеев С.М., Ленчук В.Д., Охрименко А.А., Шапкин Р.В. Автоматизированная система управления содержанием удаленных информационных ресурсов: свидетельство о государственной регистрации программы для ЭВМ № 2016617298 Российская Федерация / авторы и правообладатели Д.О. Маркин, С.М. Макеев, В.Д. Ленчук, А.А. Охрименко, Р.В. Шапкин. № 2016614475; заявл. 04.05.2016; зарегистрировано в Реестре программ для ЭВМ 29.06.2016 г. Маркин Д.О., Трохачёв М.А., Земцов А.Э., Юркин А.А. Программный агент обеспечения распределенных вычислений на основе технологии активных данных для узла вычислительной сети на базе мобильных устройств под управлением операционной системы Android : свидетельство о государственной регистрации программы для ЭВМ № 2018660343 Российская Федерация / авторы и правообладатели Д.О. Маркин, М.А. Трохачёв, А.Э. Земцов, А.А. Юркин. № 2018617165 ; заявл. 10.07.2018; зарегистрировано в Реестре программ для ЭВМ 22.08.2018 г. Маркин Д.О., Трохачев М.А. Разработка агента туманных вычислений для мобильных устройств под управлением операционной системы Android // Информационная безопасность и защита персональных данных: Проблемы и пути их решения: материалы XI Межрегиональной научно-практической конференции / под ред. О.М. Голембиовской, М.Ю.Рытова. Брянск: БГТУ, 2019. 190 с. С. 136–141. Маркин Д.О., Земцов А.Э. Алгоритм решения задачи факторизации средствами туманных вычислений // Информационная безопасность и защита персональных данных. Проблемы и пути их решения : материалы XI Межрегиональной научно-практической конференции [Электронный ресурс] / под ред. О. М. Голембиовской, М. Ю. Рытова. Брянск : БГТУ, 2019. 190 с. С. 126–129. Петров А.C., Петров А.А. Технология защиты программного кода посредством применения виртуальной машины // Вестник ВНУ. 2009. № 9 (103), часть 1. С. 117–122. Sahai A., Waters B. How to Use Indistinguishability Obfuscation: Deniable Encryption, and More // CRYPTO ePrint, 2013. DOI: 10.1145/2591796.2591825. Auguste Kerckhoffs. La cryptographie militaire. Journal des sciences militaires, 1883. Интерпретаторы байт-кодов своими руками [Электронный ресурс] : [сайт] / Блог компании Badoo. Режим доступа: https://habr. com/company/badoo/blog/425325/. Дата обращения: 17.09.2019.
DOI:10.21681/2311-3456-2020-01-29-41
39
УДК 004.056
Методы анализа программ и верификации
PROTECTION SYSTEM OF TERMINAL PROGRAMS AGAINST ANALYSIS BASED ON CODE VIRTUALIZATION Markin D. O. 7, Makeev S. M. 8 Abstract. The paper proposes a protection system of active data in a distributed computing system. The analysis of existing technical solutions is carried out, the scientific problem consisting in necessity of effective protection of terminal programs against the analysis and restoration of algorithms of functioning is allocated. The object of protection in the presented work are terminal programs or active data functioning in nodes of the distributed computing system. The aim of the work is to increase the security of terminal programs against the analysis and restoration of the algorithm of their functioning. The proposed solution is based on the application of virtual machine technology with a secret architecture. The architecture of the virtual machine in this paper refers to the used alphabet of byte-code and functional objects used in protected terminal programs. The models of threats and software security violator are developed and described. The requirements are formed on the basis of the analysis of the operating conditions, as well as models of threats and security violator. A mathematical model of the active data protection system against analysis based on code virtualization and its software implementation in the form of applications in C/C++ and Java is proposed. The efficiency of the system was experimentally tested according to particular indicators of quality (efficiency) of the proposed system, confirming its effectiveness. The proposed solution makes it possible to effectively complicate the analysis and restoration of algorithms for the functioning of terminal programs in a distributed computer system. Keywords:information security system, active data, obfuscation methods, virtual machine, byte‑code. References 1. 2. 3. 4. 5. 6. 7.
8. 9. 10. 11. 12. 13.
14. 15.
Petrov A.A. Metodi zashhity programmnogo koda // Informatika i bezopasnost’ sovremennogo obshchestva. 2019. Vol. 1. No 1. P. 24–28. Petrov A.S., Petrov A.A. Tehnologija zashhity programmnogo koda posredstvom primenenija virtual’noi mashini // Vestnik VNU. 2009. № 9 (103), No 1. pp. 117–122. Aranov V.Y. Metod i sredstva zashhity ispolnjaemogo programmnogo koda ot dinamicheskogo i staticheskogo analiza: avtoref. dis. … kand. tehn. nauk : 05.13.19 Sankt-Peterburg, 2014. 18 p. Rechistov G.S., Yulyugin Е.A. Simulation of instruction set extension for transactional memory of modern central processors // Prikladnaya informatika. 2014. No 5 (53). P. 16–24. Kazarin O.V., Shubinskii I.B. Nadegnost’ i bezopasnost’ programmnogo obespechenija / Moscow: Izdatel’stvo Yurait. 2018. 342 p. Varnavskii N.P., Zaharov V.A., Kuzyurin N.N., Shokurov A.V. Sovremennoe sostojanie issledovanii v oblasti obfuskacii programm : opredelenie stoikosti obfuskacii // Trudi ISP RAN. Vol. 26. No 3. 2014. pp. 167–198. DOI: 10.15514/ISPRAS-2014-26(3)-9. Kaiyuan Kuang, Zhanyong Tang, Xiaoqing Gong, Dingyi Fang, Xiaojiang Chen, Zheng Wang Enhanced virtual-machine-based code obfuscation security through dynamic bytecode scheduling // Computers & Security. 2018. No 74. P. 202–220. DOI: 10.1016/j. cose.2018.01.008. Barak B., Goldreich O., Impagliazzo R., Rudich S., Sahai A., Vadhan S., Ke Yang On the (im)possibility of obfuscating programs // Advances in Cryptology – CRYPTO’01, Lecture Notes in Computer Science, Vol. 2139, 2001, pp. 1–18. DOI: 10.1145/2160158.2160159. Kuleshov S.V., Cvetkov O.V. Aktivnye dannye v cifrovyh programmno-opredeljaemyh sistemah // Informacionno-izmeritel’nie i upravljayushhie sistemy. 2014. Vol. 12. № 6. pp. 12–19. Aleksandrov V.V., Kuleshov S.V., Cvetkov O.V., Zaiceva A.A. Koncepcija postroenija infotelekommunikacii (prototip SDR) // Trudi SPIIRAN. 2008. No 6. pp. 51–57. DOI: 10.15622/sp.6.5. Markin D.O., Galkin A.S., Arhipov P.A. Organizatsija anonimnogo dostupa s pomosch’ju veb-proksi // Naukoemkie tehnologii v kosmicheskih issledovanijah Zemli. 2016. No 8, № 5. pp. 44–49. Markin D.O., Galkin A.S., Arhipov P.A. Issledovanie ustojchivosti anonimnoj seti na osnove tehnologij veb-proksi // Voprosy kiberbezopasnosti. 2016. No 2 (15). pp. 21–28. DOI: 10.21681/2311-3456-2016-2-21-28. Markin D.O, Pavlov D.I., Zvjagintsev S.A. Analiz metodov i sredstv issledovanija programmnogo obespechenija // Aktual’nye napravlenija razvitija sistem ohrany, spetsial’noj svjazi i informatsii dlja nuzhd organov gosudarstvennoj vlasti Rossijskoj Federatsii: XI Vserossijskaja mezhvedomstvennaja nauchnaja konferentsija: materialy i doklady (Orjol, 5–6 feb. 2019) Vol. 10 / pod obsch. red. P. L. Malysheva. Orjol: Akademija FSO Rossii, 2019. 200 p. pp. 34–37. Markin D.O. Makeev S.M., Viharev A.N. Kompleks algoritmov zaschischennyh tumannyh vychislenij na osnove tehnologii aktivnyh dannyh // Izvestija Tul’skogo gosudarstvennogo universiteta. Tehnicheskie nauki. 2019. No 3. pp. 263–269. Markin D.O., Makeev S.M., Lenchuk V.D., Ohrimenko A.A., Shapkin R.V. Avtomatizirovannaja sistema upravlenija soderzhaniem udalennyh informatsionnyh resursov № 2016617298 ; declared 29.06.2016.
7 Dmitrij Markin, Ph.D., Academy of FSS of Russia. Oryol city, Russia. E-mail: admin@nikitka.net 8 Sergey Makeev, Ph.D., Academy of FSS of Russia. Oryol city, Russia. E-mail: maksm57@yandex.ru
40
Вопросы кибербезопасности. 2020. № 1(35)
Система защиты терминальных программ от анализа на основе... 16. Markin D.O., Trohachjov M.A., Zemtsov A.E., Jurkin A.A. Programmnyj agent obespechenija raspredelennyh vychislenij na osnove tehnologii aktivnyh dannyh dlja uzla vychislitel’noj seti na baze mobil’nyh ustrojstv pod upravleniem operatsionnoj sistemy Android № 2018660343 ; declared 22.08.2018 g. 17. Markin D.O., Trohachev M.A. Razrabotka agenta tumannyh vychislenij dlja mobil’nyh ustrojstv pod upravleniem operatsionnoj sistemy Android // Informatsionnaja bezopasnost’ i zaschita personal’nyh dannyh: Problemy i puti ih reshenija: materialy XI Mezhregional’noj nauchno-prakticheskoj konferentsii / pod red. O.M. Golembiovskoj, M.Ju.Rytova. Brjansk: BGTU, 2019. pp. 136–141. 18. Markin D.O., Zemtsov A.E. Algoritm reshenija zadachi faktorizatsii sredstvami tumannyh vychislenij // Informatsionnaja bezopasnost’ i zaschita personal’nyh dannyh. Problemy i puti ih reshenija : materialy XI Mezhregional’noj nauchno-prakticheskoj konferentsii / pod red. O. M. Golembiovskoj, M. Ju. Rytova. Brjansk : BGTU, 2019. p. 126–129. 19. Petrov A.S., Petrov A.A. Tehnologija zaschity programmnogo koda posredstvom primenenija virtual’noj mashiny // Vestnik VNU. 2009. No 9 (103), Vol. 1. pp. 117–122. 20. Sahai A., Waters B. How to Use Indistinguishability Obfuscation: Deniable Encryption, and More // CRYPTO ePrint, 2013. DOI: 10.1145/2591796.2591825. 21. Auguste Kerckhoffs. La cryptographie militaire. Journal des sciences militaires, 1883. 22. Interpretatory bajt-kodov svoimi rukami / Blog kompanii Badoo. URL: https://habr.com/company/badoo/blog/425325/. Accessed: 17.09.2019.
DOI:10.21681/2311-3456-2020-01-29-41
41
Практика управления киберрисками в нефтегазовых проектах...
Практика управления киберрисками в нефтегазовых проектах компаний холдингового типа Лившиц И.И.1 Цель работы: анализ существующих подходов к управлению киберрисками и разработка рекомендаций для обеспечения информационной безопасности в нефтегазовых проектах компаний холдингового типа. Метод исследования: применяются методы системного анализа и методы теоретико-сравнительного анализа. Исследуются риски, возникающие на различных стадиях подготовки нефтегазовых проектов. Результат: разработана система выявления источников, идентификации и анализа киберрисков, способных повлиять на реализацию нефтегазовых проектов для компаний холдингового типа. Рассмотрены стадии жизненного цикла и отмечена необходимость обеспечения информационной безопасности при привлечении консалтинговых компаний. Рекомендуется обращать внимание на степень зрелости привлекаемых консалтинговых компаний. Обеспечение информационной безопасности предложено реализовывать на разных уровнях: при оценке компетенций специалистов, применяемых ИТ, культуры анализа и подготовки отчетных документов. Результаты проведенного исследования получили практическое применение при реализации нефтегазовых проектов. Ключевые слова Нефтегазовый проект, риски, система управления, интегрированная система управления, информационная безопасность, аудит.
DOI:10.21681/2311-3456-2020-01-42-51
Введение Значительная часть проектов по разработке систем управления киберрисками (СУКР) в нефтегазовых проектах (НГП), либо полностью не приводит к ожидаемым результатам, либо в действительности требует затрат больших ресурсов, чем планировалось. Одна из причин данной ситуации, как представляется, заключается в отсутствии в распоряжении высшего менеджмента и команды проекта надежных методов управления рисками. В большей степени это утверждение справедливо в отношении корректного выбора и правильного применения в практике НГП апробированных инструментов управления киберрисками. В представленной публикации рассмотрен пример значительного по длительности НГП, для которого выполнялась разработка СУКР. Определенное внимание уделено привлечению консалтинговых компания в НГП, рассмотрены несколько примеров. Показаны примеры выбора и применения различных инструментов управления киберрисков на всех стадиях жизненного цикла НГП в компаниях холдингового типа.
Обзор существующего терминологического аппарата Для цели данной публикации необходимо исследовать существующий терминологический аппарат для формирования ясных сущностей и анализа их взаимосвязей в проекте СУКР применительно к области НГП. Предлагается следующее определение нефтегазового проекта (НГП) – деятельность компании в рамках соглашения о разделе продукции, концессионного соглашения, соглашения о принципах проведения геологического изучения недр, меморандума, протокола, соглашения о совместной деятельности и иных соглашений в области разведки и добычи углеводородного сырья. Очевидно, что должны быть приняты во внимание не только классические источники (например, ISO2), но и ряд экспертных площадок, способных помочь в формировании согласованной терминологии [1 – 10]. Примеры расхождения терминологии в нормативных документах РФ (в частности, для терминов «контролируемая зона», «инцидент», «доступность информации» 2 https://www.iso.org/ru/standard/54534.html
1 Лившиц Илья Иосифович, доктор технических наук, доцент факультета безопасности информационных технологий Университет ИТМО, г. Санкт-Петербург, Россия. E‑mail:Livshitz.il@yandex.ru 2 https://www.iso.org/ru/standard/54534.html
42
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.94
Анализ рисков информационной безопасности
известны: в документах ФСТЭК «Базовая модель угроз», ГОСТ Р ИСО/ТО 13569-2007, ГОСТ Р 53114-2008, стандарт ГОСТ Р 57580.1-2017 и пр.). Предлагается в качестве «отправного пункта» взять описания бизнес-процессов, которые нацелены на получение добавленной стоимости (не только по отношению к внешнему потребителю, в частности3) [5 – 8]. Есть основания полагать, что бизнес-процесс, как ценный актив современной проектной организации, подвержен рискам и, в частности, киберрискам [10 – 14]. Рассмотрим текущее состояние исследования киберрисков для управления НГП с приложением области информационной безопасности (ИБ). 1. Русско-американский словарь терминов и определений4 в сфере обеспечения кибер-безопасности, подготовленный совместными усилиями экспертов Института информационной безопасности при МГУ (РФ) и EastWest Institute (США), содержит определение кибербезопасности, как свойства киберпространства (киберсистемы) противостоять намеренным и/или ненамеренным угрозам, а также реагировать на них и восстанавливаться после воздействия этих угроз. Но определения киберрисков нет. 2. В руководстве «Кибербезопасность. Типовой учебный план»5 представлено определение, разработанное для Министерства внутренней безопасности (США): «Кибербезопасность – это деятельность или процесс, способность, возможность или состояние, при которых системы информации и связи и информация, содержащаяся в них, защищены и/ или охраняются от вреда, несанкционированного использования, модификации или эксплуатации». В тексте упоминаются киберриски (см. стр. 18 и 55) в общем описательном контексте, а точного определения не представлено. В словаре данного руководства термина «киберриск» нет. 3. В обзоре компании Gartner6 предложен оригинальный подход, согласно которому экспертам по безопасности следует использовать термин «Cybersecurity» (кибербезопасность) исключительно для обозначения практических методов безопасности, сочетающих в себе меры наступательного и оборонительного характера, как совокупность системы информационных и/или операционных технологий. Но определения киберрисков нет. 4. Термин «Cybersecurity» (кибербезопасность) приводится в документе ITU-T Recommendation X.1205 «Overview of cybersecurity»7, как набор инструментов: политик, концепций, мер защиты, подходов риск-менеджмента, обучения, лучших практик, технологий для защиты активов пользователя и организаций. Примечательно, что в представленной широкой трактовке данного термина упомянуты 3 https://www.iso.org/ru/standard/73906.html 4 https://digital.report/cybersecurity-terminology/ 5 https://www.nato.int/nato_static_fl2014/assets/pdf/ pdf_2016_10/20171004_1610-cybersecurity-curriculum-rus.pdf 6 http://bis-expert.ru/blog/5345/42757 7 www.itu.int/dms_pub/itut/oth/0A/0D/T0A0D00000A0002MSWE.doc
DOI:10.21681/2311-3456-2020-01-42-51
подходы риск-менеджмента (в оригинале: «risk management approaches»), но более детального толкования непосредственно для определения киберриска не представлено. 5. Документ «Cybersecurity Supervising a Moving Target»8, содержит рекомендации в области кибербезопасности применительно к финансовой (банковской) сфере. Несмотря на наличие значительного объема аналитических данных (по состоянию на 2016 г.) и рекомендаций по общим принципам управления ИТрисками и ИБ-рисками, детальных подходов к управлению именно киберрисками не представлено. Даны только общие замечания о том, что киберриски характеризуются отсутствием всяких стандартов и руководств (Guidance/Standard) и отражена точка зрения, что киберриски могут управляться, но никогда не могут быть исключены. Данный документ не содержит необходимых определений. С учетом рассмотренных выше результатов исследования трактовок киберрисков, введем новое определение киберриска – это риск, связанный с использованием технологий, оборудования и программного обеспечения (ПО), в том числе при управлении НГП. Для оценки киберрисков применяют различные «практические» стандарты (например, ISO 31010, ISO 27005, NIST SP-800-53 и пр.). Проблемные области Представляется целесообразным сформировать видение тех проблемных областей, влияние которых весьма существенно на НГП, для изучения которых следует создавать СУКР [15 – 22]. На практике владельцы бизнес-процессов требуют от специализированных подразделений компании (ИТ-службы, ИБ-службы, службы внутреннего аудита (СВА) и пр.) описания проблемных областей (иначе говорят «бутылочных горлышек»), в которых указанные процессы не достигают цели, и, соответственно, возможны потери. Под термином «потери» понимаются нет только финансовые издержки. Соответственно, для проблемных областей понимаем следующее: в НГП определен порядок, нарушение которого (и в равной мере появление угроз нарушения) должно предупреждаться специальными процедурами (в рамках систем менеджмента) еще «на подходе». В качестве таких систем менеджмента рассматриваются системы менеджмента информационной безопасности (ISO 27001), системы менеджмента непрерывности бизнеса (ISO 22301), системы менеджмента ИТ-услуг (ISO 20000:1) и интегрированных систем менеджмента (ИСМ). Представляется целесообразным определение следующих проблемных областей, исходя из имеющего опыта реализации сложных НГП: 1. Срыв сроков производственных задач – появление новых технологий предоставляет новые возможности, но и новые риски, которые с большой вероятностью включают киберриски, поскольку затрагивают любые компоненты ПО. 8
http://pubdocs.worldbank.org en/968221477065129639/ 17-Cyber-Security.pdf
43
Практика управления киберрисками в нефтегазовых проектах... 2. Сложные ИТ – в территориально-распределенных системах работают сотни коллег, что существенно расширяет проблемную область для проявления киберрисков, например, появления единой точки отказа и/или прекращения сервисной поддержки зарубежного ПО, факты которых широко известны. 3. Сложное оборудование – не всегда есть возможность контролировать выделенную стойку в удаленном ЦОДе, а многие компоненты ПО работают в «облаке». Подходы Известны несколько подходов создания СУКР, часть которых предлагается рассмотреть в качестве «хороших практик» для НГП: -- Подход ISO, в рамках которой внедряются как отдельные системы менеджмента (по данным ISO всего выполнено свыше 1 млн. внедрений СМК по ISO 9001, свыше 39 тыс. – ISO/IEC 27001 и свыше 5 тыс. – ИТ по ISO/IEC 20000:1). Но из всех проектов только 12% внедрили и оценивали ИСМ, в основном – предприятия пищевой промышленности;9 -- Подход к унификации стандартов, определенный Всесоюзным комитетом по стандартизации СССР (в 1940 – 1946 гг. возглавлял В.С. Емельянов), согласно которому отклонялись проекты стандартов, показатели которых ориентировались на одну отрасль без учета остальных. Например, в 1943 г. было утверждено 488 стандартов, а 71 проект был отклонен.10 Сейчас в РФ, к сожалению, отсутствует система научных исследований в области стандартизации; -- Подход NASA (модель «цифровых двойников», предложенная в 2002 г. М. Гривзом, которая затрагивает применение зеркалированной информации при управлении сложными объектами в течении всего ЖЦ), методы машинного обучения и статистического моделирования. Наибольшее значения имеют «операционные двойники», но это требуется Пфлопс на серверах высокой производительности; -- Решения класса GRC (Governance, Risk, Compliance), предложенные разработчиками (например, RSA, Oracle, SAP, RVision), пока не находят широкого применения в силу фрагментарного охвата функций ИБ, сложности внедрения, обязательным участием многочисленного персонала и высокой стоимости совокупного владения; -- Зарубежные методики (ISAGO, ITIL, COBIT, Octave, RiskIT, Harmonized TRA Methodology и пр.) уделяют внимание проблеме обеспечения ИБ, однако, единой концепции, увязанной с фазами ЖЦ и процессами обработки остаточных рисков ИБ к настоящему времени не представлено. Можно привести цитату, весьма точно описывающую существующий порядок управления киберриска9
Салимова Т.А. и др. Векторы развития СМК. Стандарты и Качество № 8(974) 2018 г. стр. 44 – 48
10 РГАЭ. – Ф. 4460. – Оп. 1. – Д. 118. – Л. 4 об
44
ми: «Предпринимаются попытки не просто вывести цифровизацию из-под научного аудита»11. Соответственно, если существующих подходов недостаточно, многие уважаемые заказчики полагают возможным и целесообразным обратиться к известным консультантам с мировым именем. Консультанты «Большой четверки» Определенно, консультанты известных компаний (Deloitte & Touche, PricewaterhouseCoopers, Ernst & Young, KPMG, Accenture, Boston Consulting Group и пр.) готовы предложить свои фирменные методики управления, но это не дает гарантий, что для конкретной деятельности НГП это применимо. Проблема управления киберрисками еще больше усугубляется при объективном анализе осуществимости и критичных факторов успеха для НГП в компаниях холдингового типа. Однако, при выборе консультантов даже на стадии формировании тендерной документации не все факторы могут быть учтены исходя из уже имеющегося опыта. Как известно, «генералы всегда готовятся к прошедшей войне». Следует принять во внимание ранее определенные «проблемные области»: к чему точно должны быть готовы представители заказчика (ИБ, ИТ, СВА, ИСМ) при выборе консультанта по вопросу создания СУКР? Попробуем разобраться на конкретных примерах. Риски, которыми не управляют консультанты по киберрискам На основании опыта реального НГП представим значимые риски: 1. Выявление, идентификация и оценивание киберрисков – существуют «уникальные» фирменные методики ведущих консалтинговых компаний. Каждая из них «заточена» под уже существующий «кейс», известный конкретным консультантам. Никто не будет разбираться в ваших проблемах на конкретном НГП. 2. Какими киберрисками нужно управлять – состав команды консультантов состоит, традиционно, из 1 «боевого индийского слона» и мелкой «пехоты». Никто не гарантирует, что все знают, чем отличается QWASP от CVE, что такое Residual risk и как следует обрабатывать Intangible asset. Они будут учиться на вашем проекте. 3. Культура управления киберрисками – мышление любого консультанта основано на минимизации времени, затраченного на решение вашей проблемы и максимального использования уже готовых «кейсов». 4. Рассмотрим такие кейсы, выявленные в реальном НПГ: -- На первом же интервью в 2018 г. представлен шаблон «Руководства по качеству» на базе ISO 9001 версии 2000 г., более того, настаивали, что он обязательный; -- Никогда не слышали о международных стандартах аудита ISO серии 19011 и 17021; -- Представили в пакете тендерной документации 11 http://nvo.ng.ru/realty/2019-04-26/3_1043_ai.html
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.94
Анализ рисков информационной безопасности
сертификат «эксперта» на соответствие ИСО 9000, т.е. словаря (см. рис. 1). -- Представлены «рекомендации» типовых шаблонов процедуры (входами являются и план аудита, и отчет по аудитам и план корректирующих дей-
Рис. 1. Пример «сертификата» эксперта на соответствие словарю ISO 9000
ствий), и описание одного из бизнес-процессов, в которых есть входы, но нет выходов (рис. 2). Очевидно, что такой подход ни в малейшей степени не позволяет достичь цели проекта по созданию СУКР, а только бы усилил существующую неопределенность (см. ISO 31000). Представляется возможным заметить еще один важный нюанс: явные попытки консультантов избежать применения отработанных методик, основанных на международных стандартах (ISO/IEC серии 3850012 и 3750013). -- Рассмотрим пример нарушения политики «чистого стола и чистого экрана» (см. рис. 3) – безнадзорно оставленные документы (в том числе, содержащие чувствительную информацию), незаблокированный компьютер и смартфон, хотя консультанты работают в общем помещении, доступ в которое есть у различных работников компании (в том числе, у потенциальных посетителей). Соответственно, до начала выполнения проекта создания современной СУКР для НГП необходимо оценить степень зрелости привлекаемых консультантов и принять решение о том, какой инструментарий следует применять. Инструментарий риск-менеджера С учетом негативного опыта общения с консультантами (в том числе, по указанным выше примерам), команда риск-менеджмента НГП приняла решение о создании СУКР в составе известных стандартов ISO серии 9001, 14001, 27001, 45001, и дополнительно: ISO серии 19011, 31000, 38500 и 37000. С учетом практики было определено, что требуется два набора инструментов при реализации НГП в компании холдингового типа:
Рис. 2. Примеры «типовых» решений консультантов 12 ISO 38500:2015 – Information technology – Governance of IT for the organization 12 ISO 38500:2015 – Information technology – Governance of IT for the organization 13 ISO 37500:2014 – Guidance on outsourcing 13 ISO 37500:2014 – Guidance on outsourcing
DOI:10.21681/2311-3456-2020-01-42-51
45
Практика управления киберрисками в нефтегазовых проектах... 1. «Малый набор» - для быстрого старта проекта создания «контекста» СУКР: -- ISO 31000 (31010) версии 2018 (2019), -- ISO/IEC 27005 версии 2018, -- NIST SP-800-53. 2. «Большой набор» - для обеспечения дальнейшего развития СУКР в рамках ИСМ: -- ISO серии 19011 – для выполнения аудитов, -- ISO серии 31000 (31010) – для управления рисками, -- ISO серии 38500 – для управления ИТ, -- ISO серии 37000 – для управления аутсорсингом. Управление киберрисками в фазах цикла PDCA Для целей данной публикации важно, что все предположения, заявленные командой НГП в начале ЖЦ, проверяются в полной мере в процессе планового внутреннего аудита ИСМ с установленной периодичностью. В полном объеме проверяется адекватность определения внутреннего и внешнего контекста, а также всего комплекса технических решений и мер обеспечения ИБ в соответствии с ранее установленными целями НГП. Для данных целей применяется СУКР, созданная для оперативного управления указанными ранее компонентами и, в равной мере, для системного изменения внутренней нормативной документации и перераспределения ресурсов. Пример СУКР, реализованных в фазе Check («проверяй») цикла Деминга показан на рис. 4. Замысел разработки СУКР С учетом негативного опыта работы консультантов, замысел разработки СУКР был определен в обеспечении системного подхода при выполнении НГП (см. рис. 5).
Рис. 3. Пример нарушения политики «чистого стола и чистого экрана» консультанта Одним из преимуществ является учет различных интересов в компаниях холдингового типа, в частности, при реализации территориально распределенных, технически и технологически сложных НГП в ограничениях внешних негативных воздействий. В этих условиях владелец НГП требует обеспечить достижение заданной цели проектной команды, при этом обеспечивая качество реализации НГП. В обобщенное понятие «качество реализации» входит широчайший спектр требований, в том числе, аспекты ИБ. Следующим важным фактором является не раздельное достижение «локальных» целей (сначала, например, цель в области ИБ, потом цель в области СМК и пр.) и потом достижение «глобальной»
Рис. 4. Управление рисками в цикле PDCA (Фаза Check)
46
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.94
Анализ рисков информационной безопасности
цели для всего НГП в компании холдингового типа, а построение ИСМ, в которой обеспечивается достижение единой цели, с учетом, соответственно, всех известных ранее ограничений, возмущающих воздействий, и, безусловно – совокупности рисков под управлением СУКР
(см. рис. 5). Уместно предоставить дополнительные пояснения, прежде всего в части различий между понятиями «система управления» и «системы менеджмента», которые чаще всего вызывают сложности практического применения (см. Таб. 1).
Рис. 5. Замысел разработки СУКР Соответствие различий между системой управления и системами менеджмента Сущность
Система управления
Реализация объекта
СУ (Интегрированная СУ)
Ограничения
ЛПР (директор)
Достижение цели
Бизнес-цели
Требования
Бизнес
Подходы к управлению
Принятая бизнес-практика
DOI:10.21681/2311-3456-2020-01-42-51
Таблица 1.
Системы менеджмента
------
Система менеджмента качества Система менеджмента непрерывности Система менеджмента ИБ Система менеджмента ИТ-сервисов ИСМ (интегрированная)
-- Руководители функции (процесса) -- Представители руководства (ПРК,..) -- Соответствие требованиям применимого законодательства -- Выполнение критических факторов успеха (KPI) -----
ФЗ (63, 98, 102, 149, 152, 184, 187,…) ФСБ (ФСТЭК) СТО БР ИББС (СТО Газпром СОИБ) PCI DSS, GDPR и пр.
-- Оценка рисков -- Лучшие имеющиеся технологии -- Отраслевые рекомендации (требования)
47
Практика управления киберрисками в нефтегазовых проектах... Интегрированные системы менеджмента
Риски проекта создания СУКР
На практике НГП обеспечивается «единое управляющее поле» (можно сравнить с методологией ИСМ) для обеспечения успешной и устойчивой проектной деятельности компании, а также учета лучшей практики в сложной конкурентной обстановке нефтегазовых компаний. Следует заметить, что в рассматриваемом НГП изначально в первых фазах ЖЦ уделялось большое внимание соответствию современным требованиям стандартов ISO, даже когда некоторые из них в 20172018 гг. были в статусе проектов (FDIS), и это требование было неукоснительно перенесено в тендерную документацию. Одним из ключевых факторов успеха в рассматриваемом НГП по внедрению эффективной СУКР является обеспечение поддержки современными ИТ ([13, 14]). Соответственно, были дополнены требования в части обеспечения ИБ, особенно при разделении передачи информации между внутренним и внешним периметром (см. рис. 6). С учетом известных факторов успеха в рассматриваемых НГП было уделено особое внимание необходимости достижения эффекта эмерджентной системы – органичной интеграции всех рабочих органов компании в «единое управляющее поле» ([13, 14]). Соответственно, по аналогии, ИСМ формирует мягкие условия для создания эффективной корпоративной СУКР, влияющей на устойчивое выполнение НГП, или, по аналогии: «управлении в большом» и «управлении в малом» (как показано в ряде работ Месаровича, Мако и Такахара), подчеркивая создание правил и контроль выполнения этих правил.
Создание современной СУКР, разработанной для обеспечения управления НГП, значительно отличается от тривиальных задач по созданию простейших СМК, которые хорошо известны в мире и в практике крупнейших российских компаний, например, ПАО «Газпром»14. Действительно, многие компании группы ПАО «Газпром» демонстрируют успехи в процессе освоения не только СТО Газпром серии 9001, но и соответствие требованиям международных стандартов. Особенности проблемы создания СУКР состоят в том, что в качестве объекта управления находятся не хорошо известные процессы добычи, транспортировки, переработки и сбыта углеводородного сырья и нефтепродуктов, а объекты инвестиционного нематериального поколения. Следует обеспечить учет значительного количества факторов, в стандартах ISO именуемых «внешним контекстом» и «внутренним контекстом» и обеспечить поддержку ИСМ с помощью СУКР. Как показывает анализ публикаций и докладов на специализированных форумах: Байкальский риск-форум15 и Петербургский международный газовый форум16, присутствует понимание, что система риск-менеджмента не может жить отдельно от ИСМ. В обеспечение данного тезиса можно привести достаточно предложений от компаний (IBM, EMC, RSA, SAP, Oracle и пр.), и заслуживает особое внимание предложение новых подходов, называемых «цифровыми двойниками» (можно отменить доклады на ПМГФ-2018 Siemens, AVEVA и пр.). 14 http://moskva-tr.gazprom.ru/about/manage/ 15 https://www.ibrif.ru/ 16 http://gas-forum.ru/
Рис. 6. Разделение информации в ИСМ компании 14 http://moskva-tr.gazprom.ru/about/manage/ 15 https://www.ibrif.ru/ 16 http://gas-forum.ru/
48
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.94
Анализ рисков информационной безопасности
В рамках СУКР удалось реализовать еще одну грань интеграции: киберриски были интегрированы в «единое управляющее поле» компании при выполнении НГП. Внедрения стандартов ISO/IEC серии 27001 и/или 20000 уже объективно недостаточно и нужно переходить к новым стандартам, например, управления знаниями (Knowledge management), например, на базе ISO 3040117. В подтверждение данного тезиса можно привести пример анализа фрагмента технико-экономического обоснования НГП с учетом корпоративной системы менеджмента знаниями (см. на рис. 7). Вывод При создании СУКР для выполнения НГП в компаниях холдингового типа необходимо создавать ИСМ в
составе известных стандартов ISO серии 9001, 14001, 27001, 45001 и пр., а также учитывать новые перспективные стандарты ISO, например, серии 37500, 38500 и 30401. Эти требования должны быть максимально учтены в случае приглашения консалтинговых компаний, для которых процедуры управления киберрисками должны устанавливаться и контролировать с самой ранней стадии ЖЦ. Представленная работа отражает общие итоги исследования, получившего практическое подтверждение при реализации НГП в 20172019 гг. и удостоена диплома лауреата 1-й премии на Международном конкурсе научных, научно-технических и инновационных разработок, направленных на развитие топливно-энергетической и добывающей отраслей18 в 2019 г.
17 ISO 30401:2018 Knowledge management systems. Requirements
18 https://www.technodevelop.ru/
Рис. 7. Пример применения Системы менеджмента знаниями при управлении НГП
Рецензент: Молдовян Александр Андреевич, начальник научно-исследовательского отдела проблем информационной безопасности, доктор технических наук, профессор, Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН), Санкт-Петербург, Россия. E-mail: maal305@yandex.ru
17 ISO 30401:2018 Knowledge management systems. Requirements 18 https://www.technodevelop.ru/
DOI:10.21681/2311-3456-2020-01-42-51
49
Практика управления киберрисками в нефтегазовых проектах... Литература 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.
17. 18. 19. 20. 21. 22.
Teilans A.A., Romanovs A.V., Merkuryev Yu.A., Dorogovs P.P., Kleins A.Ya., Potryasaev S.A. / Assessment of Cyber Physical System Risks with Domain Specific Modelling and Simulation. SPIIRAS Proceedings. 2018. Issue 4(59). 115 -139 / DOI 10.15622/sp.59.5 Biro M., Mashkoor A., Sametinger J., Seker R. Software Safety and Security Risk Mitigation in Cyber-physical Systems // IEEE Software. 2018. vol. 35. no. 1. pp. 24–29. DOI: 10.1109/MS.2017.4541050 Hu F. Cyber-Physical Systems: Integrated Computing and Engineering Design // New York: CRC Press. 2018. 398 p. ISBN 9781466577008 Eling M. What do we know about cyber risk and cyber risk insurance? // The Journal of Risk Finance. 2017. Іss. 5. Р. 474–491. DOI: 10.1108/JRF-09-2016-0122 Subhayu Bandyopadhyay. The Economic Impact of Terrorism on Developing Countries. January 29, 2018 Subhayu Bandyopadhyay, Javed Younas. Trade and Terror: The Impact of Terrorism on Developing Countries. December 11, 2017 Bandyopadhyay, Subhayu; Sandler, Todd; and Younas, Javed. Foreign Direct Investment, Aid, and Terrorism. Oxford Economic Papers, January 2014, Vol. 66, No. 1, pp. 25-50. James Andrew Lewis. The Economic Impact of Cybercrime— No Slowing Down. CSIS. February 21, 2018 Max Metzger. FBI says Ransomware soon becoming a billion dollar business. SC Media UK, January 10, 2017. Arctic Potential: Realizing the Promise of U.S. Arctic Oil and Gas Resources. National Petroleum Council 2015. World Energy Outlook 2017. OECD/IEA, September 14, 2017 World Energy Outlook 2018. The gold standard of energy analysis. OECD/IEA, 2018. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72–94. ISSN 2078-9599 Лившиц И.И. Методика выполнения комплексных аудитов промышленных объектов для обеспечения эффективного внедрения систем энергоменеджмента // Энергобезопасность и энергосбережение. 2015. Вып. 3. С. 10-15. Забайкин Ю.В., Заернюк В.М. Совершенствование механизма устойчивого развития промышленного предприятия: теория и методология. М.: Научные технологии, 2017. 263 стр. ISBN 978-5-4443-0116-6 Полетыкин А.Г. Формализованный метод оценки и управления рисками для обеспечения кибербезопасности больших систем управления / Материалы VIII Международной конференции «Управление развитием крупномасштабных систем» (MLSD’2015, Москва). — М.: ИПУ РАН, 2015. Т. I. С. 123–129. MLSD’2015 Заернюк В.М., Снитко Н.О. Оценка техногенных рисков в горнодобывающей отрасли // Известия высших учебных заведений // Геология и разведка. 2016. № 5. С. 73–78. Ревенков П.В., Бердюгин А.А. Кибербезопасность в условиях Интернета вещей и электронного банкинга // Национальные интересы: приоритеты и безопасность. 2016. № 11 (344). С.158–169. ISSN 2311-875X Плучевская Э.В., Овинникова К.Н. Актуальность процессного подхода при управлении проектами в нефтегазовой отрасли // Экономика и предпринимательство. 2014. 12-2 (53). С. 681-686. ISSN: 1999-2300 Рябов А.А. Проекты руководств по безопасности на опасных производственных объектах нефтегазового комплекса // Безопасность труда в промышленности. 2014. 12. С. 68-70. Мастепанов А.М. Нефтегазовые проекты на арктическом шельфе в условиях высоких и низких цен на энергоресурсы // Научный журнал российского газового общества. 2016. 4. С.1-18. ISSN: 2412-6497 Ермолина Л.В., Ильина Л.А. Особенности управления проектами акселерации развития бизнеса нефтегазовых предприятий // Известия Волгоградского государственного технического университета. 2016. 16 (195). С. 80-84.
Practice of cyber-risks management in oil and gas projects of holding companies Livshitz I.I.19 Abstract. A significant part of the projects for the development of cyber risk management systems in oil and gas projects, either does not lead to the expected results, or in fact requires more resources than planned. One of the reasons for this situation seems to be the lack of reliable and practically tested risk management tools at the disposal of senior management and the project team, especially in the early stages of the life cycle. The presented publication will consider an example of a significant duration of the project for which the development of a risk management system was carried out. Purpose. Analysis of existing approaches to cyber risk management and development of recommendations for information security in oil and gas projects of holding companies. Research methods. Methods of system analysis and methods of theoretical and comparative analysis are used. The risks arising at various stages of preparation of oil and gas projects are investigated. 19 I.I. Livshitz, Dr. Sc., professor ITMO University, St.-Petersburg, Russia, E-mail: Livshitz.il@yandex.ru
50
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.94
Анализ рисков информационной безопасности
Results. A system of identifying sources, identification and analysis of cyber risks that can affect the implementation of oil and gas projects for holding companies has been developed. The stages of the life cycle are considered and the need to ensure information security with the involvement of consulting companies is noted. It is recommended to pay attention to the degree of maturity of the consulting companies involved. Information security is proposed to be implemented at different levels: in assessing the competencies of specialists used it, culture analysis and preparation of reporting documents. The results of the study were applied in the implementation of oil and gas projects. Keywords Project, oil and gas project, risks, cyber risks, management system, integrated management system, information security, audit. References 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.
17. 18. 19. 20. 21. 22.
Teilans A.A., Romanovs A.V., Merkuryev Yu.A., Dorogovs P.P., Kleins A.Ya., Potryasaev S.A. / Assessment of Cyber Physical System Risks with Domain Specific Modelling and Simulation. SPIIRAS Proceedings. 2018. Issue 4(59). 115 -139 / DOI 10.15622/sp.59.5 Biro M., Mashkoor A., Sametinger J., Seker R. Software Safety and Security Risk Mitigation in Cyber-physical Systems // IEEE Software. 2018. vol. 35. no. 1. pp. 24–29. DOI: 10.1109/MS.2017.4541050 Hu F. Cyber-Physical Systems: Integrated Computing and Engineering Design // New York: CRC Press. 2018. 398 p.. ISBN 9781466577008 Eling M. What do we know about cyber risk and cyber risk insurance? // The Journal of Risk Finance. 2017. Іss. 5. Р. 474–491. DOI: 10.1108/JRF-09-2016-0122 Subhayu Bandyopadhyay, The Economic Impact of Terrorism on Developing Countries. January 29, 2018 Subhayu Bandyopadhyay, Javed Younas. Trade and Terror: The Impact of Terrorism on Developing Countries. December 11, 2017 Bandyopadhyay, Subhayu; Sandler, Todd; and Younas, Javed. Foreign Direct Investment, Aid, and Terrorism. Oxford Economic Papers, January 2014, Vol. 66, No. 1, pp. 25-50. James Andrew Lewis. The Economic Impact of Cybercrime — No Slowing Down. CSIS. February 21, 2018 Max Metzger. FBI says Ransomware soon becoming a billion dollar business. SC Media UK, January 10, 2017. Arctic Potential: Realizing the Promise of U.S. Arctic Oil and Gas Resources. National Petroleum Council 2015. World Energy Outlook 2017. OECD/IEA, September 14, 2017 World Energy Outlook 2018. The gold standard of energy analysis. OECD/IEA, 2018. Livshits I. Podhodi k primeneniy modeli integrirovannoy sistemy memegzhmenta dly provedeniy auditov slozhnyh promishlennyh objectov – aeroportovyh kompleksov // Trydi SPIIRAN. 2014. 6. 72–94 pp. Livshitz I. Metodika vypolneniy kompleksnyh auditov promishlennyh objectov dly obespechenia effectivnigo vnegrenia system energomenegzhmenta // Energobezopasnost’ I Energosberezhenie. 2015. 3. 10-15 pp. Zabaikin Y., Zaernyk V., Soversnenstvovanie mechanism usto’chivogo rezvitiya promyshlennogo predpriyatia. M.: Nauchnie technolii. 2017. 263 p.. ISBN 978-5-4443-0116-6 Poletikin A. Formalizovannyi’ metod ocenki I upravleniya riskami dly obespechenia kiberbezopasnosti bol’shih system upravlenia/ Materialy VIII Mezdunarodno’ konferencii “Upravlenie razvitiem krupnomashtabnih sistem” MLSD’2015, Moskva. M. IPU RAN. 2015. 1. 123-129 pp.. MLSD’2015 Zairnyk V., Snitko N. Ocenka technogennyh riskov v gornodobivayshei otrasly // Izvestia vysshih uchebnich zavedeni’. Geologia I razvedka. 2016. 5. 73-78 pp. Revenkov P., Bergugin A. Kiberbezopasnost’ v usloviyah internet veshe’ I elektonnogo bankinga // Nacional’nie interesy: prioritety I bezopasnost’. 2016. 11 (344). 158-169 pp.. ISSN 2311-875X Pluchevskay E., Ovinnikova K. Aktual’nost’ processnogo podhoda pri upravlenii proektami v neftegazovoi otrasli // Ekonomika I predprinimatel’stvo. 2014. 12-2 (53). 681-686 pp.. ISSN: 1999-2300 Ryabov A. Proekti rukovodstva po bezopasnosti na opasnih proizvodstvennih ob’ektah neftegazovogo kompleksa // Bezopasnost’ truda v promishlennosti. 2014. 12. 68-70 pp. Mastepanov A. Neftegazovye proekty na arkticheskom shel’fe v usloviyah vysokih I nizkih cen na energoresursy // Nauchni’ zhurnal rossi’skogo gazovogo obshestva. ISSN: 2412-6497. 2016. 4. 11-18 pp.. ISSN: 2412-6497 Ermolina L., Il’ina L. Osobennosti upravleniya proektami akseleracii razvitiy biznesa neftegazovih predpriyati’ // Izvestiy Volgogradskogo gosudarstvennogo tehnicheskogo universiteta. 2016. 16 (195). 80-84 pp.
DOI:10.21681/2311-3456-2020-01-42-51
51
Программный комплекс управления доступом usb-устройств...
ПРОГРАММНЫЙ КОМПЛЕКС УПРАВЛЕНИЯ ДОСТУПОМ USB-УСТРОЙСТВ К АВТОМАТИЗИРОВАННЫМ РАБОЧИМ МЕСТАМ Баев А.В.1, Гаценко О.Ю.2, Самонов А.В.3 В настоящее время для подключения к компьютерам каких-либо внешних устройств, начиная с флешнакопителей, фото и видео камер и заканчивая офисным оборудованием и сложнейшими медицинскими приборами, все более и более активно используется последовательный интерфейс передачи данных USB. Широкое использование USB-устройств для хранения и передачи данных обусловлено их универсальностью, надежностью, производительностью, простотой и удобством. В тоже время USB-устройства являются одними из наиболее опасных и активно используемых средств и каналов реализации угроз информационной безопасности. Целью исследования, результаты которого представлены в данной статье, является повышение защищенности автономных автоматизированных рабочих мест от угроз информационной безопасности, реализуемых с помощью USB-устройств. Методы исследования: для достижения данной цели были исследованы технические характеристики и функциональные возможности USB-устройств, определены потенциальные уязвимости и способы их эксплуатации для реализации угроз информационной безопасности, а также проанализированы достоинства и недостатки существующих подходов и средств защиты. Результат проведенных исследований и работ: создан программный комплекс управления доступом USBустройств, обеспечивающий защиту автономных автоматизированных рабочих мест, функционирующих под управлением ОС Windows, посредством обнаружения подключаемых устройств, проверки их легитимности по защищенной базе данных о разрешенных USB-устройствах, блокировки нелегитимных подключений, регистрации связанных с этими операциями событий. Данный программный комплекс может также применяться для обнаружения фактов нелегитимного использования USB-устройств, отслеживания и регистрации выполненных с их помощью операций для выявления и анализа инсайдерской деятельности. Дано описание состава, структуры и алгоритмов функционирования данного программного комплекса. Определены основные направления его развития и совершенствования. Ключевые слова: алгоритмы и средства защиты, управление доступом, USB-устройства, уязвимости USB, угрозы информационной безопасности.
DOI: 10.21681/2311-3456-2020-01-52-61 Введение Широкое применение USB-устройств для хранения и передачи данных обусловлено тем, что они обладают рядом преимуществ перед другими носителями информации. Основными из них являются: простота использования, мобильность, компактность, высокая скорость, надежность, низкое энергопотребление и широкая аппаратная поддержка на различных платформах. Это, в свою очередь, привело к тому, что USB-устройства стали одними из наиболее опасных и активно используемых средств и каналов реализации угроз информационной безопасности (ИБ). Данный факт подтверждают результаты целого ряда исследований. Например, в отчете компании Honeywell
Industrial Cyber Security4, которая специализируется в области промышленной кибербезопасности, представлены следующие результаты анализа уязвимостей USBустройств и связанных с ними угроз ИБ. В результате обследования 50 предприятий из четырех индустриальных областей, расположенных на четырех континентах, было установлено, что на 44% используемых USBустройств был выявлен и заблокирован, как минимум, один файл, угрожавший безопасности. При этом 26% из этих файлов представляли угрозу, в случае реализации которой операторы могли потерять возможность контролировать состояния объектов и управлять технологическими процессами. Среди обнаруженных угроз были 4
1
https://www.automation.com/pdf_articles/honeywellps/HoneywellUSB-Threat-Report.pdf
Баев Алексей Владимирович, старший научный сотрудник, Военно-космическая академия имени А.Ф. Можайского, Санкт-Петербург, Россия, E-mail: baih@mail.ru
2
Гаценко Олег Юрьевич, доктор технических наук, старший научный сотрудник, АО НИИ ПС, Санкт-Петербург, Россия, E-mail: gatcenko@mail.ru
3
Самонов Александр Валерьянович, кандидат технических наук, доцент, Военно-космическая академия имени А.Ф. Можайского, Санкт-Петербург, Россия, E-mail: a.samonov@mail.ru ORCID: 0000-0002-0390-4481
4
https://www.automation.com/pdf_articles/honeywellps/Honeywell-USB-Threat-Report.pdf
52
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.5
Анализ рисков информационной безопасности
такие, как TRITON, Mirai, разные формы червя Stuxnet. В отчете отмечается, что традиционные средства защиты от вредоносных программ не смогли обнаружить 11% выявленных угроз. О значительном росте (более чем в два раза) инцидентов ИБ в РФ, связанных с утечками конфиденциальной информации посредством USB-носителей, сообщается в аналитическом отчете отечественной компании InfoWatch5. Для противодействия этим угрозам ИБ используются два подхода. Первый подход предполагает полный запрет и отключение физической возможности использования USB-устройств. Реализация данного решения целесообразна для систем, хранящих и обрабатывающих информацию, содержащую сведения, составляющие государственную тайну или особо конфиденциальные данные. Второй подход основан на использовании программных и аппаратно-программных средств защиты от несанкционированного доступа (СЗИ НСД) и реализации соответствующих организационно-технических мер. СЗИ НСД различаются по составу и способам реализации функциональных возможностей, программно-аппаратным платформам, масштабируемости, сложности установки и эксплуатации, стоимостным и другим характеристикам. Примерами комплексных решений являются такие системы, как «Secret Net», «Страж NT», «Dallas Lock», «DeviceLock DLP». Данные системы обладают необходимым набором функций для противодействия угрозам ИБ. Однако, их использование не всегда экономически оправданно, из-за сложности эксплуатации и высокой стоимости. Для защиты автономных автоматизированных рабочих мест (АРМ) экономически и технически более целесообразно использовать менее сложные и дорогостоящие решения и средства. В данной статье дана краткая характеристика достоинств и недостатков современных USB-устройств, проанализированы связанные с их применением потенциальные угрозы ИБ и способы противодействия им. Описаны состав, структура и алгоритмы функционирования программного комплекса управления доступом USB-устройств, предназначенного для защиты автономных автоматизированных рабочих мест, функционирующих под управлением операционной системы Windows. 1. Анализ характеристик и возможностей USB-устройств USB-интерфейс (Universal Serial Bus – универсальная последовательная шина) – это последовательный интерфейс передачи данных для периферийных устройств в вычислительной технике. В настоящее время интерфейс USB (спецификации версий от 2.0 до 3.2) является основным коммуникационным протоколом для подключения и обмена данными с компьютерами таких устройств, как мыши, клавиатуры, принтеры, сканеры, модемы, кардридеры, флэш-накопители, фотоаппараты, сотовые телефоны, плееры, жёсткие диски, оптические дисководы и др. [1]. USB-интерфейс практически полностью заменил другие интерфейсы: COM5 http://www.infowatch.ru/analytics
DOI:10.21681/2311-3456-2020-01-52-61
порт – для мыши, PS/2 – для клавиатуры, параллельный порт – для принтера. Это обусловлено следующими его характеристиками и возможностями6. 1. Универсальностью и распространенностью. Все современные компьютеры оснащены несколькими портами USB (на современных настольных ПК их до 12, на большинстве ноутбуков от 2-х до 4-х). USB используют такие устройства, как фото и видеокамеры, клавиатуры, принтеры и другие периферийные устройства. 2. Простота в использовании. USB-устройства можно подключать и отключать во время работы компьютера (Plug and Play). Современные операционные системы сразу же распознают USB-устройства и подгружают необходимые драйверы. 3. Высокая пропускная способность. Для интерфейса USB 2.0 она составляет 480 Мбит/с. Копирование файла размером 700 Мб на накопитель, подключенный к порту USB 2.0, займет не более 20 секунд. В стандарте USB 3.0 пропускная способность достигла уровня 5 Гбит/с, в версии USB 3.2 (SuperSpeed USB 20Gbps) – до 20 Гбит/с7, в новой версии USB 4.0 возрастет до 40 Гбит/с8. 4. Обеспечение питания. Порт USB не только служит для подключения периферии, но и может подавать питание на устройства с низким энергопотреблением: мыши, клавиатуры, съемные USB-флеш-носители и внешние жесткие диски. Широкое распространение и активное использование USB-накопителей, практически вытеснивших все другие переносные средства хранения данных, обусловлены следующими свойствами этих устройств9: -- компактностью – при минимальных размерах флешки позволяют хранить до 256 ГБ данных; -- универсальностью – подключение через один USB-порт проще, чем через два, как того требуют быстрые внешние винчестеры, и точно проще, чем использование карт-ридера; -- экономичностью – флеш-память имеет одно из лучших соотношений цена/объём данных; -- надёжностью – флешки в герметичном ударопрочном корпусе, не боятся ни воды, ни падения с высоты, пыли и механических вибраций за счёт отсутствия движущихся частей. -- К числу недостатков флешек относятся: -- невысокая износоустойчивость при частой эксплуатации; -- чувствительность к электромагнитному импульсу; -- криптографическая ненадёжность; -- легкость потери, кражи, подмены, бесконтрольного выноса за пределы контролируемой зоны. Активное использование USB-устройств в государственных и корпоративных информационных системах, обусловленное их преимуществами перед другими средствами хранения информации, имеет и не6
https://www.ixbt.com/data/sandisk-extreme-go-pro-review.html
7
https://www.usb.org/superspeed-usb
8
https://habr.com/ru/news/t/466269/
9
https://www.anti-malware.ru/analytics/Threats_Analysis/securityflaws-in-usb
53
Программный комплекс управления доступом usb-устройств... гативную сторону – USB-устройства стали одними из наиболее опасных и активно используемых средств и каналов реализации угроз ИБ. 2. Анализ уязвимостей и угроз информационной безопасности, связанных с использованием USB-устройств Спецификация интерфейса USB изначально разрабатывалась без учета вопросов обеспечения информационной безопасности систем, которые будут использовать USB-устройства. Приоритетными при создании технологии USB были такие свойства как гибкость, универсальность, простота и удобство использования. Для обеспечения этого каждое устройство USB имеет собственный чип контроллера и память для прошивки программной реализации специфичных для него функций. Все USB-устройства взаимодействуют с операционной системой через универсальный USB-контроллер, который определяет класс USB-устройства и сообщает его операционной системе. После этого происходит установка драйверов и с устройством становится возможным взаимодействовать. При этом операционные системы (Windows, Linux, macOS) доверяют любому подключенному к порту USBустройству. Когда USB-устройство подключается к компьютеру, чип выполняет код прошивки. На легитимном накопителе прошивка запрограммирована на то, чтобы зарегистрировать себя в качестве устройства и загрузить драйвер, который впоследствии будет установлен. Прошивку можно запрограммировать так, что обычная USB флэшка будет рассматриваться, как клавиатура или сетевой адаптер, что позволит злоумышленнику реализовать различные виды атак вплоть до получения полного контроля над системой. Используя данную уязвимость, получившую название BadUSB, можно реализовать следующие атаки [2 – 5]. 1. Подключенный к системе USB флеш-накопитель с перепрошитой памятью может выдать себя за клавиатуру и начать отдавать команды от имени пользователя, под которым был выполнен вход в ОС. Если был выполнен вход от имени администратора, устройство получает полный доступ ко всем возможностям ОС. 2. USB-устройство с BadUSB уязвимостью может эмулировать сетевую карту компьютера, с помощью специальной прошивки осуществить подмену стандартных DNS-адресов и перенаправить весь трафик через подставной сервер, получив возможность совершать атаку типа «человек посередине». 3. USB-накопитель, который будет использован для переустановки ОС, может уже быть заражен BadUSBинфекцией и сразу, при установке, прописать в памяти компьютера вредоносные файлы и заразить «чистую» ОС. Администратор может и не узнать об этом, потому что вредоносные файлы будут находиться уже в самой ОС до установки антивирусной программы. 4. USB-устройства с установленными в них специальными программами могут осуществлять сокрытие вредоносных файлов от средств защиты ОС и антивирусов, например посредством модифицирования зараженных файлов «на лету». Антивирусная программа
54
проверяет «чистый» файл до его изменения, после этого на USB-накопитель записывается зараженный файл. Спектр возможных атак с помощью USB-устройств ограничен только возможностями и целями нарушителей. Описание различных вариантов атак, реализуемых с помощью USB- устройств, представлены также в статьях [6 – 13]. Учитывая тот факт, что атаки реализуются на уровне микрокодов, опасность и универсальность их реализации очень высоки. В следующем разделе представлен обзор методов и средств, используемых для защиты от этих угроз. 3. Обзор методов и средств защиты от угроз информационной безопасности, реализуемых посредством USB-устройств Для противодействия угрозам ИБ, реализуемых посредством USB-устройств, используются два подхода. Первый подход предполагает полный запрет и отключение физической возможности использования USBустройств. Второй подход основан на использовании программных и аппаратно-программных СЗИ НСД и реализации соответствующих организационно-технических мер. Полный запрет и отключение физической возможности использования USB-устройств можно осуществить следующими способами10: -- отключить USB через настройки BIOS; -- изменить параметры реестра для USB-устройств; -- отключить USB-порты в диспетчере устройств; -- деинсталлировать драйверы контроллера USB; -- использовать дополнительные программы; -- осуществить физическое отключение USB-портов. При реализации второго подхода, предусматривающего регулируемое и контролируемое использование USB-устройств, используются следующие классы СЗИ: -- программные и программно-аппаратные СЗИ НСД: «Dallas Lock», «Secret Net», «Аккорд», «DeviceLock DLP» и др.; -- средства предотвращения утечек конфиденциальной информации за пределы защищаемой сети – DLP-системы (Data Leak Prevention): «SecurIT ZGate», «InfoWatch Traffic Monitor», «Symantec Data Loss Prevention», «Search Inform Контур безопасности», «FalconGaze SecureTower» и др.; -- средства криптографической защиты информации (СКЗИ) или IRM-системы (Information Rights Management): «Adobe LiveCycle Rights Management», «Check Point Document Security», «EMC Documentum IRM Services», «Microsoft AD RMS», «Oracle IRM» и др. Применение возможностей СЗИ НСД является более предпочтительным решением с точки зрения надежности и управления, поскольку оно позволяет использовать единый центр управления, единую систему аутентификации и авторизации пользователей, обеспечивает аппаратную поддержку защиты и способно контролировать доступ к разнообразным интерфейсам, 10 https://sysadmin.ru/articles/zapretit-ispolzovanie-USB-fleshnakopitelej-fleshek-na-kompyutere
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.5
Анализ рисков информационной безопасности
не только к USB. В отличие от мер, полностью блокирующих использование USB-устройств, они позволяют делать это более точно и конкретно с учетом особенностей систем и ролей пользователей. С помощью интегрированной консоли управления определяется каким пользователям предоставить доступ к тем или иным локальным портам, на каких компьютерах, в какое время, для каких операций (чтение, запись, выполнение) и т.п. В то же время применение столь мощных СЗИ НСД имеет следующие ограничения и недостатки: высокая стоимость продукта, большое потребление ресурсов персональных компьютеров, не всегда самых быстродействующих, сложность обучения, трудоемкость конфигурирования, что часто обуславливает неполное использование возможностей этих систем для предотвращения утечек информации. Следующий класс СЗИ – системы сегмента DLP [14 – 17]. Главной их характеристикой является глубокий анализ информационного содержимого исходящих данных. Подобные решения определяют легитимность той или иной операции на базе технологий глубокой контентной фильтрации. Однако уровень качества их современной реализации пока не позволяет обеспечить необходимый уровень полноты и точности контроля информации, передающейся по локальным портам на мобильные носители. Это обусловлено следующими причинами11. Во-первых, современный уровень технологии контентной фильтрации не позволяет полностью избежать ошибок ложного распознавания содержимого данных — так называемых ложноположительных и ложноотрицательных срабатываний. В существующих системах уровень точности контентной фильтрации редко превышает 80-85% . Во-вторых, глубокий контентный анализ — весьма ресурсоемкий процесс. Когда отправляется письмо по электронной почте, DLP-система перехватывает его в сети и анализирует на уровне SMTP-сервера с достаточной для этой задачи производительностью. Если же информация копируется локально, такой подход неприменим, поскольку информация в принципе не попадает в сеть. В результате приходится идти на компромисс: либо пересылать теневые копии информации на сервер и потом получать по ней вердикт, либо анализировать информацию локально. В первом случае создается значительная нагрузка на сеть, что может привести к длительным задержкам (например, при копировании на съемный носитель видео файлов), а во втором — страдает качество анализа, поскольку персональному компьютеру не хватает мощности для данного вида обработки, либо он работает по более простым и менее надежным алгоритмам. Третья причина, ограничивающая применение DLPсистем для контроля локальных портов, тесно связана с первой. Дело в том, что DLP-системы изначально были спроектированы как шлюзовые решения для анализа сетевого трафика, поэтому их агентские компоненты еще не достигли уровня, необходимого для контроля 11 https://www.anti-malware.ru/analytics/Market_Analysis/Discovery-DLP
DOI:10.21681/2311-3456-2020-01-52-61
других интерфейсов, в частности USB портов. Кроме того, требуются дополнительные усилия по встраиванию DLP-систем в единую систему обеспечения ИБ. Сами эти системы не обеспечивают безопасность вычислительной среды, а потому для их безопасного функционирования требуется установка тех же СЗИ НСД. Таким образом, использование DLP-систем для контроля доступа пользователей к USB-носителям оправданно в двух случаях. Во-первых, когда эти средства не столь обременительны по цене, как СЗИ НСД, а использование последних не является необходимым. Это системы с нарушителем класса не выше Н2 по классификации ФСТЭК. Во-вторых, использование для расширения функционала СЗИ НСД в том случае, когда доказана работоспособность этого расширенного функционала. Средства криптографической защиты информации или системы класса IRM не ограничивают использование USB-устройств, однако могут существенно снизить возникающие при их использовании риски нарушения ИБ. Работа типичной IRM-системы строится на базе двух механизмов: меток конфиденциальности и шифрования. Каждый защищаемый файл помещается в шифрованный контейнер вместе со специальной меткой, определяющей права доступа к нему. Если такой контейнер будет похищен или утерян, то без знания секретной информации о ключах шифрования доступ к хранящейся в нем информации будет закрыт. С точки зрения контроля информации, перемещаемой на съемных носителях, данная схема практически эквивалентна принудительному шифрованию экспортируемых на съемные носители данных, которое часто встречается в системах контроля доступа к портам и периферийным устройствам. Системы класса IRM разрешают экспорт конфиденциальной информации только в зашифрованном виде, что позволяет всегда защитить организацию от случайных утечек, но редко от утечек спланированных. Производительность IRM-систем существенно зависит от количества «защищаемых» файлов и интенсивности их модификаций пользователем. Для больших систем и высокой динамике изменения данных их использование потребует значительных вычислительных ресурсов. Ограничивающим фактором применения систем данного класса также является относительно высокая сложность управления средствами криптографической защиты информации, включая подсистему генерации и хранения ключей шифрования. Каждый способ защиты от угроз, связанных с использование USB-устройств, представляет собой компромисс между удобством пользователей, требованиями службы безопасности и стоимостью системы. Современные DLP-системы контентной фильтрации пока не могут полностью решить проблему локальных утечек данных с компьютеров сотрудников организации. На современной стадии развития средств защиты от инсайдерских утечек иногда более эффективным является использование простых, но при этом гораздо более дешевых и надежных средств разграничения доступа, обладающих возможностями контекстного контроля в сочетании с некоторым базовым функционалом фильтрации контента.
55
Программный комплекс управления доступом usb-устройств... В качестве подобного решения эконом-класса предлагается использовать программный комплекс управления доступом USB-устройств к защищаемому АРМ, обеспечивающий обнаружение подключаемых устройств, проверку их легитимности по защищенной базе разрешенных USB-устройств, блокировку нелегитимных подключений, регистрацию связанных с этими операциями событий. В следующем разделе представлено описание состава, структуры и алгоритмов функционирования такого программного средства. 4. Состав и алгоритмы функционирования программного комплекса управления доступом USB-устройств к защищаемым ресурсам Программный комплекс управления доступом USBустройств (ПК УД-USB) предназначен для защиты АРМ, функционирующих под управлением операционной системы MS Windows, от угроз ИБ, реализуемых посредством USB-устройств. ПК УД-USB обеспечивает: -- создание и ведение базы данных USB устройств, разрешенных для использования на данном АРМ (БД USB); -- обнаружение и проверку легитимности использования USB-устройств по БД USB; -- автоматическое извлечения (отключение) не прошедших проверку устройств; -- регистрацию информации о фактах подключения и способах использования USB устройств в доступный только администратору по безопасности зашифрованный log-файл. Программный комплекс состоит из двух основных программ: StopFlashAccess и StopFlashGuard. Первая предназначена для создания и ведения БД USB. Вторая реализует основной функционал ПК. Программы разработаны в интегрированной среде разработки ПО Microsoft Visual Studio 2010 на языке программирования C++ с использованием технологий WinAPI и Windows Forms. Программа StopFlashAcess предназначена для управления зашифрованной базой данных учтенных носителей и выполняет следующие функции: -- ввод логина и пароля (с возможностью изменения) для входа в программу; -- приостановка и возобновление работы StopFlashGuard для исключения конфликтов доступа к общей базе данных; -- контроль наличия и целостности файла базы учтенных устройств; -- просмотр базы данных; -- просмотр log-файла учета манипуляций с базой данных и USB-устройствами; -- просмотр статистики использования USBносителей; -- ввод серийного номера и типа устройства в имеющуюся базу данных; -- ввод информации о владельце USB-носителя (ФИО, должность, подразделение и др.) в базу данных; -- сканирование USB-портов на наличие подключенных устройств и, при необходимости, добав-
56
ление информации о них (серийный номер, производитель, наименование, тип) в базу данных; -- запись в служебную область USB-носителя шифрованной учетной информации об устройстве и его владельце с целью идентификации в случае подмены серийного номера; -- удаление учетной записи о USB-устройстве из базы данных; -- хранение актуальной базы данных и log-файла в зашифрованном виде; -- загрузка из текстового файла новой базы данных; -- добавление из текстового файла информации об USB-устройствах к имеющейся базе данных; -- сохранение актуальной базы данных в текстовый файл; -- сохранение log-файла в текстовый файл. Для шифрования файлов был применен алгоритм ГОСТ 28147, который является отечественным стандартом симметричного блочного шифрования (длина блока – 64 бита, длина ключа – 256 битов, количество раундов – 32, применены S-boxes, используемые в приложениях Центрального Банка РФ) [18, 19]. Поточное шифрование проведено в режиме CBC (Cipher Block Chaining), когда вход криптографического алгоритма является результатом применения операции XOR (eXclucive OR) к следующему блоку незашифрованного текста и предыдущему блоку зашифрованного текста. Программа StopFlashGuard запускается при загрузке операционной системы и может функционировать в одном из трех режимах: демонстрации, защиты и наблюдения. Демонстрационный режим используется для отладки, визуального наблюдения и анализа хода и результатов работы программы. Все контролируемые ПК события фиксируются в log-файле программы и выводятся на экран. Основным является режим защиты, в котором выполняется обнаружение и автоматическое извлечение (логическое отключение) не прошедших проверку USBустройств. Пользователь получает только сообщения об отключении нелегитимного устройства. Информация об этом также записывается в log-файл программы. Режим наблюдения предназначен для обнаружения фактов использования нелегитимных USB-устройств, отслеживания и регистрации выполненных с помощью данного устройства операций, а также последующего анализа собранной информации. Отключение нелегитимных USB не производится, пользователь о фиксируемых ПК событиях не информируется. Тип режима функционирования программы StopFlashGuard задается с помощью параметра командной сроки: demo – для демонстрационного, transparent – для режима наблюдения. По умолчанию программа выполняется в режиме защиты. Обобщённый алгоритм работы программы StopFlashGuard представлен на рис. 1 и рис.2. На рис. 1 представлена схема алгоритма главной функции программы StopFlashGuard – _tWinMain(). На рис. 2 представлена схема алгоритма функции WndProc(), которая реализует функционал программного комплекса.
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.5
Анализ рисков информационной безопасности
Рис.1. Алгоритм главной функции _tWinMain() программы StopFlashGuard
DOI:10.21681/2311-3456-2020-01-52-61
57
Программный комплекс управления доступом usb-устройств...
Рис. 2. Алгоритм функции WndProc() программы StopFlashGuard
58
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.5
Анализ рисков информационной безопасности
В соответствии с представленными на рис.1 и рис.2 схемами программа StopFlashGuard выполняет следующую последовательность операций: -- проверку и предотвращение повторного запуска программы (блоки 3-4, 13-15 рис.1); -- определение по параметру командной строки режима работы ПК и его инициализацию (блоки 6-7, 12 рис.1); -- контроль наличия и целостности БД USB (блоки 8-10, 16-18 рис.1); -- обнаружение подключаемых к USB-портам устройств (блок 11 рис.1, блоки 1-9 рис.2); -- поиск в БД USB информации о вновь подключенном устройстве (наименование, производитель, серийный номер, тип) (блоки 10-14 рис.2); -- проверку соответствия контролируемых атрибутов подключенного USB-устройства (устройств) с информацией из БД USB (блоки 12,14 рис.2); -- автоматическое извлечение (логическое отключение) неучтенных устройств в режиме защиты (блоки 12,14 рис.2); -- обнаружение изъятия носителей из USB-порта (блоки 4-6 рис.2); -- регистрацию всех манипуляций с USBносителями в log-файле ПК. Результаты испытаний ПК УД-USB подтвердили его функциональную пригодность для реализации эффективного контроля использования USB-устройств на автономных АРМ, продемонстрировали простоту и удобство настройки и применения. Основными направлениями дальнейшего развития ПК УД-USB являются: -- контроль двунаправленного копирования, перемещения, удаления файлов и запуска программ с возможностью блокировки или только однонаправленной передачи информации; -- реализация сетевого варианта программного комплекса по технологии клиент-сервер с размещением БД USB на сервере информационной безопасности, а клиентских приложений на АРМ защищаемой сети; -- портирование комплекса на операционные системы, основанные на ядре Linux; -- применение радиочастотной идентификации RFID (Radio Frequency IDentification) для предот-
вращения выноса за пределы территории учреждения недобросовестными сотрудниками учтенных носителей информации; -- разработка внешнего компактного (или встроенного в ПК) аппаратного блока защиты (переходника) на базе микроконтроллера STM32 c ЦПУ ARM Cortex-M3, реализующего покластерное шифрование носителя (с целью предотвращения доступа к информации за пределами организации) и другие функции защиты. Выводы Тенденция все более активного использования для хранения и обмена информацией USB-устройств в ближайшем будущем не только сохранится, но и получит новые импульсы12. Это обусловлено постоянным совершенствованием и развитием данной технологии, расширенным производством все новых и новых систем и устройств, построенных на ее основе13 [20 – 21]. При этом очевидно и то, что также активно будут развиваться и совершенствоваться методы и средства реализации с их помощью атак на критически важные автоматизированные системы управления и информационные ресурсы. Представленный в данной статье ПК управления доступом USB-устройств относится к решениям экономкласса и обеспечивает необходимый уровень защиты автономных АРМ, функционирующих под управлением ОС Windows, посредством обнаружения подключаемых устройств, проверки их легитимности по защищенной базе данных о разрешенных USB-устройствах, блокировки нелегитимных подключений, регистрации связанных с этими операциями событий. Кроме того, данный ПК может использоваться для обнаружения фактов нелегитимного использования USB-устройств, отслеживания и регистрации выполненных с их помощью операций для выявления и анализа инсайдерской деятельности. Основными направлениями совершенствования ПК являются: расширение его функциональных возможностей с учетом развития данной технологии и реализации USB-устройств, появления новых угроз, а также портирование на другие аппаратно-программные платформы и разработка аппаратной реализации.
Рецензент: Езерский Владимир Васильевич, доктор технических наук, профессор, заместитель генерального 12 https://www.usb.org/ директора по науке и развитию, Акционерное общество институт программных 13 «Научно-исследовательский http://vention.su/index.php?route=simple_blog/article/view&simple_ blog_article_id=22. средств», Санкт-Петербург, Россия. E‑mail:office@nii-ps.ru.
12 https://www.usb.org/ 13 http://vention.su/index.php?route=simple_blog/article/view&simple_blog_article_id=22.
DOI:10.21681/2311-3456-2020-01-52-61
59
Программный комплекс управления доступом usb-устройств... Литература 1. 2. 3. 4. 5. 6.
7. 8. 9. 10.
11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21.
USB Complete: The Developer’s Guide (Complete Guides series) Fifth Edition, Fifth edition. Edition by Jan Axelson. Published by Lakeview Research LLC, March 1, 2015. 524p. Полежаев П.Н., Малахов А.К., Сагитов А.М. «Ахиллесова пята» USB-устройств: атака и защита // Философские проблемы информационных технологий и киберпространства. 2015. № 1(9). C. 106–117. DOI: 10.17726/philIT.2015.9.1.4.491. Nir Nissim, Ran Yahalom, Yuval Elovici: USB-based attacks, in Computers & Security, vol. 70, pp. 675-688, 2017. Abhijeet Ramani, Somesh Kumar Dewangan: Auditing Windows 7 Registry Keys to track the traces left out in copying files from system to external USB Device” in International Journal of Computer Science and Information Technologies, vol. 5 ,2, pp.1045-1052, 2014. Angel, S., Wahby, R.S., Howald, M., Leners, J.B., Spilo, M., Sun, Z., Blumberg, A.J., Walfish, M.: Defending against malicious peripherals with Cinch. In: USENIX Security Symposium (2016). Francisco Ramírez Pablo González Carmen Torrano José María Alonso. Discovering and Plotting Hidden Networks created with USB Devices. CDO, Telefónica Madrid, Spain. https://www.exploit-db.com/docs/english/44947-discovering-and-plotting-hidden-networkscreated-with-USB-devices.pdf?rss A.Crenshaw. Plug and Prey: Malicious USB devices. In Proceedings of ShmooCon, Jan. 2011. J. Maskiewicz, B. Ellis, J. Mouradian, and H. Shacham. Mouse trap: Exploiting firmware updates in USB peripherals. In Proceedings of the USENIX Workshop on Offensive Technologies, Aug. 2014. Вахний Т.В., Кузьмин С.Ю. Разработка аппаратно-программного средства защиты от уязвимости BadUSB. Математические структуры и моделирование 2016. №2(38). С. 116–125. Thunderclap: Exploring Vulnerabilities in Operating System IOMMU Protection via DMA from Untrustworthy Peripherals. Network and Distributed Systems Security (NDSS) Symposium 2019 24-27 February 2019, San Diego, CA, USA ISBN 1-891562-55-X https://dx.doi. org/10.14722/ndss.2019.23194 www.ndss-symposium.org S. Gallagher, “New WikiLeaks dump: The CIA built Thunderbolt exploit, implants to target Macs,” Mar. 2017. [Online]. Available: https:// arstechnica.com/security/2017/03/new-wikileaks-dump-the-ciabuilt-thunderbolt-exploit-implants-to-target-macs. USBlock: Blocking USB-Based Keypress Injection Attacks: 32nd Annual IFIP WG 11.3 Conference, DBSec 2018, Bergamo, Italy, July 16–18, 2018, Proceedings. Tian, Dave & Bates, Adam & Butler, Kevin. (2015). Defending Against Malicious USB Firmware with GoodUSB. 261-270. 10.1145/2818000.2818040. Обзор DLP-системы InfoWatch Traffic Monitor 6.7 https://www.anti-malware.ru/reviews/infowatch-traffic-monitor-6-7. Overview of data loss prevention. https://docs.microsoft.com/en-us/office365/securitycompliance/data-loss-prevention-policies. Best data loss prevention service of 2019: Choose the right DLP to protect your assets. https://www.techradar.com/best/best-data-lossprevention-service. López G., Richardson N.; Carvajal J. Methodology for Data Loss Prevention Technology Evaluation for Protecting Sensitive Information. Revista Politécnica – Septiembre 2015, Vol. 36, No. 3. Фергюсон Н. Шнайер Б. Практическая криптография. М.: Издательский дом «Вильямс». 2005. 424 с. Э. М. Габидулин, А. С. Кшевецкий, А. И. Колыбельников. «Защита информации: учебное пособие». М.: МФТИ, 2011. 262 с. ISBN 5-7417-0377-9. Apple and Microsoft are both making a big bet on the future of USB. https://www.businessinsider.com/apple-microsoft-surfaceUSB-c-2018-10. USB flash drive market report.http://thescrippsvoice.com/market-research-news/154618/USB-flash-drive-market-report-a-completeoverview-of-market-segments-and-the-regional-outlook-of-usb-flash-drive-industry.
THE SOFTWARE COMPLEX ACCESS CONTROL USB DEVICES TO AUTOMATED WORKSTATIONS Baev A.V.14, Gacenko O.U.15, Samonov A.V.16 Abstract: Currently, to connect to computers any external devices, starting with flash drives, photo and video cameras and ending with office equipment and sophisticated medical devices, more and more actively used serial USB data interface. The wide use of USB devices for data storage and transmission is due to their versatility, reliability, performance, simplicity and convenience. At the same time, USB devices are one of the most dangerous and actively used tools and channels for implementing information security threats. 14 Aleksey Baev, senior researcher, Military space Academy A.F.Mozhaisky, Saint-Petersburg, Russia, E‑mail: baih@mail.ru 15 Oleg Gacenko, Dr.Sc, AO NII PS, Saint-Petersburg, Russia, E-mail: gatsen@mail.ru 16 Aleksandr Samonov, Ph.D, senior researcher, Military space Academy A.F.Mozhaisky, Saint-Petersburg, Russia, E‑mail: a.samonov@mail.ru
60
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.5
Анализ рисков информационной безопасности
The purpose of the study, the results of which are presented in this article, is to increase the security of autonomous automated workplaces from threats to information security implemented with the help of USB-devices. Research methods: to achieve this goal, the technical characteristics and functionality of USB-devices were investigated, the potential vulnerabilities and ways of their operation for the implementation of information security threats were identified, and the advantages and disadvantages of existing approaches and means of protection were analyzed. The result of research and work: created software complex for access control of USB-devices, which provides protection of autonomous automated workplaces operating under Windows OS by detecting connected devices, checking their legitimacy on a secure database of allowed USB-devices, blocking illegitimate connections, registering events associated with these operations. This software complex can also be used to detect the facts of illegal use of USB-devices, tracking and recording operations performed with their help to identify and analyze insider activity. The description of the composition, structure and functioning algorithms of this software complex is given. The main directions of its development and improvement are defined. Keywords: access control, information security threats, security algorithms and tools, USB devices, USB vulnerabilities References 1. 2. 3. 4. 5. 6.
7. 8. 9. 10.
11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21.
USB Complete: The Developer’s Guide (Complete Guides series) Fifth Edition, Fifth edition. Edition by Jan Axelson. Published by Lakeview Research LLC, March 1, 2015. 524p. Polezhaev P.N., Malahov A.K., Sagitov A.M. «Ahillesova pyata» USB-ustrojstv: ataka i zashchita // Filosofskie problemy informacionnyh tekhnologij i kiber-prostranstva. 2015. № 1(9). C. 106–117. Nir Nissim, Ran Yahalom, Yuval Elovici: USB-based attacks, in Computers & Security, vol. 70, pp. 675-688, 2017. Abhijeet Ramani, Somesh Kumar Dewangan: Auditing Windows 7 Registry Keys to track the traces left out in copying files from system to external USB Device” in International Journal of Computer Science and Information Technologies, vol. 5 ,2, pp.1045-1052, 2014. Angel, S., Wahby, R.S., Howald, M., Leners, J.B., Spilo, M., Sun, Z., Blumberg, A.J., Walfish, M.: Defending against malicious peripherals with Cinch. In: USENIX Security Symposium (2016). Francisco Ramírez Pablo González Carmen Torrano José María Alonso. Discovering and Plotting Hidden Networks created with USB Devices. CDO, Telefónica Madrid, Spain. https://www.exploit-db.com/docs/english/44947-discovering-and-plotting-hidden-networkscreated-with-usb-devices.pdf?rss A.Crenshaw. Plug and Prey: Malicious USB devices. In Proceedings of ShmooCon, Jan. 2011. J. Maskiewicz, B. Ellis, J. Mouradian, and H. Shacham. Mouse trap: Exploiting firmware updates in USB peripherals. In Proceedings of the USENIX Workshop on Offensive Technologies, Aug. 2014. T.V. Vahnij, S.YU. Kuz’min. Razrabotka apparatno-programmnogo sredstva zashchity ot uyazvimosti BadUSB. Matematicheskie struktury i modelirovanie 2016. №2(38). S. 116–125. Thunderclap: Exploring Vulnerabilities in Operating System IOMMU Protection via DMA from Untrustworthy Peripherals. Network and Distributed Systems Security (NDSS) Symposium 2019 24-27 February 2019, San Diego, CA, USA ISBN 1-891562-55-X https://dx.doi. org/10.14722/ndss.2019.23194 www.ndss-symposium.org S. Gallagher, “New WikiLeaks dump: The CIA built Thunderbolt exploit, implants to target Macs,” Mar. 2017. [Online]. Available: https:// arstechnica.com/security/2017/03/new-wikileaks-dump-the-ciabuilt-thunderbolt-exploit-implants-to-target-macs. USBlock: Blocking USB-Based Keypress Injection Attacks: 32nd Annual IFIP WG 11.3 Conference, DBSec 2018, Bergamo, Italy, July 16–18, 2018, Proceedings. Tian, Dave & Bates, Adam & Butler, Kevin. (2015). Defending Against Malicious USB Firmware with GoodUSB. 261-270. 10.1145/2818000.2818040. Obzor DLP-sistemy InfoWatch Traffic Monitor 6.7 https://www.anti-malware.ru/reviews/infowatch-traffic-monitor-6-7. Overview of data loss prevention. https://docs.microsoft.com/en-us/office365/securitycompliance/data-loss-prevention-policies. Best data loss prevention service of 2019: Choose the right DLP to protect your assets. https://www.techradar.com/best/best-data-lossprevention-service. López G., Richardson N.; Carvajal J. Methodology for Data Loss Prevention Technology Evaluation for Protecting Sensitive Information. Revista Politécnica – Septiembre 2015, Vol. 36, No. 3. Фергюсон Н. Шнайер Б. Практическая криптография. – М.: Издательский дом «Вильямс». 2005. – 424 с. Э. М. Габидулин, А. С. Кшевецкий, А. И. Колыбельников. «Защита информации: учебное пособие». – М.: МФТИ, 2011. -- 262 с. -- ISBN 5-7417-0377-9. Apple and Microsoft are both making a big bet on the future of USB. https://www.businessinsider.com/apple-microsoft-surfaceusb-c-2018-10. USB flash drive market report.http://thescrippsvoice.com/market-research-news/154618/usb-flash-drive-market-report-a-completeoverview-of-market-segments-and-the-regional-outlook-of-usb-flash-drive-industry.
DOI:10.21681/2311-3456-2020-01-52-61
61
Оценка параметров необнаруживаемости разработанного подхода...
ОЦЕНКА ПАРАМЕТРОВ НЕОБНАРУЖИВАЕМОСТИ РАЗРАБОТАННОГО ПОДХОДА К МАРКИРОВАНИЮ ТЕКСТОВЫХ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ Козачок А. В.1, Копылов С. А.2, Бочков М. В.3 Цель статьи: оценка основных параметров необнаруживаемости подхода к маркированию текстовых электронных документов и определение наличия зависимости стойкости встроенных данных к стеганографическому анализу от используемых параметров встраивания. Метод: экспериментальная оценка и сравнительный анализ результатов исследования с существующими критериями посредством применения методов стеганографического анализа и средств теории распознавания образов. Полученный результат: получены количественные значения параметров необнаруживаемости разработанного подхода, проведен сравнительный анализ подходов к стегоанализу изображений, обоснован выбор потенциально наилучших методов стегоанализа, которые могут быть применены к разработанному подходу, определены границы стойкости подхода маркирования к стегоанализу, оценены качественные показатели разработанного подхода, установлены граничные значения надежности разработанного подхода, определена зависимость невидимости и необнаруживаемости встроенных данных от используемых параметров встраивания. Ключевые слова: маркирование текстовой информации, цифровой водяной знак, стегоанализ, классификация данных, ROC-анализ.
DOI:10.21681/2311-3456-2020-01-62-73 Введение Проблема обеспечения защищенности текстовой информации от утечки является одним из актуальных направлений исследований. По данным аналитического центра InfoWatch доля утечек информации, представленной в напечатанном виде, в 2018 г. выросла с 8,2% до 11%. При этом в распределении утечек доля инцидентов, связанных с утечкой бумажных текстовых документов, по сравнению с 2017 г. увеличилась с 13,5% до 17% [1]. Высокий процент утечек напечатанных текстовых документов обусловлен тем, что существенная часть документооборота совершается в неэлектронной форме. Кроме того, во многих компаниях и государственных организациях далеко не всегда соблюдаются правила обращения с бумажными носителями. Помимо утечки физических копий текстовых документов за пределы контролируемого периметра, отмечается утечка электронных версий напечатанных на бумаге текстов. Данная утечка реализуется посредством сканирования напечатанного на бумаге документа с последующей отправкой полученного изображения. При этом в современных средствах защиты текстовой информации каналу утечки отсканированных изображений, содержащих исходный текстовый документ, не уделяется должного внимания. В рамках решения данной
задачи разработан подход к маркированию текстовой информации, основанный на внедрении робастного водяного знака (РВЗ) в текстовые документы в процессе вывода их на печать. Внедрение РВЗ позволяет обеспечить стойкость внедряемых данных к возможным преобразованиям и искажениям, которым может быть подвержен напечатанный на бумаге документ. Кроме того, наличие маркера позволяет осуществлять идентификацию владельца данных, а также отслеживать источник либо направление утечки. Особенности разработанного подхода к маркированию текстовых документов В разработанном подходе к маркированию [2–5] использован алгоритм стеганографического внедрения информации, основанный на изменении величины межстрочного интервала в процессе внедрения РВЗ в текстовые данные. Использование данного алгоритма внедрения обусловлено требованием по формированию перцептивно-невидимого (для человеческого глаза) РВЗ, который в последующем может быть извлечен из изображений, содержащих исходный текст, полученных посредством применения операции сканирования. Для извлечения встроенного РВЗ из изображений в разработан-
1
Козачок Александр Васильевич, кандидат технических наук, сотрудник Академия ФСО России, г. Орёл, Россия. E‑mail: a.kozachok@academ. msk.rsnet.ru
2
Копылов Сергей Александрович, сотрудник Академия ФСО России, г. Орёл, Россия. E‑mail: gremlin.kop@mail.ru
3
Бочков Максим Вадимович, доктор технических наук, профессор, ЧОУ ДПО «Центр предпринимательских рисков», г. Санкт-Петербург, Россия. E‑mail: mvboch@yandex.ru
62
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.932.2+004.93’12
Методы и средства стеганографии
личия/отсутствия встроенного водяного знака ном подходе к маркированию используется нормальное при отсутствии исходного изображения; преобразование Радона, позволяющее осуществлять -- открытые (слепые) системы РВЗ. Данные систеизвлечение величин межстрочных интервалов, а также мы позволяют осуществлять извлечение встромодель разделения смеси нормальных распределений в енных данных только из подписанного изображепроцессе бинаризации полученных значений. ния, не накладывая дополнительных требований. Результаты проведенной авторами эксперименРазработанная система РВЗ относится к открытым тальной оценки разработанного подхода позволяют системам ввиду возможности извлечения встроенных оценить основные характеристики невидимых РВЗ: данных только из подписанных изображений и отсутемкость встраивания, робастность, извлекаемость, нествия требований по наличию исходного (неподписанвидимость (перцептивная прозрачность) и необнаруного) изображения в процессе извлечения. В то же вреживаемость (сложность обнаружения) [6–9]. мя существующие системы РВЗ текстовых данных, в том В ходе экспериментальной оценки емкости встраичисле и базовый аналог, описанный в работах Брассила вания установлено, что предельно достижимая емкость [11-13], относятся к закрытым системам I или II типа, встраивания ограничена величиной в 60 бит и зависит которым необходимо наличие исходного изображения от используемого кегля шрифта, величины межстрочноили встраиваемой информации в процессе извлечения. го интервала и количества строк текста в исходном доРис. 1. Классификация системобеспечить РВЗ Указанная особенность позволяет высокие кументе. При этом для встраивания маркера, содержазначения точности извлечения закрытыми системами щего информацию о конфиденциальности текстового Разработанная РВЗ система РВЗ относится к открытым системам ввиду наличия по сравнению с открытыми. При этом в процессе документа, достаточно пяти строк текста. возможностиспоизвлечения встроенных данных из подписанных изображений, извлечения зачастую отсутствует доступ к исходной ин- при этом Робастность водяного знака характеризуется дополнительных к анализируемому изображению не предъявляется. В то же формации, что, в свою очередь, характеризует закрысобностью встроенных данных сохранять свойство требований время существующие аналоги, в том числе базовой – предложенный Брассилом [11–13]. тые системы РВЗ как системы, не позволяющие осущеинвариантности после осуществления различных преОни относятся, в большинстве случаев, к закрытым системам РВЗ I типа. В случае ствить извлечение встроенных данных. образований над изображением. Разработанный РВЗ использования открытых систем РВЗ для маркирования текстовых документов, Точность извлечения встроенных данных может позволяет обеспечить стойкость встроенных данных к выводимых на печать, точность извлечения встроенных значительной степени быть описана посредством методовданных оценкивклассифитаким преобразованиям как преобразование формазакрытым системам. кации используемых в задачах теории распознавания та электронного текстового документа уступает в изображение Точность извлечения встроенных данных может быть описана посредством методов образов [14–16]. Для количественной оценки точности посредством применения операции «печать-сканирооценки классификации используемых в задачах теории распознавания образов [14–16]. извлечения данных рассмотрены следующие метрики, вание», поворот изображения на любой угол, фильтраДля количественной оценки точности извлечения данных рассмотрены характеризующие точность классификатора: точность следующие ция, масштабирование, сжатие изображения (в том метрики, характеризующие точность классификатора: точность (выражение 1) и F-мера (выражение 1) и F-мера (выражение 2): числе с потерями) и преобразование в любой формат (выражение 2): растрового изображения. TP TN (1) В процессе извлечения встроенного РВЗ из изоТочность , (1) TP TN FP FN бражений необходимо оценить возможность правиль2·TP ного извлечения и точность извлечения данных. В ходе F мера , (2) (2) экспериментальной оценки возможности извлечения 2·TP FP FN невидимого РВЗ из изображений осуществлен где TP анализ – истинно-положительный, TN – истинно-отрицательный, FP – ложноTN – истинноTP – истинно-положительный, существующих систем РВЗ. Согласно классификации, ложно-отрицательный результат. положительный и FN –где – ложно-положительный и FNизвлечено – отрицательный, FP представленной в работе Петитколаса [10],В системы процессе экспериментальной оценки точности извлечения было более ложно-отрицательный результат. что позволяет утверждать о том, РВЗ могут быть разделены на следующие 10000 категории бит (более 250 страниц текстовой информации), В процессе экспериментальной из- результаты (рис. 1): что доверительный интервал равен 0,95 при точностиоценки 0,01. точности Полученные влеченияданных было извлечено более 10000 документа бит (более с250 оценки точности извлечения на примере текстового размером кегля 14 пт. представлены страниц в таблицетекстовой 1. информации), что позволяет утверждать о том, что доверительный интервал равен 0,95 при точности 0,01. Полученные результаты оценки точности Таблица 1. Оценка результата извлечения данныхдокумента извлечения данныхточности на примере текстового Величина с размером кегля 14 пт. представлены Показатель истинно- Показатель истинно-в таблице 1. изменения Точность Анализ полученныхотрицательных результатов позволяет сделать F-мера положительных межстрочного (Accuracy) Рис. 1. Классификация систем РВЗ вывод о возможности гарантированного извлечения (с (F-measure) значений (TPR) значений (TNR) интервала точностью данных при0,68 внедре0,01 0,50 более 95%) встроенных 0,54 0,68 -- закрытые системы РВЗ (I и II типа). 0,02 Закрытые нии РВЗ посредством изменения величины межстроч0,57 0,65 0,60 0,61 системы I типа позволяют осуществлять извлеченого интервала на 0,04 и выше 0,03 0,66 0,80 от исходного значения. 0,73 0,73 ние встроенных данных при наличии 0,04 исходного Результаты, полученные в0,97 ходе анализа зависимости 0,93 0,95 0,95 (неизмененного) изображения. Закрытые ситочности величины разреше0,05 0,97извлечения от изменения 0,95 0,96 0,95 стемы II типа, в свою очередь, способны ния изображения (DPI), позволяют 0,06 только 0,97 0,95 сделать вывод 0,96о том, 0,96 0,07 0,97 1 0,98 обнаружить факт наличия/отсутствия встроенночто точность извлечения встроенных данных из0,98 отскани0,08 1 изображений, содержащих 0,97 0,98 РВЗ, 0,98 го водяного знака. Таким системам помимо исрованных встроенный 0,09 1 0,97 на дюйм и выше 0,98 пре0,98 ходного изображения требуется информация о с показателем DPI в 200 точек 0,10 0,97значение в 93%. График 1 зависимости 0,98 0,98 встраиваемом водяном знаке. вышает точности -- полузакрытые системы РВЗ. В отличие от закрыизвлечения от величины DPI для текста с различными тых систем II типа способны определять факт напараметрами встраивания представлен на рисунке 2.
DOI:10.21681/2311-3456-2020-01-62-73
63
Оценка параметров необнаруживаемости разработанного подхода... Таблица 1
Оценка результата точности извлечения данных Величина изменения межстрочного интервала 0,01 0,02 0,03 0,04 0,05 0,06 0,07 0,08 0,09 0,10
Показатель истинноположительных значений (TPR)
Показатель истинноотрицательных значений (TNR)
Точность (Accuracy)
F-мера (F-measure)
0,50 0,57 0,66 0,93 0,97 0,97 0,97 1 1 0,97
0,54 0,65 0,80 0,97 0,95 0,95 1 0,97 0,97 1
0,68 0,60 0,73 0,95 0,96 0,96 0,98 0,98 0,98 0,98
0,68 0,61 0,73 0,95 0,95 0,96 0,98 0,98 0,98 0,98
Рис. 2. Зависимость точности извлечения от разрешения изображения Оценка перцептивной невидимости встроенных данных проведена посредством проведения наблюдателем визуального анализа текстов как содержащих, так и не содержащих встроенный невидимый водяной знак. Исходя из полученных результатов определен порог (граница) невидимости водяного знака, который равен величине изменения межстрочного интервала на значение ±0,15 от исходного. При этом использование значений в диапазоне 0, 07 … 0,15 приводит к переносу последней строки на новый лист (в случае полного заполнения страницы текстом). Для устранения указанного недостатка необходимо использовать РВЗ меньшего размера, чем величина предельно достижимой емкости встраивания. В случае выполнения данного требования перцептивная невидимость разработанного невидимого РВЗ может быть ограничена значением изменения величины межстрочного интервала в ±0,10 . Необнаруживаемость водяного знака (разработанного подхода к маркированию) может быть описана несколькими критериями [17–19]:
64
-- стойкость невидимого ЦВЗ (подхода маркирования) к стеганографическому анализу; -- надежность извлечения встроенной информации, которая характеризуется показателем ложноположительных срабатываний (величиной ошибочного извлечения бит информации) ( FPR ); -- качество изображения после внедрения информации; -- скорость вложения информации ( Rw ) – отношение количества бит встроенной информации к предельно достижимой емкости встраивания данного контейнера; -- секретность ЦВЗ (подхода к маркированию), характеризующаяся видом и параметрами ROCкривой. Необнаруживаемость разработанного подхода может быть оценена как по одному конкретному показателю, так и по всем представленным. Использование только одного критерия нерационально с позиций комплексного анализа разработанного подхода. Для
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.932.2+004.93’12 оценки первого критерия – стойкости разработанного невидимого РВЗ к стеганографическому анализу – необходимо провести анализ существующих подходов в данной области. Сравнительный анализ научных исследований в области стеганографического анализа изображений Стеганографический анализ (стегоанализ) – наука об обнаружении присутствия скрываемой информации в анализируемых файлах-контейнерах (данных мультимедиа) [20,21]. Помимо обнаружения скрываемых данных дополнительной целью стегоанализа является извлечение встроенной информации. Ввиду отсутствия информации о характеристиках файла-контейнера, а также используемого способа внедрения данных стегоанализ является одной из наиболее сложных областей исследования. При этом подходы к стегоанализу, в большинстве случаев, зависят от используемого стеганографического алгоритма внедрения данных. По аналогии со стеганографическими методами подходы стегоанализа можно разделить на: стегоанализ изображений, а также стегоанализ аудио- и видеоданных (данных мультимедиа). Классификация методов стеганографического анализа изображений представлена на рисунке 3 [20,22– 24]. На основании данной классификации все методы стегоанализа изображений могут быть разделены на три категории: сигнатурные, визуальные и статистические. Второй ступенью классификации является разделение всех методов стегоанализа на методы анализа только подписанного изображения и методы анализа одновременно исходного и подписанного изображения. Однако в большинстве случаев исходное изображения может быть недоступно для стегоанализа. Сигнатурный метод стегоанализа основан на поиске в анализируемом изображении сигнатуры (шаблона), характеризующего конкретный алгоритм или программное средство, осуществляющее стеганографическое внедрение информации. Методы сигнатурного стегоанализа позволяют однозначно определить факт встраивания и идентифицировать используемый стеганографический алгоритм (программное средство). При этом количество программных средств внедрения информации, имеющих собственные сигнатуры, исчисля-
Методы и средства стеганографии ется несколькими десятками, что не позволяет использовать данный подход для обнаружения новых (неизвестных) алгоритмов (программных средств), осуществляющих стеганографическое внедрение информации. В процессе стеганографического внедрения информации осуществляется изменение не только статистических свойств изображения, но и качественных характеристик, которые влияют на представление изображения. Для поиска визуальных отклонений используются методы визуального стегоанализа. Методы визуального стегоанализа основаны на перцептивном (относящемся к зрительной системе человека) восприятии анализируемого изображения. Визуальный стегоанализ может быть реализован посредством визуального сравнения исходного и подписанного изображения, анализа только подписанного изображения, а также посредством анализа результатов компьютерной обработки анализируемого изображения. Сравнение анализируемого изображения с оригиналом позволяет обнаружить наличие изменений в изображении, а, следовательно, установить факт присутствия встроенной информации. Основная сложность реализации данного подхода заключается в том, что не всегда удается получить доступ к оригинальной версии изображения. Визуальный анализ только подписанного изображения характеризуются меньшей точностью обнаружения, чем метод сравнения с оригиналом. Указанные методы относятся к вероятностным и характеризуются большим числом ложных срабатываний ввиду наличия легитимных искажений, вызванных операциями сжатия, фильтрации и преобразования формата изображения, которые могут быть приняты за результат стеганографического внедрения. В тоже время применение данных подходов стегоанализа накладывает дополнительное требование по перцептивной невидимости встроенных данных на используемые в процессе встраивания стеганографические подходы. Наиболее эффективным среди визуальных методов стегоанализа является подход, основанный на компьютерной обработке анализируемого изображения. Результаты обработки позволяют не только обнаруживать аномалии и отклонения в качественных характеристиках изображения, но и определять позиции бит информации, в которых осуществлены изменения. Данная особенность, помимо установления факта наличия/от-
Рис. 3. Классификация методов стегоанализа изображений
DOI:10.21681/2311-3456-2020-01-62-73
65
Оценка параметров необнаруживаемости разработанного подхода... сутствия встроенных данных, позволяет осуществлять их извлечение. Основным недостатком, присущим данному подходу, является невозможность обнаружения искажений в изображениях, сжатых посредством применения алгоритмов, основанных на дискретном вейвлет и дискретном косинусном преобразованиях. При этом изображения данных форматов являются наиболее распространенным типом данных, используемых в цифровой обработке изображений. Статистические методы стегоанализа основаны на оценке статистики распределения информации, а также статистических свойствах изображения. Данные методы можно разделить на две группы: анализирующие исходное и подписанное изображение и осуществляющие анализ только подписанного изображения. Первая группа методов осуществляет сравнение статистики исследуемого изображения со статистикой изображения-шаблона, который характеризует исходное изображение. В случае обнаружения отклонений делается вывод о наличии встроенной информации. Основным недостатком данного подхода является невозможность обнаружения (построения) для исследуемого изображения изображения-шаблона. Вторая группа методов статистического стегоанализа изображений делится на две категории: -- целевой (специальный) стегоанализ – направлен на обнаружение (извлечение) информации из изображений, встраивание которой осуществлено заранее известным стеганографическим методом. Достоинством методов данной группы является возможность извлечения встроенной информации из подписанного изображения. В то же время методы данной группы малоэффективны против новых или неизвестных алгоритмов стеганографического внедрения информации. -- универсальный (слепой) стегоанализ – осуществляет обнаружение встроенной информации при отсутствии информации об используемом методе стеганографического внедрения информации. Обнаружение встроенной информации основано на поиске изменений, а также аномалии в структуре, статистических характеристиках и уникальных признаках формата изображения. К достоинствам относится возможность обнаружения встроенных данных, внедренных посредством как известных, так и новых алгоритмов стеганографического встраивания. В разработанном подходе к маркированию текстовых данных внедрение РВЗ осуществляется за счет изменения форматирования пространства текстового документа и не вносит дополнительной статистики в напечатанный документ, а, следовательно, и в отсканированное изображение. Кроме того, встраивание РВЗ осуществляет в процессе печати текстового документа, что делает невозможным сравнительный стегоанализ подписанного и исходного изображения ввиду отсутствия последнего. Указанные особенности накладывают ограничение на использование сигнатурных методов стегоанализа, а также большинства слепых статистических методов стегоанализа. При этом разработанный подход может
66
быть уязвим для методов визуального и целевого стегоанализа. Так визуальный анализ подписанного документа может выявить отклонения некоторых строк текста в случае использования больших величин изменения межстрочных интервалов. Целевой стегоанализ, направленный на обнаружение статистических отклонений в значениях величин межстрочных интервалов, также может позволить обнаружить наличие встроенных данных. Для оценки необнаруживаемости (стойкости) разработанного подхода к маркированию текстовых данных необходимо произвести количественно оценку рассмотренных критериев необнаруживаемости. Экспериментальная оценка необнаруживаемости разработанного подхода маркирования текстовых данных Для оценки стойкости разработанного подхода к стеганографическому анализу определены потенциально наилучшие методы стегоанализа: визуальный и целевой статистический, основанный на применении нормального преобразования Радона в процессе обнаружения (извлечения) данных. Стойкость разработанного подхода к потенциально наилучшим методам стегоанализа В ходе предварительной оценки стойкости к визуальному стегоанализу разработанного подхода маркирования определен порог перцептивной невидимости встроенных данных и установлены ограничения по минимальной емкости контейнера, необходимой для встраивания разработанного РВЗ. Стегоанализ проводился экспертами путем зрительного анализа подписанных текстовых документов, представленных как в напечатанном, так и в электронном виде (в формате отсканированных изображений). В ходе экспертной оценки подписанных изображений проведено три группы исследований. Первая группа исследований направлена на определение факта наличия встроенной информации, содержащейся в анализируемых подписанных изображениях. При этом стегоаналитик не обладает информацией о содержании в анализируемых изображениях внедренного РВЗ. В качестве анализируемых изображений выступали изображения в которых осуществлено внедрение РВЗ посредством изменения величины межстрочного интервала на значения ±0,10 от исходного с шагом 0,01. В результате анализа подписанных изображений не удалось определить факт наличия встроенных данных. При проведении второй группы исследований стегоаналитик обладал информацией о факте наличия в анализируемых изображениях встроенных данных. При этом алгоритм стеганографического внедрения информации остается неизвестным. В результате проведенного визуального анализа обнаружены аномалии в структуре текста подписанных изображений, характеризующихся использованием величины встраивания в границах изменения межстрочного интервала на 0, 07 … 0,10 от исходного. Данный интервал встраи-
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.932.2+004.93’12
Методы и средства стеганографии
вания характеризует разработанный подход маркирования как уязвимый к визуальному стегоанализу. В ходе проведения третьей группы экспериментов стегоаналитик обладал информацией об используемом алгоритме стеганографического внедрения информации. В результате визуального анализа установлены значения необнаруживаемости встроенных данных: -- текст с межстрочным интервалом 1 – изменение величины межстрочного интервала на ± (0, 01… 0, 05) от исходного; -- текст с межстрочным интервалом 1,25 – ± (0, 01… 0, 06) ; -- текст с межстрочным интервалом 1,5 – ± (0, 01… 0, 07) . Результаты визуального анализа позволяют сделать вывод о стойкости разработанного подхода маркирования текстовых документов к данному методу стегоанализа в случае использования в процессе встраивания величины изменения межстрочного интервала в диапазоне значений ± (0, 01… 0, 05) . Принимая во внимание результаты извлекаемости и точности встроенных данных, полученный диапазон встраивания может быть сужен до значений в диапазоне ± (0, 04 … 0, 05) . Помимо стойкости к визуальному стегоанализу проведена оценка стойкости разработанного подхода к целевому статистическому стегоанализу. В качестве подхода целевого статистического стегоанализа использован подход к извлечению встроенных данных, описанный авторами. Извлечение встроенных данных в предложенном подходе основано на применении к изображению нормального преобразования Радона, позволяющего установить значения величин межстрочных интервалов. В ходе экспериментальной оценки осуществлено извлечение информации как из чистого (неподписанного) изображения, так и из изображения, содержащего встроенные данные. Результаты извлечения величин межстрочных интервалов из неподписанного изображения и изображений с различными параметрами встраивания представлены в таблице 2.
Результаты извлечения величин межстрочных интервалов изображения, не содержащего встроенных данных, помимо ошибок извлечения, характеризуются отклонением в распределении величин межстрочных интервалов на величину 1 пиксель. Обозначим данную величину как допустимую погрешность извлечения или «шум» изображения. Наличие данной погрешности позволяет осуществлять внедрение информации, которое не может быть обнаружено методом целевого статистического стегоанализа. Для решения данной задачи в процессе встраивания РВЗ необходимо выбирать параметр встраивания ∆ (величину изменения межстрочного интервала), который при извлечении величин межстрочных интервалов будет находится в границах «шума» изображения. Анализ результатов извлечения величин межстрочных интервалов показал, что при использовании параметра встраивания ∆ равного изменению величины межстрочного интервала на 0,04 или 0,05 от исходного, результат извлечения встроенных данных находится в границах допустимой погрешности. Использование ∆ ≥ 0, 06 характеризуется величиной статистического отклонения в 2 пикселя, что не соответствует «шуму» изображения и может быть обнаружено в процессе целевого статистического стегоанализа. Дальнейшая оценка стойкости разработанного подхода маркирования к целевому статистическому стегоанализу осуществлялась посредством сравнительного анализа гистограмм распределения значений межстрочных интервалов изображения, не содержащего встроенных данных, с изображением, содержащим встроенный РВЗ (параметр встраивания ∆ равный 0,04 (рис. 4) и 0,05 (рис. 5)). Наиболее близкой (идентичной) к гистограмме распределения величин межстрочных интервалов изображения, не содержащего встроенные данные, является гистограмма распределения изображения с параметром встраивания ∆ = 0, 05 . При этом отдельные всплески (скачки значений) в полученных значениях могут быть объяснены. Так, значения межстрочных интервалов, не превышающие величину 0, 6·mode (где mode – статистическая мода в полученном массиве
Результат извлечения величин межстрочных интервалов Параметр встраивания Без встраивания
∆ = 0, 04 ∆ = 0, 05 ∆ = 0, 06
DOI:10.21681/2311-3456-2020-01-62-73
Таблица 2
Извлеченные межстрочные интервалы [53, 52, 53, 53, 52, 53, 52, 53, 52, 53, 53, 6, 5, 53, 53, 52, 53, 52, 1, 54, 53, 52, 53, 52, 53, 3, 53, 53, 53, 52, 53, 14, 53] [54, 53, 54, 53, 54, 52, 54, 53, 54, 53, 8, 45, 52, 54, 53, 54, 53, 54, 52, 55, 8, 43, 54, 53, 54, 52, 8, 46, 52, 55] [54, 53, 54, 53, 54, 53, 55, 52, 55, 52, 8, 46, 52, 55, 52, 55, 52, 55, 52, 55, 8, 44, 54, 53, 54, 53, 8, 45, 53, 55] [55, 53, 55, 53, 55, 53, 55, 2, 2, 53, 55, 53, 55, 52, 55, 8, 44, 55, 52, 55, 53, 54, 126, 52, 55, 54, 55, 52, 55]
67
Оценка параметров необнаруживаемости разработанного подхода...
Рис. 4. Гистограмма распределений значений межстрочных интервалов для изображения: а) не содержащего встроенный РВЗ; б) содержащего встроенный РВЗ ( ∆ = 0, 04 )
Рис. 5. Гистограмма распределений значений межстрочных интервалов для изображения: а) не содержащего встроенный РВЗ; б) содержащего встроенный РВЗ ( ∆ = 0, 05 )
Зависимость FPR от используемых параметров значений), соответствуют ошибкам первого рода процесса извлечения. Второй вид ошибок – значения из ди- встраивания и разрешения отсканированного изобраапазона {0, 6·mode … mode} ∪ {mode …1, 6·mode} , жения для текста набранного гарнитурой Times New Roхарактеризуют ошибки, полученные в процессе обра- man с кеглем шрифта 14 пт представлена в таблице 3. ботки синограммы, которые могут быть исправлены поПолученные значения FPR позволяют сделать вывод о том, что надежность извлечения встроенной инсредством применения процедуры корректирования. Таким образом, полученные результаты стойкости формации превышает показатель в 0,92 при использоразработанного подхода маркирования текстовых дан- вании параметра встраивания (величины изменения интервала) ∆ ≥ 0, 05 и разрешении к потенциально наилучшим методам стегоанализа ·modemode} ных {mode 1,6·mode} , характеризуют ошибки, полученные вмежстрочного процессе отсканированного изображения в 150 точек на дюйм позволяют сделать вывод о устойчивости разработанноботки синограммы, которые могут быть исправлены посредством применения и выше. При этом использование значения ∆ ≥ 0, 06 го РВЗ в случае выбора параметра встраивания, нахоедуры корректирования. в процессе внедрения РВЗ в текстовые данные недопудящего в диапазоне изменения величины межстрочноТаким образом, полученные результаты стойкости разработанного подхода стимо ввиду отсутствия стойкости к потенциально наиго интервала исходного на значение, не стегоанализа ирования текстовых данныхотносительно к потенциально наилучшим методам методам стегоанализа. 0,05. разработанного РВЗ в случае выбора лучшим оляют сделать превышающее вывод о устойчивости параметра аивания, находящего в диапазоне изменения величины межстрочного Качество интервалаизображения Надежность извлечения встроенной информации сительно исходного на значение, не превышающее 0,05. Надежность извлечения встроенной информации после внедрения информации Оценка качества изображения после внедрения в является величиной противоположной по значению поежность извлечения встроенной информации информации может быть осуществлена посредложно-положительных срабатыванийявляется (величи- него Надежность казателю извлечения встроенной информации величиной ством сравнительного анализа изображения, содержане ошибочного извлечения бит информации) и опредеивоположной по значению показателю ложно-положительных срабатываний щего встроенный РВЗ, и его прототипа – не содержащеляется выражением: ичине ошибочного извлечения бит информации) и определяется выражением: го встроенные данные. Для практической реализации FP Надежность 1 FPR 1 . (3) (3) сравнительного анализа подготовлены два текстовых FP TN документа. Первый текстовый документ выводится на Зависимость FPR от используемых параметров встраивания и разрешения анированного изображения для текста набранного гарнитурой Times New Roman с ем шрифта 14 пт представлена в таблице 3.
Таблица 2. 68 висимость величины ошибочного извлечения бит информации от используемых параметров встраивания Межстрочный Межстрочный Межстрочный азрешение интервал – 1 интервал – 1,25 интервал – 1,5 ображения 0, 05 0,10 0, 05 0,10 0, 05 0,10
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.932.2+004.93’12
Методы и средства стеганографии
Таблица 2. Зависимость величины ошибочного извлечения бит информации от используемых параметров встраивания Разрешение изображения 25 50 100 150 200 250 300
Межстрочный интервал – 1
Межстрочный интервал – 1,25
Межстрочный интервал – 1,5
∆ = 0, 05
∆ = 0, 10
∆ = 0, 05
∆ = 0, 10
∆ = 0, 05
∆ = 0, 10
0,55 0,26 0,57 0,08 0,08 0,08 0,06
0,09 0,07 0,03 0,02 0,02 0,02 0,02
0,52 0,40 0,35 0,05 0,06 0,06 0,04
0,26 0,09 0,11 0,02 0,04 0,02 0,02
0,19 0,49 0,27 0,05 0,07 0,05 0,05
0,21 0,06 0,02 0 0 0 0
Рис. 6. Отсканированное изображение: а) не содержащее встроенные данные; б) содержащее встроенный РВЗ ( ∆ = 0, 05 ) печать в неизмененном виде (без внедрения РВЗ), во второй производится внедрение РВЗ с заданным параметром встраивания ∆ . В результате сканирования полученных текстовых документов формируются соответствующие изображения. На рисунке 6 представлен пример «чистого» изображения (не содержащего встроенных данный) и «подписанного» изображения с параметром встраивания ∆ = 0, 05 . Разрешение полученных изображений составляет 300 точек на дюйм. Параметры исходного текстового документа: гарнитура – Times New Roman, кегль – 14 пт., величина межстрочного интервала – 1,5. Визуальный анализ как напечатанных на бумаге текстов, так и соответствующих им изображений показал, что «подписанный» документ не отличается от «чистого». Данная особенность обусловлена используемым алгоритмом внедрения информации, который не оказывает влияние на качественные характеристики формируемого документа. Наличие указанной особенности позволяет осуществлять внедрение РВЗ в текстовые документы без ухудшения качества их восприятия. Скорость вложения информации Скорость вложения информации ( RW ) определяется как отношение количества бит встроенной информации к предельно достижимой емкости встраивания. В ходе
DOI:10.21681/2311-3456-2020-01-62-73
оценки емкости встраивания разработанного подхода установлено, что предельно достижимая емкость встраивания варьируется в пределах от 28 до 60 бит на страницу текста в зависимости от величины кегля шрифта и размера межстрочного интервала. В случае RW = 1 разработанная система РВЗ является максимально эффективной, т.е. позволяет осуществлять полное заполнение контейнера встраиваемой информацией. Однако в случае внедрения РВЗ, сопоставимого по длине с предельно достижимой емкостью встраивания, осуществляется перенос строки текста на новую строку при полном заполнении станицы текста. Указанная особенность характерна при использовании параметра встраивания ∆ в диапазоне значений 0, 07 … 0,10 . Ввиду указанной особенности целесообразно ограничить скорость вложения информации величиной RW ≤ 0, 08 в случае полного заполнения текстом страницы документа. Секретность разработанного подхода Секретность разработанного подхода (водяного знака) может быть количественна оценена через следующие показатели: -- TPR (True Positive Rate) – чувствительность или показатель истинно-положительных значений результата классификации извлеченных данных:
69
Оценка параметров необнаруживаемости разработанного подхода... TPR = --
TP ; TP + FN
(4)
FPR (False Positive Rate) – выпадение или показатель ложно-положительных значений результата классификации извлеченных данных: FPR =
FP . FP + TN
(5)
Рассмотренные показатели позволяют количественно оценить число верно классифицированных объектов ( TPR ) и число ошибочно классифицированных объектов ( FPR ). Зависимость данных показателей может быть представлена посредством ROC-кривой (Receiver Operating Characteristic) [25,26]. ROC-кривая представляет собой двухмерный график, у которого по оси абсцисс расположены значения FPR , а по оси ординат – TPR . При этом стоит отметить, что результат классификации, проведенной бинарным классификатором, характеризуется парой значений ( FPR , TPR ). Каждая пара значений соответствует точке, задающей ROCкривую [14]. Пример возможных ROC-кривых представлен на рисунке 7.
сти разработанного невидимого РВЗ посредством формирования ROC-кривых, построенных на основе полученных значений TPR и FPR . В процессе оценки осуществлен анализ зависимости секретности разработанного невидимого РВЗ от параметра встраивания (величины изменения межстрочного интервала). На рисунке 8 представлен результат построения ROC-кривых в зависимости от изменения параметра встраивания ( ∆ = 0, 01… 0, 08 с шагом 0,01) для текстов, набранных гарнитурой Times New Roman, кеглем шрифта 14 пт. и величиной межстрочного интервала 1.
Рис. 8. ROC-кривые, характеризующие разработанный подход
Рис. 7. Примеры задания ROC-кривой ROC-кривая позволяет охарактеризовать обнаружитель (детектор встроенных данных). Так на рисунке 7 кривая A соответствует идеальному обнаружителю ( FPR = 0, TPR = 1 ), кривая B – хорошему обнаружителю, кривая C – посредственному обнаружителю, а кривая D – обнаружителю со случайным угадыванием ( FPR = TPR = 0, 5 ). При этом критерий, задающий секретность системы ЦВЗ (стегосистемы), является величиной обратной по отношению к характеристике обнаружителя (детектора). В таком случае ROC-кривая D будет описывать наилучшую секретную систему ЦВЗ (стегосистему), а ROC-кривая A – несекретную систему ЦВЗ (стегосистему). В ходе экспериментальный оценки секретности разработанного подхода осуществлена оценка секретно-
70
Анализ полученных данных позволяет сделать вывод о зависимости секретности разработанной системы РВЗ от изменения величины межстрочного интервала ∆ в процессе внедрения данных. В том случае, если ∆ = 0, 01 , то разработанная система РВЗ (разработанный подход) характеризуется как секретная система ЦВЗ, соответствующая обнаружителю со случайным угадыванием. Однако, стоит заметить, что при использовании ∆ = 0, 01 в процессе извлечения встроенных данных возникает большое число ошибок, что может быть компенсировано введением избыточности в водяной знак. В свою очередь наличие избыточности снижает полезную нагрузку, содержащуюся в водяном знаке. Выбор параметра встраивания ∆ = 0, 03 (0, 04) позволяет повысить точность извлечения детектора и отнести его к хорошему обнаружителю, но, как и в случае с ∆ = 0, 01 (0, 02) , требуется внесение избыточности или применения помехоустойчивых кодов в процессе формирования РВЗ, что также приведет к снижению полезной нагрузки. В свою очередь, использование ∆ = 0, 05… 0, 08 позволяет сделать вывод о несекретной системе ЦВЗ близкой к системе с идеальным обнаружителем. Исходя из полученных результатов, можно сделать вывод о том, что выбор параметра встраивания определяет секретность разработанного подхода. Указанная особенность позволяет использовать разработанный
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.932.2+004.93’12 подход к маркированию для решения различных задач. В случае, если требуется обеспечить высокую степень необнаруживаемости и невидимости встраиваемого маркера, необходимо выбирать параметр встраивания ∆ ≤ 0, 02 , а также осуществлять введение избыточности в маркер посредством использования помехоустойчивых кодов. Если же требуется обеспечить гарантированное извлечение каждого бита встроенной информации, необходимо использовать ∆ = 0, 05 (0, 06) . Оптимальным с позиции соотношения объема полезной нагрузки к точности извлечения является использование параметра ∆ = 0, 03 (0, 04), что соответствует пограничному положению между секретной и несекретной системами ЦВЗ. Выводы Разработанный подход к маркированию текстовых документов, помимо внедрения перцептивно невидимого маркера в текстовые документы, позволяет обеспечить стойкость встроенной информации к преоб-
Методы и средства стеганографии разованию напечатанного на бумаге текстового документа в изображение. Проведенный анализ стойкости разработанного подхода маркирования позволил определить границы необнаруживаемости встроенных данных. Так, разработанный подход характеризуется как стойкий к стеганографическому анализу, проводимому потенциально наилучшими методами при внедрении информации на величину изменения межстрочного интервала ∆ = 0, 04 (0, 05) . При этом надежность извлечения встроенной информации из отсканированных изображений, содержащих встроенные данные, превышает показатель в 0,92 при разрешении изображения выше 200 точек на дюйм. Использование указанных параметров встраивания не оказывает влияние на качество формируемого документа, что позволяет говорить о высокой необнаруживаемости встроенного маркера и возможности применения разработанного подхода в системах скрытого внедрения идентификационной информации.
Рецензент: Марков Алексей Сергеевич, доктор технических наук, старший научный сотрудник, профессор Московского государственного технического университета им. Н.Э. Баумана, г. Москва, Россия. E-mail: a.markov@bmstu.ru
Литература 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.
Через бумажные документы случается каждая девятая утечка конфиденциальных данных // Аналитический центр InfoWatch. 2019. URL: https: //www.infowatch.ru/ analytics/digest/15511 (дата обр. 03.06.2019). Text marking approach for data leakage prevention / A. V. Kozachok [et al.] // Journal of Computer Virology and Hacking Techniques, 2019. URL: DOI:10.1007/s11416-019-00336-9. Подход к извлечению робастного водяного знака из изображений, содержащих текст / А. Козачок [и др.] // Труды СПИИРАН, 2018. 5(60). С. 128-155. Козачок А.В., Копылов С.А., Бочков М.В. Робастный водяной знак как способ защиты текстовых данных от утечки // Защита информации. INSIDE, 2018. Т. 82, № 4. С. 26-32. Козачок А.В., Копылов С.А. Подход к внедрению робастного водяного знака в текстовые данные. 2018. URL: http ://www.ruscrypto. ru/resource/archive/rc2018/files/11_ Kozachok_Kopylov. pdf (дата обр. 13.06.2018). Salomon D. Data privacy and security: encryption and information hiding. // Springer Science & Business Media, 2003. 469 p. Woo C.-S. Digital image watermarking methods for copyright protection and authentication. // Queensland University of Technology, 2007. 197 p. Phadikar A. Robust Watermarking Techniques for Color Images. 2009. URL: https://www.isical.ac.in/~scc/seminars/robust%20 watermarking%20techniques.pdf (дата обр. 13.03.2019). Алгоритм встраивания информации в сжатые цифровые изображения на основе операции замены с применением оптимизации / О. Евсютин [и др.] // Компьютерная оптика, 2017. Т. 41, № 3. С. 412-421. Petitcolas F. A., Anderson R. J., Kuhn M. G. Information hiding-a survey // Proceedings of the IEEE, 1999. Vol. 87, no. 7. pp. 1062–1078. Electronic marking and identification techniques to discourage document copying / J. T. Brassil [et al.] // IEEE Journal on Selected Areas in Communications, 1995. Vol. 13, no. 8. pp. 1495-1504. Brassil J. T., Low S., Maxemchuk N. F. Copyright protection for the electronic distribution of text documents // Proceedings of the IEEE, 1999. Vol. 87, no. 7. pp. 1181–1196. Marking text features of document images to deter illicit dissemination / J. T. Brassil [et al.] // Proceedingsof the 12th IARP International Conference on Pattern Recognition, Vol. 3-Conference C: Signal Processing (Cat. No. 94CH3440-5). Vol. 2. IEEE, 1994. pp. 315-319. Fawcett T. An introduction to ROC analysis // Pattern recognition letters, 2006. Vol. 27, no. 8. pp. 861-874. Powers D. M. Evaluation: from precision, recall and F-measure to ROC, informedness, markedness and correlation // Journal of Machine Learning Technologies, 2011. Vol. 2. no. 1. pp 37-63. Sammut C., Webb G. I. Encyclopedia of machine learning // Springer Science & Business Media, 2011. 1032 p.
DOI:10.21681/2311-3456-2020-01-62-73
71
Оценка параметров необнаруживаемости разработанного подхода... 17. Цифровая стеганография и цифровые водяные знаки. Часть 1. Цифровая стеганография / В. Коржик [и др.] // Санкт-Петербург: СПб ГУТ, 2016. 226 с. 18. Стеганографические системы. Цифровые водяные знаки / В.Г. Грибунин [и др.] // Учеб.-метод. пособие/под ред. д-ра тех. наук В.Г. Грибунина. Саров: ФГУП “РФЯЦ ‑ ВНИИЭФ”, 2016. 210 с. 19. Грибунин В., Оков И., Туринцев И. Цифровая стеганография // Москва: СОЛОН‑Пресс, 2017. 262 с. 20. Meghanathan N., Nayak L. Steganalysis algorithms for detecting the hidden information in image, audio and video cover media // International journal of Network Security & Its application (IJNSA), 2010. Vol. 2, no. 1. pp. 43-55. 21. Vyas A. O., Dudul S. V. Study of Image Steganalysis Techniques. // International Journal of Advanced Research in Computer Science, 2015. Vol. 6, no. 8. pp. 7-11. 22. Швидченко И. Методы стеганоанализа для графических файлов // Искусственный интеллект, 2010. № 50. С. 697-705. 23. Bachrach M., Shih F. Y. Image steganography and steganalysis // Wiley Interdisciplinary Reviews: Computational Statistics. 2011. Vol. 3, no. 3. pp. 251-259. 24. Kaur M., Kaur G. Review of various steganalysis techniques // International Journal of Computer Science and Information Technologies, 2014. Vol. 5, no. 2. pp. 1744-1747. 25. ROC curve estimation: An overview / L. Gonçalves [et al.] // REVSTAT–Statistical Journal, 2014. Vol. 12, no. 1. pp. 1–20. 26. Cook J. A. ROC curves and nonrandom data // Pattern Recognition Letters. 2017. Vol. 85. pp. 35-41.
UNDETECTABILITY PARAMETERS ESTIMATION OF THE DEVELOPED APPROACH TO TEXT ELECTRON DOCUMENTS MARKING Kozachok A.V.4, Kopylov S.A. 5, Bochkov M.V. 6 The article describes the analysis and evaluation of undetectability parameters to the developed text electronic documents marking approach. A comparative analysis of existing approaches to steganographic analysis of images is carry out. The potentially best steganalysis methods applicable to the developed approach were identified. The following parameters were quantitatively evaluated: stegoanalysis resistance, data extraction reliability, information embedding ratio, image quality after watermark embedding, and watermark secrecy. In the course of the steganalysis, the embedding parameters, which characterize the developed approach as steganalysis resistant, were determined. The perceptual invisibility boundaries of embedded data to visual analysis are established. The obtained results of quantitative and qualitative estimates made it possible to establish the dependence of embedded data invisibility on data embedding parameters used. Keywords: text information marking, digital watermarking, steganalysis, data classification, ROC-analysis. References: 1. 2. 3. 4. 5. 6.
Cherez bumazhnye dokumenty sluchaetsya kazhdaya devyataya utechka konfidencial’nyh dannyh // Analiticheskij centr InfoWatch. 2019. URL: https:// www.infowatch.ru/ analytics/digest/15511 (accessed 03.06.2019). [In Russ.] Text marking approach for data leakage prevention / A. V. Kozachok [et al.] // Journal of Computer Virology and Hacking Techniques, 2019. URL: https://doi.org/10.1007/s11416-019-00336-9. Podhod k izvlecheniyu robastnogo vodyanogo znaka iz izobrazhenij, soderzhashchih tekst / A. Kozachok [et al.] // Trudy SPIIRAN [SPIIRAS Proceedings], 2018. 5(60). pp. 128-155. [In Russ.] Kozachok A.V., Kopylov S.A., Bochkov M.V. Robastnyj vodyanoj znak kak sposob zashchity tekstovyh dannyh ot utechki // Zashchita informacii. INSIDE, 2018, Vol. 82, no. 4. pp. 26-32. [In Russ.] Kozachok A.V., Kopylov S.A. Podhod k vnedreniyu robastnogo vodyanogo znaka v tekstovye dannye. 2018. URL: http//www.ruscrypto. ru/resource/archive/rc2018/files/11_ Kozachok_Kopylov. pdf (accessed 13.06.2018). [In Russ.] Salomon D. Data privacy and security: encryption and information hiding. // Springer Science & Business Media, 2003. 469 p.
4
Alexander Kozachok, Ph. D., Academy of Federal Guard Service, Oryol, Russia. E-mail: a.kozachok@academ.msk.rsnet.ru
5
Sergey Kopylov, Academy of Federal Guard Service, Oryol, Russia. E-mail: gremlin.kop@mail.ru
6
Maksim Bochkov, Dr. Sc., Professor, Private educational institution of additional professional education «Center of entrepreneurial risks», St. Petersburg, Russia. E-mail: mvboch@yandex.ru
72
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.932.2+004.93’12 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26.
Методы и средства стеганографии
Woo C.-S. Digital image watermarking methods for copyright protection and authentication. // Queensland University of Technology, 2007. 197 p. Phadikar A. Robust Watermarking Techniques for Color Images. 2009. URL: https://www.isical.ac.in/~scc/seminars/ROBUST%20 WATERMARKING%20TECHNIQUES.pdf (accessed. 13.03.2019). Algoritm vstraivaniya informacii v szhatye cifrovye izobrazheniya na osnove operacii zameny s primeneniem optimizacii / O. Evsyutin [et al.] // Komp’yuternaya optika [Computer optics], 2017. Vol. 41, no. 3. pp. 412-421. [In Russ.] Petitcolas F. A., Anderson R. J., Kuhn M. G. Information hiding-a survey // Proceedings of the IEEE, 1999. Vol. 87, no. 7. pp. 1062–1078. Electronic marking and identification techniques to discourage document copying / J. T. Brassil [et al.] // IEEE Journal on Selected Areas in Communications, 1995. Vol. 13, no. 8. pp. 1495-1504. Brassil J. T., Low S., Maxemchuk N. F. Copyright protection for the electronic distribution of text documents // Proceedings of the IEEE, 1999. Vol. 87, no. 7. pp. 1181–1196. Marking text features of document images to deter illicit dissemination / J. T. Brassil [et al.] // Proceedingsof the 12th IARP International Conference on Pattern Recognition, Vol. 3-Conference C: Signal Processing (Cat. No. 94CH3440-5). Vol. 2. IEEE, 1994. pp. 315-319. Fawcett T. An introduction to ROC analysis // Pattern recognition letters, 2006. Vol. 27, no. 8. pp. 861-874. Powers D. M. Evaluation: from precision, recall and F-measure to ROC, informedness, markedness and correlation // Journal of Machine Learning Technologies, 2011. Vol. 2, no. 1. pp 37-63. Sammut C., Webb G. I. Encyclopedia of machine learning // Springer Science & Business Media, 2011. 1032 p. Cifrovaya steganografiya i cifrovye vodyanye znaki. CHast’ 1. Cifrovaya steganografiya / V. Korzhik [et al.] // Sankt-Peterburg: SPb GUT, 2016. 226 p. [In Russ.] Steganograficheskie sistemy. Cifrovye vodyanye znaki / V.G. Gribunin [et al.] // Ucheb.-metod. posobie/pod red. d-ra tekh. nauk V.G. Gribunina. Sarov: FGUP “RFYAC-VNIIEF”, 2016. 210 p. [In Russ.] Gribunin V., Okov I., Turincev I. Cifrovaya steganografiya // Moskva: SOLON-Press, 2017. 262 p. [In Russ.] Meghanathan N., Nayak L. Steganalysis algorithms for detecting the hidden information in image, audio and video cover media // International journal of Network Security & Its application (IJNSA), 2010. Vol. 2, no. 1. pp. 43-55. Vyas A. O., Dudul S. V. Study of Image Steganalysis Techniques. // International Journal of Advanced Research in Computer Science, 2015. Vol. 6, no. 8. pp. 7-11. Shvidchenko I. Metody steganoanaliza dlya graficheskih fajlov // Iskusstvennyj intellekt [Artificial intelligence], 2010, no. 50. pp. 697705. [In Russ.] Bachrach M., Shih F. Y. Image steganography and steganalysis // Wiley Interdisciplinary Reviews: Computational Statistics. 2011. Vol. 3, no. 3. pp. 251-259. Kaur M., Kaur G. Review of various steganalysis techniques // International Journal of Computer Science and Information Technologies, 2014. Vol. 5, no. 2. pp. 1744-1747. ROC curve estimation: An overview / L. Gonçalves [et al.] // REVSTAT–Statistical Journal, 2014. Vol. 12, no. 1. pp. 1–20. Cook J. A. ROC curves and nonrandom data // Pattern Recognition Letters. 2017. Vol. 85. pp. 35-41.
DOI:10.21681/2311-3456-2020-01-62-73
73
О границах зашумления текстов при сохранении их содержания...
О ГРАНИЦАХ ЗАШУМЛЕНИЯ ТЕКСТОВ ПРИ СОХРАНЕНИИ ИХ СОДЕРЖАНИЯ. ПРИЛОЖЕНИЯ К КРИПТОГРАФИИ Бабаш А.В.1, Баранова Е.К.2, Лютина А.А.3, Мурзакова А.А.4, Мурзакова Е.А.5, Рябова Д.М.6, Семис-оол Е.С.7
Цель статьи: ввести математическую модель искаженного содержательного текста и меры его искажения, дать численную классификацию искажения содержательных текстов, привести приложения модели в криптографии. Метод: дешифрование усложненного шифра Виженера, в котором используется почти периодический ключ (зашумленный), осуществляется как дешифрование зашумленного открытого текста на периодическом ключе (известными методами дешифрования Виженера), но с другим распределением вероятности встречаемости символов открытого текста, с дальнейшим сведением задачи к определению допустимого уровня шума в открытом тексте для понимания его содержания. Полученный результат: представлены способы определения содержания текста (дешифрование) шифра гаммирования при использовании слабых ключей. Получена новая трудоемкость и повышена надежность метода за счет того, что k-зашумленных слабых (почти периодических) ключей больше, чем периодических. Получена формула расчета вероятности встречаемости символов после k-го зашумления. Введены искусственные языки качества этого содержани для удобства расчетов и рассмотрены практические примеры зашумления текста (необходимые расчеты производились при помощи написанной программы на языке программирования python). Качество содержания зашумлении рассматрива искаженного открытого текста было оценено при помощи выделения двух границ пониманияязык»), опытнымсостоящем путем. из ог Ключевые слова: содержательный текст, искаженный текст, мера зашумления текста, дешифрование шифра.
плача и требования (прось качества этого содержания. Для определения границ понимания содержан зашумлении рассматриваются открытые тексты на искусственных язык DOI:10.21681/2311-3456-2020-1-74-86 качества этогосостоящем содержания. Для определения границ понимания содержания тек( качества из этого содержания. Для определения границ понимани язык»), ограниченного набора слов и фраз детской речи В вероятностных зашумлении рассматриваются открытые тексты на искусственных языках («Д зашумлении рассматриваются открытые тексты на искусстве плача и требования (просьбы)). рассматривается как исто 1. Введение качества этого содержания. Для определения грани язык»), состоящем из ограниченного набора слов и фраз детской речи (язык язык»), состоящем из ограниченного набора слов и фраз детср генерирует конечную зашумлении рассматриваются открытые тексты ин требования (просьбы)). Существуют шифры иплача методыи их дешифрования, точник генерирует конечную или бесконечную последоплача ив требования (просьбы)). 2. Модель содержательного текста из алфавита из алрезультате которых дешифровальщик получает иска- вательность случайных символов язык»), состоящем из ограниченного набора В вероятностных моделях источников сообщений источник слов откр женный открытый текст. В данной работе рассмотрен 2. Модель как вероятность совместн плача ислучайных требования (просьбы)). содержательного текста 2. Модель содержательного текста рассматривается как источник последовательностей. Считается, I . Вероятность случайного сообщения один из методов дешифрования шифра случайного фавита Вгенерирует вероятностных источников сообщений источник открытого В моделях вероятностных моделях источников исто конечную последовательность «i1 , iили » определяется как вероятностьсообщений совмест- случайн гаммирования с расчетом параметров его сложности 2 , …, inбесконечную рассматривается как источник случайных последовательностей. Считается, что и 2. Модель содержательн рассматривается как источник случайных последовательностей. на k-зашумленном слабом ключе. Полагаем, из чтоалфавита де. Вероятность случайного сообщения При этом, естествен генерирует конечную или бесконечную последовательность случайных си В вероятностных моделях источников сооб ного события шифрование открытого текста удалось, если можно погенерирует конечную или бесконечную последовательност как вероятность совместного события 1) для любого с алфавита нять содержание полученного текста. В из связи с этим, в . Вероятность рассматривается как источник случайных последов алфавита случайного сообщения опред из . Вероятность случайного сообщения работе проводится формализация понятия содержания генерирует конечную или бесконечную послед как вероятность совместного события как вероятность совместного события получаемого в результате дешифрования искаженного При этом, естественно, требуютизвыполнения ∑случайного алфавита .условий: Вероятность 2) услоПри этом, естественно, требуют выполнения открытого текста и дается количественная классифика1) для любого случайного сообщения как вероятность совместного события ция качества этого содержания. Для определения гра- вий: 3) для любого с При этом, естественно, требуют выполнения условий: При этом, требуют выполнения «i1 , i2 , …условий: , in » 1. дляестественно, любого случайного сообщения ниц понимания содержания текста при зашумлении для любого случайного сообщения 1) для любого случайного сообщения рассматриваются открытые тексты 1) на искусственных 2) ∑ При этом, естественно, требуют выполнения ус языках («Детский язык»), состоящем из ограниченного набора слов и фраз детской речи (язык радости, плача 1) сообщения для любого случайного сообщения 3) для любого случайного 2) ∑ 2. ∑ ; и требования (просьбы)). 2) Смысл последнего = 3) для любого случайного сообщения 3) для любого случайного сообщения сообщения есть 2. Модель содержательного текста «i1 , i2 , …, iдлины случайного сообщения n» ∑ ∑ = для любого 2) = длины (некоторый В вероятностных моделях источников сообщений для любого случайного сообщения источник открытого текста рассматривается как источисточником, является вер ∑3)состоит ∑ Смысл последнего условия в том, что вероятность всяког = ник случайных последовательностей. Считается, что исчастотными характеристи сообщения длины есть сумма вероятностей всех «продолжений» этого на множестве открытых Смысл последнего условия состоитаксиомы в том, что вероятность всякого слу Смысл последнего условия состоит в том,∑ что вероятно длины (некоторый вариант Колмогорова). Текст, порожд 1 Бабаш Александр Владимирович, доктор физико-математических наук, профессор НИУ ВШЭ, г. Москва, Россия. E-mail: ababash@hse.ru сообщений. сообщения длины есть сумма вероятностей всех «продолжений» этого сообщ сообщения длины есть сумма вероятностей всех «продолжен 2 Баранова Елена Константиновна, доцент НИУ ВШЭ, г. Москва, Россия. E-mail: ekbaranova@hse.ru источником, является вероятностным аналогом языка. Он обладает одинаков Смысл последнего условия состоит в том, длины (некоторый вариант аксиомы Колмогорова). Текст, порождаемый В данной работе мыр 3 Лютина Анна Андреевна, студент магистратуры НИУ ВШЭ, г. Москва, Россия. E-mail: aalyutina@edu.hse.ru длины (некоторый вариант аксиомы Колмогорова). Тек частотными характеристиками -грамм. Задавая конкретное вероятностное 4 Мурзакова Александра Андреевна, студент магистратуры НИУ ВШЭ, г. Москва, Россия. E-mail: aamurzakova@edu.hse.ru сообщения длины есть сумма вероятностей всех источником, является вероятностным аналогом языка. Он обладает одинаковыми Стационарный ист источником, является вероятностным языка. Он облада на множестве открытых текстов, мы задаеманалогом соответствующую модес 5 Мурзакова Екатерина Андреевна, студент магистратуры НИУ ВШЭ, г. Москва, Россия. E-mail: eamurzakova@edu.hse.ru длины (некоторый вариант аксиомы Колмо частотными характеристиками -грамм. Задавая конкретное вероятностное распре что вер частотными характеристиками -грамм.предполагается, Задавая конкретное веро сообщений. 6 Рябова Дарья Михайловна, студент магистратуры НИУ ВШЭ, г. Москва, Россия. E-mail: dmryabova@edu.hse.ru источником, является вероятностным аналогом язык на множестве открытых текстов, мы задаем соответствующую модель ис отдельных символов алфа на открытых текстов, мы задаем 7 Семис-оол Елена Сергеевна, студент магистратуры НИУ ВШЭ,множестве г. Москва, Россия. E-mail: essemisool@edu.hse.ru В данной работе мы будем опираться на частный случайсоответствую этой общей м сообщений. частотными характеристиками -грамм. Задавая кон Определение 1. сообщений.источник независимых символов Стационарный алфавита. В на множестве открытых текстов, мы задаем последовательности не В данной работе мы будем опираться на частный случай этой общей модели. В данной работе мы будем опираться на частный случай этсв предполагается, что вероятности сообщений полностью определяются сообщений. схеме . алфа Стационарный источник независимых символов алфавита. В этой 74 Стационарный источник независимых символов Вопросы кибербезопасности. 2020. № 1(35) . отдельных символов алфавита В данной работе мы будем опираться на частн Исходу взаимно одн предполагается, что вероятности сообщений полностью определяются вероятн предполагается, что вероятности опре Определение 1. Под открытым сообщений текстом полностью понимается разделить буквы алфавит Стационарный источник сим . отдельных символов алфавита . независимых отдельных символов алфавита последовательности независимых испытаний в полиномиальной в связи с чем предполагается, что вероятности сообщений полн Определение 1. Под открытым текстом понимается реал Определение 1. Под открытым текстом по схеме .
из алфавита . Вероятность случайного сообщения определяется конечную или события бесконечную последовательность случайных символов сть совместного из алфавита . Вероятность случайного сообщения определяется сть совместного события юбого случайного сообщения УДК 004.056.55 ом, естественно, требуют выполнения условий: Методы и средства кодирования информации = случайного сообщения для любого ста. При этом ключ составляется из случайной равноом, естественно, =требуют вероятной выборки. ∑ выполнения условий: для любого случайного сообщения Рассмотрим ключ в шифре гаммирования. Предпо∑ ложим, он состоит из одинаковых последовательностей еднего условия состоит в условия том, что вероятность всякого случайного последнего состоит в том, что веро- длины d , как лозунговый ключ в шифре Виженера. для любогоСмысл случайного сообщения всехсообщения «продолжений» сообщения до ∑ есть сумма есть Тогда ятность= вероятностей всякого случайного длины n этого можно определить длину ключевого слова с посумма вероятностей всех «продолжений» этого сообмощью известных оторый вариант аксиомы Колмогорова). Текст, порождаемый таким методов, например,Nтеста Казиски для любого случайного сообщения Определение 2. Слабым шифра назовем I d – множество s∑ > n языка. (некоторый вариант аксиомы щения до длины и теста черезключом тся вероятностным аналогом Он обладает одинаковыми сФридмана. языком Обозначим = шифрованному тексту имеется метод его нахождения ил Колмогорова). Текст, порождаемый таким источником, всех локально-периодических последовательностей петеристиками -грамм. Задавая конкретное вероятностное распределение , тогда длину ключевой последовательности является вероятностным аналогом языка. Он обладает риода d способ определить отдельные части открытого текста. Пр ∑ последнего условия состоит в соответствующую том, что вероятность всякого случайного крытых текстов, мы задаем модель источника kd + r 6-10]. можно представить, как N =выборки. одинаковыми с языком частотными характеристиками случайной равновероятной Определение 2. Слабым ключом шифра назовем ключ, [1, при котором по длины есть сумма вероятностей «продолжений» сообщения дозаключаются k -грамм. Задавая конкретное всех вероятностное распре- этого Рассмотрим, в чем методы нахождеРассмотрим ключ в шифре гаммирования. Предположим последнего условия состоит в Колмогорова). том, что мы вероятность всякого случайного тексту имеется метод его нахождения d . таким или его части, или имеется (некоторый вариант аксиомы Текст, порождаемый деление на шифрованному множестве текстов, задаем сония периода боте мы будем опираться на открытых частный случай этой общей модели. последовательностей длины , как лозунговый способ определить отдельные части открытого текста. При этом ключ составляется из в шиф длины есть сумма вероятностей всех «продолжений» этого до Тестсообщения Казиски анализирует повторения в шифртек-ключ ответствующую модель источника сообщений. является вероятностным аналогом языка. Он обладает одинаковыми с языком ый источник независимых символов алфавита. В этой модели сте. Метод основывается на том, что если гамма локальВ данной работе мы будем опираться на частный определить длину ключевого слова с помощью известных случайной равновероятной выборки. вариант аксиомы Колмогорова). Текст, порождаемый таким характеристиками -грамм. Задавая конкретное вероятностное распределение то(некоторый вероятности полностью определяются вероятностями m из -граммы отно периодическая, то две одинаковые случай этойсообщений общейРассмотрим модели. ключ в шифре гаммирования. Предположим, он состоит одинаковых – м Казиски и теста Фридмана. Обозначим через является вероятностным аналогом языка. Он обладает одинаковыми с языком ве алфавита открытых текстов, источник мы. задаем соответствующую модельтекста, источника ов отстоящие друг от друга на расстоянии, Стационарный независимых символов ал- крытого последовательностей длины , какпериодических лозунговый ключ в шифре Виженера. Тогда можно , последовательностей периода т характеристиками -грамм. Задавая конкретное вероятностное распределение m -граммы, будут одинаково которое кратно периоду фавита. Воткрытым этой модели предполагается, чтопонимается вероятности 1. Под текстом реализация определить длину ключевого слова с помощью известных методов, например, теста ве открытых текстов, мы задаем соответствующую модель источника последовательности можно представить, как [1, 6m -граммы, зашифрованы сообщений полностью определяются вероятностями от- общей ной мы будем опираться навчастный случай этой модели. в некоторые одинаковые сти работе независимых испытаний полиномиальной вероятностной . находящиеся на том же расстоянии друг от друга. Появдельных символов алфавита Рассмотрим, в чем заключаются методы нахождения пер I : P = p , i ∈ I – множество всех локальноКазиски и теста Фридмана. Обозначим через ( ) i онарный источник независимых символов алфавита. В этой модели . m -грамм в шифрованном тексте ление же одинаковых Тест Казиски анализирует повторения в шифртексте. М периодических последовательностей периода , тогда длину ключевой ной работе мы будем опираться на частный случай этой общей модели. тся, однозначно что вероятности сообщений полностью определяются вероятностями мно соответствует символ алфавита . Эта модель позволяет по другим причинам маловероятно (при некоторых разОпределение 1. Под открытым текстом понимаетчто умных если периодическая, то две одинаковые представить, как [1, онарный независимых алфавита. В гамма этой локально модели . символов имволов ограничениях на 6-10]. величину m и на длину шифрся реализация последовательности независимых ис-использования. лфавита алфавита наисточник классыпоследовательности высокой, средней иможно низкой частот В отстоящие друг от друга которое кратно Рассмотрим, в чем заключаются методы нахождения периода . тся, что вероятности сообщений полностью определяются вероятностями ). Из этого следует,на что расстоянии, большинство расстотекста N реализация ление пытаний 1. Подв полиномиальной открытым вероятностной текстом схеме понимается m -граммами шифртекста яний вероятностной между одинаковымиМетод одинаково в некоторые одинаковые Казиски анализирует повторения взашифрованы шифртексте. основывается на том, -грамм . имволов Pнезависимых = ( pi , i ∈ I ) . Тест льностиалфавита испытаний в полиномиальной делится нареализация минимальный период. По этой причине на расстоянии друг от друга. Появление же одинаковых -грам если гамма локально периодическая, то две одинаковые -граммы открытого текста, ление . 1. Подчто открытым текстом понимается ∏ Исходу взаимно однозначно соответствует символ практике в качестве предполагаемого периода гаммы другим причинам маловероятно (при некоторых огр друг от друга на буквы расстоянии, которое кратно периоду -граммы, разумных будут льности независимых испытаний в полиномиальной вероятностной взаимноалфавита однозначно соответствует символ алфавита . Эта модель позволяет . Эта модель позволяет разделить рассматривают наибольший общий делитель длин больIотстоящие на длину шифртекста ). Из этого следует, что больш одинаково зашифрованы в некоторые одинаковые -граммы, находящиеся на том же . алфавита классывысокой, высокой, средней низкой частот шинства расстояний между повторениями m -грамм. квыиалфавита на на классы среднейи и низкой частот использования. В одинаковыми -граммами шифртекста делится на минимальн Эксперименты показали хорошую надежность данного В связи с друг чем от расстоянии друга.алфавита Появление же одинаковых -грамм в шифрованном тексте по взаимноиспользования. однозначно соответствует символ . Эта модель позволяет ( на классы ) ∑ ( ) метода, приразумных что в предполагаемого шифртексте имеются повто- m игаммы р нанекоторых практике вусловии, качестве периода другим причинам маловероятно (при на величину квы алфавита высокой, средней и низкой частот использования. Вограничениях -граммбольшинства при m , большемрасстояний трёх. рения делитель триграмм и m общий на длину шифртекста ). Из этого следует, что длин большинство расстояний между между ∏ Метод Фридмана основан на введенном им поняоткрытых текстов Эксперименты показали хорошую надежность данного ме одинаковыми -граммами шифртекста делится на минимальный период. По этой причине тии «индекса совпадения». ным случайным искажением (ОСИ) открытого текста мы шифртексте имеются повторения триграммнаибольший и -грамм при , на практике в ∏ качестве предполагаемого периода рассматривают Первый методгаммы Фридмана и лучайный и равновероятный выбор элемента случайную и Первый метод Уильяма Фридмана состоит в том, что Метод Фридмана основан на введенном им-грамм. понятии «инд общий делитель длин большинства и расстояний между повторениями ( ) ∑ ( ) замену буквы на букву . Искаженный открытый текст в вычисляют индекс совпадедля данного шифртекста B Первый метод Фридмана и Эксперименты показали хорошую надежность данного метода, при условии, что в ния IC ( B ) и сравнивают его с величинами . Притриграмм последовательном будет иметь видшифртексте имеются повторения Первый методпри Уильяма Фридмана , большем трёх. состоит в том, что и -грамм ( ) ∑ ( ) ление открытых текстов искажением одиночным раз ( -ОСИ) мы получим вычисляют индекс совпадения Метод Фридмана основан на введенномN им «индекса N ( d − 1) совпадения». − dпонятии 1 и сравнивают его с велич 2 мы иночным случайным искажением (ОСИ) открытого текста P + * ∑ i ( N − 1) d I , d = 1, 2,3,… [1-5]. Первый метод Фридмана ление открытых текстов d ( Nи−случайную 1) i∈I ать случайный и равновероятный выбор элемента ∑ Зашумление открытых Первый текстов метод Уильяма Фридмана состоит в том,мы что для данного шифртекста | | иночным случайным искажением (ОСИ) открытого текста ятную замену буквы на букву . Искаженный открытый текст в При достаточной близости IC ( B ) к одной из этих Под одиночным случайным искажением (ОСИ) отвычисляют совпадения и сравнивают его с величинами ать случайный и равновероятный элементаслучайи случайную будем понимать при некотором d , предполагают, что период крытого текста x = i1i2 …индекс iL мывыбор . Привеличин последовательном ОСИ будет иметь вид . Данный метод удовлетворительно раный буквы и равновероятный выбор . Искаженный элемента равен этому d текст ятную замену на букву открытый в близости ∑ При достаточной одной из этих текста одиночным искажением раз ( -ОСИ) мы получим и случайную и равновероятную замеботает при использовании для зашифрованияк локальj ∈ 1, 2, … , L | | { иметь }вид . При последовательном ОСИ будет предполагают, что период равен этому . Данный текст [1-5]. но-периодических последовательностей периода не метод удов искажением раз ( -ОСИ) получим текста ну буквы i j на одиночным букву i ∈ I , i ≠ i j . Искаженный открыболее 5. мы С точки обоснованности применения использовании длязрения зашифрования локально-периодических п текст в[1-5]. результате ОСИ будет иметь вид данного метода лучше сравнивать IC(B) с более точным текст тый не более 5. С точки зрения обоснованности применения данно При достаточной близости к одной из этих величин при некотором , x1 = i1i2 …i j −1i j i j +1 …iL . При последовательном иска- выражением для N = kd + r IC(B) .сДанный более точным для работает при предполагают, что период равен этому метод выражением удовлетворительно использовании для зашифрования последовательностей периода n искажением локально-периодических жении текста x = i1i2 …iL одиночным ( не более 5. С точки зрения обоснованности применения данного метода∑ лучше сравнивать получим искаженный текст раз ( n -ОСИ) IC(B)мы с более точным выражением для x n = i1'i2' …iL' [1-5].
( ∑ Второй метод Уильяма Фридмана ) | | Второй метод Уильяма Фридмана также основан Определение 2. Слабым ключом шифра назовем совпадения. состоит в Фридмана опробовании возможных периодо Второй Он метод Уильяма ключ, при котором по шифрованному тексту имеетВторой методпериода Уильяма Фридмана также основан на ся метод его нахождения его части, или имеется предполагаемого выписываются подпоследовател Второйили метод Уильяма Фридмана вычислении индекса совпадения. Он состоит в опробоспособ определить отдельные части открытого текВторой метод Уильяма Фридмана также основан на вычислении индекса совпадения. Он состоит в опробовании возможных периодов по следующей схеме. Для предполагаемого периода выписываются подпоследовательностей 75 DOI:10.21681/2311-3456-2020-1-74-86
Для каждой подпоследовательности подсчитывается ее и индексы совпадения в среднем близки к значению
О границах зашумления текстов при сохранении их содержания... вании возможных периодов по следующей схеме. Для предполагаемого периода d выписываются d подпоследовательностей
b1 , b1+ d , b1+ 2 d , … b2 , b2+ d , b2+ 2 d , … …………………… bd , bd + d , bd + 2 d , … Для каждой подпоследовательности подсчитывается ее индекс совпадения. Если все индексы совпадения в среднем близки к значению
где k , r определены равенством N = kd + r . Если эти величины близки, принимается гипотеза о том, что шифрование проводилось гаммой периода d . В противном случае эта гипотеза отвергается [1]. Такой периодический ключ в шифре гаммирования является слабым ключом (выше были рассмотрены методы определения периода такого ключа). Введем обозначение для такого ключа – d -слабый ключ. Генератор псевдослучайных последовательностей может выработать d -слабый ключ с вероятностью I d .
I
L
1 Pi 2 , ∑ d i∈I
Если возьмем k -зашумленный слабый ключ (произведем k раз зашумление ключевой последовательности), то таких ключей будет больше, чем периодических ∑ ∑ то есть к среднему значению индекса совпадения последовательностей длины d ( d -слабых ключей), случайных шифртекстов, полученных с помощью ∑ гамм следовательно, с большей вероятностью сможем деза истинный пе- шифровать периода 1, то принимают величину текст, зашифрованный на таком k -зашумd юсреднему индекса совпадения случайных шифртекстов, полученных с значению индекса совпадения случайных шифртекстов, полученных с риод, в противном случае опробуют следующую величиленном слабом ключе. Можем назвать то гамм принимают величину за истинный период, противном то есть к 1, среднему значению индекса совпадения случайных шифртекстов, полученных стакие ключи ю периода то принимают величину за вистинный противном ∑ ну периода. Приведенный способ нахождения периода период, d-слабымив ключами с неким % зашумления. ую величину периода. Приведенный способ нахождения ∑ помощью гамм периода 1, тексту то принимают величину за истинный в противномкак последоопробуют следующую величину периода. Приведенный нахождения гаммы по шифрованному удовлетворительно ра- способ Возьмем ключ впериод, шифре гаммирования нному тексту удовлетворительно работает для периодов, не опробуют следующую величину периода. Приведенный способ нахождения гаммы случае позначению шифрованному тексту удовлетворительно работает дляполученных периодов, ботает дляиндекса периодов, не превышающих 30. вательность локального (период d ). среднему совпадения случайных шифртекстов, снепериода ∑ x = i , i … i … i содержательный Метод БШ то есть к среднему значению индекса совпадения случайных шифртекстов, полученных с периода1,гаммы по шифрованному удовлетворительно не ющих 30. 2работает j N для периодов, текст; гамм периода то принимают величину тексту за истинный период, в1 противном ∑ Предлагаемый метод определения периода гаммы помощью гамм периода 1, то принимают величину за истинный период, в противном превышающих 30. тод БШ ∑ пробуют следующую величину периода. Приведенный способ – ключ, который выбирается в шифресовпадения гаммирования по известному шифртексту значению индекса случайных шифртекстов, полученных сγ 2 …γ j …γПриведенный γ = γнахождения 1 ,периода. случае опробуют следующую величину способ нахождения определения периода гаммы в шифре гаммирования по едлагаемый метод определения периода гаммы вработает шифре гаммирования поN полученных Метод БШ аммы по шифрованному тексту удовлетворительно для периодов, не B = b , b , … , b состоит в следующем. Выписываютто есть к среднему значению индекса совпадения случайных шифртекстов, с 1 2 N иода 1, принимают величину за истинный период, в противном периода гаммы по шифрованному тексту удовлетворительно работает для периодов, не ∑ состоит вномеров следующем. Выписываются все пары Предлагаемый метод определения периода гаммы в шифре гаммирования по j , j′ состоит в следующем. Выписываются все пары му шифртексту b = b среднему значению индекса совпадения случайных шифртекстов, полученных с , для которых Пусть ся все пары из множества равновероятных последовательностей ющих 30. j j ′ помощью гамм периода 1,Приведенный то принимаютспособ величину за Nистинный период, в противном следующую величину периода. нахождения превышающих 30. –множество множество пар. Пусть -принимают таких пар. Очевидно, состоит следующем. Выписываются все пары известному , для которых Пусть таких - Очевидно, множество такихв период, пар. гамм периода 1, тошифртексту величину за истинный од БШ γ ∈Очевидно, I в; противном
случае опробуют следующую величину периода. Приведенный способ нахождения тексту удовлетворительно работает для периодов, не с ушифрованному значению индекса совпадения случайных шифртекстов, полученных Метод БШПусть , для которых множество таких пар. номеров пробуют следующую величину периода. Приведенный способ нахождения длагаемый метод определения периода гаммы в шифре гаммирования по гаммы| по шифрованному тексту удовлетворительно работаетОчевидно, периодов, не текст. | 1,периода |принимают ∑ | ∑за истинный y = yпериода yдля , период, 1 , y2 … y j … N – зашифрованный Предлагаемый метод определения гаммы в шифре гаммирования по ериода то величину в противном аммы попревышающих шифрованному удовлетворительно работает для периодов, не в следующем. Выписываются все пары у шифртексту k раз зашумление ключевой послеПроизведем 30.текстусостоит | | ∑ следующую величинуПусть периода. Приведенный способпар. нахождения состоиттов есть следующем. Выписываются известному шифртексту ющих 30. довательности, получим зашумленный ключвсе пары , для которых множество таких Очевидно, Метод БШ йо шифрованному метод определения периода гаммы вкоторых шифре гаммирования ' по ' не '- множество ' тексту удовлетворительно работает для периодов, номеров , для Пусть таких пар. Очевидно, . Далее произведем зашифроγ j …γ N гаммирования ′ = γ 1 , γ в2 …шифре тод БШвстречаемости и буквы в шифртексте B. метод Предлагаемый периода γгаммы по астота буквы в|вшифртексте B.Выписываются следующем. все пары ксту |состоит ∑определения i в шифртекгде Fопределения буквы вание на измененном ключе: i - частота встречаемости длагаемый метод периода гаммы в шифре гаммирования по | | ставится соответствие расстояние , расстояние равное состоит вB. следующем. все пары ∑ ,Выписываются известному - частота встречаемости буквы в шифртексте где ждой ставится в соответствие равное торыхпаре Пусть - множество таких пар. Очевидно, сте B. изв шифртексту i1 ,пары i2 …id , id +1 …i j …iN состоит в Ищется следующем. Выписываются все у шифртексту ности между . Ищется максимальное по мощности , для которых Пусть множество таких пар. Очевидно, номеров из ставится в соотКаждой паре j , j′ Каждой паре из ставится в соответствие расстояние , равное . максимальное по мощности ной величине разности между ( ) ый , для метод определения периода гаммы в шифретаких гаммирования по ' ' ' ' ' | | ∑ которых Пусть множество пар. Очевидно, γ , γ … γ γ … γ … γ N' рстота в встречаемости такое,пар чтобуквы расстояния имеют некоторый d по d +1 мощности j 1 2 . Ищется максимальное абсолютной величине разности между ество вихсостоит такое, что| их расстояния имеют некоторый в шифртексте B. в следующем. Выписываются все пары тексту | ∑ p-(частота j , j′величина равное абсолютной буквы веветствие расстояние )вв, Подсчитывается ' встречаемости в шифртексте B.имеют гдеставится ьдой , отличный отиз 1. Подсчитывается некоторый подмножество пар такое, что их расстояния аибольший делитель ,| отличный от 1. величина , y2' … yd' yd' +1 … y 'j … y N' |- множество ∑ паре соответствие ,y1равное которых Пусть таких пар.расстояние Очевидно, из1. Подсчитывается ставится в соответствие расстояние , равное паре |разностимежду | Каждой|,.. отличный | от общий наибольший делитель величина Ищется максимальное по мощности ой величине разности Ищется максимальное личине между ечаемости буквы в шифртексте B. абсолютной разности между Ищется максимальное мощности ∑ такое, чтовеличине | | можем Но в. силу ассоциативности сначалапоналоство изгде |- пар в | встречаемости их расстояния некоторый частота буквы в шифртексте B.имеют ставится в соответствие расстояние , равное имеют некоторый подмножество пар в такое, что их расстояния пар в жить шум на открытый текст, а потом зашифровать его по мощности подмножество стота встречаемости буквы B. ставитсявеличина ибольший делитель , отличный отиз 1. Подсчитывается впо соответствие расстояние , равное Каждой паре в. шифртексте ине разности между Ищется максимальное мощности d . Распределение букв в таком на ключеотс 1. периодом общий наибольший делитель , отличный Подсчитывается величина дой паре из ставится в соответствие расстояние , равное | | абсолютной величине разности между . Ищется максимальное по мощности вается с величиной p j , j′ такое, что их расстояния имеют неоткрытом тексте будет уже другим, нежели в не зашумНо можем в силу ассоциативности сначала наложить шум на отк пар в такое, что их расстояния имеют некоторый ( ) тречаемости буквы в шифртексте B. . Ищется | |сначала наложить Нотакое, можем в их силу ассоциативности шум на на откр откр ой величине разности между пар максимальное потексте. мощности Но можем в силу ассоциативности сначала наложить шум лённом подмножество в что расстояния имеют некоторый и сравнивается с величиной потом зашифровать его на ключе с периодом . Распределение букв в делитель , отличный от 1. Подсчитывается величина ество ставится в соответствие расстояние , равное ) из ∑ потом зашифровать его на ключе с периодом . Распределение букв та ( ) ∑ паробщий в такое,делитель что их расстояния некоторый отПодсчитывается 1. егоимеют который наибольший d , отличный потом зашифровать на нежели ключе сiв ,не периодом . Распределение букв вв та общий наибольший делитель , отличный от 1. величина | | тексте будет уже другим, зашумлённом тексте. i … i , i … i … i 1 2 d d +1 j N . Ищется максимальное по мощности чине разности между Подсчитывается величина будет уже уже другим, нежели не зашумлённом зашумлённом тексте. тексте. ( )тексте будет ибольший делитель , отличный от 1. Подсчитывается величина тексте вв не | другим, |нежели∑ ается с величиной пар в такое, что их расстояния имеют некоторый ξ , ξ … ξ , ξ … ξ … ξN ⊕ | | 1 2 d d + 1 j и сравнивается с величиной й делитель , отличный от 1. Подсчитывается величина твом . Если близки, определены( равенством . Если эти принимается величины ) эти величины ∑ близки, принимается γ 1 , γ 2 …γ d , γ d +1 …γ j …γ N | | противном ( ∑ ' личиной ание проводилось гаммой периода . В случае определены равенством эти величины ' близки, ' эта ' 'принимается ' о том, где что шифрование проводилось гаммой периода. Если . В)эта противном случае y , y … y y … y и сравнивается с величиной 1 2 d d + 1 j … yN и[1]. сравнивается с величиной отвергается гипотеза о том, что шифрование проводилось гаммой периода . В противном случае эта ается с величиной ( ) ∑ ключ в шифре гаммирования является слабым ключом (выше гипотеза отвергается [1]. ой периодический ключ в шифре гаммирования является слабым (выше пределены равенством . Если близки, ключом принимается ( ) эти величины ∑ – открытый текст, где определены равенством . Если эти ключом величины близки, принимается определения периода такого ключа). Введем обозначение для ( ) ∑ Такой периодический ключ в шифре гаммирования является слабым (выше смотрены методы определения периода такого ключа). Введем обозначение для еличиной о том, что шифрование проводилось гаммой периода . В противном случае эта гипотеза о том, что шифрование проводилось гаммой периода . В противном случае эта юч. рассмотрены методы определения периода такого ключа). Введем обозначение для люча - были -слабый ключ. – шум, твергается [1]. ыйных равенством . Если эти величины близки, принимается ( ) ∑ гипотеза отвергается последовательностей может выработать [1]. -слабый ключ такого ключа - в-слабый ключ. псевдослучайных последовательностей может -слабый ключ йератор периодический ключ шифре гаммирования слабым (выше где проводилось определены равенством .выработать Если эти ключом величины близки, принимается шифрование гаммой периода . Вявляется противном случае эта –ключ ключ, Такой периодический ключ в шифре гаммирования является слабым ключом (выше | | Генератор псевдослучайных последовательностей может выработать -слабый пределены равенством . Если эти величины близки, принимается мотрены методы определения периода такого ключа). Введем обозначение для о том, что шифрование проводилось гаммой периода . В противном случае эта . ностью я [1]. | гипотеза были рассмотрены методы определения периода такого ключа). Введем обозначение для | шифрование |проводилось | | | оический том, гаммой периода . ключом В противном случае эта юча - что -слабый ключ. гипотеза отвергается [1]. . с вероятностью ключ в шифре гаммирования является слабым (выше | | умленный слабый ключ (произведем раз(произведем зашумление | | ны равенством . Если эти - величины близки, принимается и возьмем -зашумленный слабый ключ раз зашумление ключа -слабый ключ. | | такого отвергается [1]. ратор псевдослучайных последовательностей может выработать -слабый ключ Такой периодический ключ в шифре гаммирования является слабым ключом (выше определения периода такого ключа). Введем обозначение для сти), то таких ключей будет больше, чем периодических 76 йметоды последовательности), то таких ключей будет больше, чем периодических Если возьмем -зашумленный слабый ключ (произведем раз зашумление ой шифрование проводилось гаммой периода . В противном случае эта Генератор псевдослучайных последовательностей может выработать -слабый ключ Вопросы кибербезопасности. 2020. № 1(35) периодический ключ в шифре гаммирования является слабым ключом Введем (выше | | были рассмотрены методы определения периода такого ключа). обозначение для лабый ключ. . остью ы ( -слабых ключей), следовательно, с большей | | ключевой последовательности), то таких ключей будет больше, чем периодических тся [1]. ательностей длины ( -слабых ключей), следовательно, с большей | | методы определения мотрены периода такого обозначение для . ключа). Введем с-слабый вероятностью такого ключа - гаммирования ключ. вдослучайных последовательностей -слабый | | выработать ифровать текст, наможет таком -зашумленном дический ключ в зашифрованный шифре является слабым ключом (выше последовательностей длины ( -слабых следовательно, с большей стью дешифровать текст, зашифрованный наключей), такомразключ -зашумленном возьмем -зашумленный слабый ключ (произведем зашумление юча - сможем -слабый ключ. Генератор псевдослучайных последовательностей может выработать -слабый ключ раз зашумление Если возьмем -зашумленный слабый ключ (произведем ть такие ключи d-слабыми ключами с неким % зашумления. ылюче. методы определения периода такого ключа). Введем для Можем назвать такие ключи d-слабыми ключами собозначение неким зашумления. вероятностью сможем дешифровать текст, зашифрованный на таком последовательности), то таких ключей будет больше, чем %периодических ратор псевдослучайных может выработать -слабый ключ -зашумленном |последовательностей |
УДК 004.056.55
3. Подход к классификации «на хорошее или плохое содержан Методы и средства кодирования информации
открытого текста вероятностное распределение букв ал Теорема 1. Пусть 3. Подход к классификации «на хорошее или плохое содержание» искаженного 1 P − ( ) P i ' i из указанного распределения текстах, а Pi = P-i −выборка + (1) – зашифрованный текст,открытого текста * 1 N N n − ( ) открытый текст ( -ОСИ)-искажением | | |- |вероятностное распределение букв алфавита в открытых являе – сложение по модулю │I│. | | Теорема 1. Пусть распределения : распределения. Тогда искаженный - выборка из указанного текстах, а где: открытый текст ( -ОСИ)-искажением являетсяi -ойвыборкой буквы в ис- из Pi – вероятность встречаемости ходном тексте; : распределения N – длина текста; n – количество уникальных символов в алфавите. где: Для k зашумление формула (1) примет вид: – вероятность встречаемости -ой буквы в исходном тексте; k m k −1 N * n − 1 − n Получим зашифрованный текст на d -слабом клю-– длина P * N * n − 1 − n ( ) ( ) ( ) ( ) i ' текста; м зашифрованный текст на на-слабом ключе, который можно дешифровать учим зашифрованный -слабом ключе, который можно дешифровать где: Pдешифровать +∑ 2 шифрованный текстможно на текст -слабом ключе, который можно че, который дешифровать как шифр Виженера, ik = k m +1 ( ) – количество уникальных символов в алфавите. 0 = m − − N * n 1 N * n 1 ( ) ( ) иженера, о чем говорилось выше. Так как -слабых ключей с неким % d -слабых ключей с о чем говорилось выше. Так как ( ) ( ) Виженера, о чем говорилось выше. Так как -слабых ключей с неким % – вероятность -ой буквы в исходном тексте; ера, о чем говорилось выше. Так каквстречаемости -слабых ключей с неким % Для зашумление формула d новую -слабых неким % просто зашумления больше, чем просто больше, чемчем просто -слабых ключей, то получаем новую трудоемкость и и (1) примет вид: ия больше, ключей, то получаем новую трудоемкость –-слабых длина текста; ше, чем просто -слабых ключей, то получаем трудоемкость и ключей, то[11-12]. получаем новую трудоемкость и повышаем дежность метода надежность метода [11-12]. количество уникальных символовВидно, в алфавите. ость метода [11-12]. что качество содержания искаженного отнадежность метода–[11-12]. ∑ из всего вышеописанного, встала задача описания подхода к классификации одя из всего вышеописанного, встала задача описания подхода к классификации Для зашумление формула (1) примет вид: его вышеописанного, встала задача описания подхода к классификации текста x ′ = i1′, i2′ …iL′ ( n -ОСИ)-искажением Исходя из всего вышеописанного, встала задача крытого илиили плохое содержание» искаженного текста. Чтобы понять, шее плохое содержание» искаженного открытого текста. Чтобы понять, вполне характеризуется распределением (1). Но как описания подхода к классификации «наоткрытого хорошее или плохое содержание» искаженного открытого текста. Чтобы понять, классифицировать «на хорошее или плохое» содержаплохое содержание» искаженного открытого текста. Чтоы прочесть открытый текст, нам нужно знать, какой уровень шума допустим. ичесть мы прочесть открытый текст, намзнать, нужно знать, какой шума уровень шума открытый текст, нам нужно какой уровень допустим. ∑ допустим. ние текста, полученного выборкой из заданного дисбы понять, сможем ли мы прочесть открытый текст, нам ста искаженными (зашумленными) данными актуальна в разных Такие с искаженными (зашумленными) данными актуальна всферах. разных сферах. Такие женными (зашумленными) данными актуальна в разных Такие Видно, что сферах. качество содержания искаженного открытого текста кретного распределения. Наше первое предложение нужно знать, какой уровень шума допустим. поделить два смысловых жно поделить на два смысловых блока. лить на двана смысловых блока.блока. характеризуется распределением (1). Но к сравнении энтропий распределений и поисРабота с искаженными (зашумленными)ОСИ)-искажением данными состоит в вполне «прочтения» искаженного текста, то есть поиск методов и способов 1.«прочтения» Задача «прочтения» искаженного текста, то есть поиск методов и способов чаЗадача искаженного текста, то есть поиск методов и способов «на хорошее или плохое» содержание текста, полученного выб актуальна в разных сферах. Такие сферы можно поде- ка значений энтропии распределения (1), при котором Видно, что качество содержания искаженного открытого текста ( ия искаженных данных, приведения полученных зашумленных сигналов к n ления искаженных данных, приведения полученных зашумленных сигналов к -ОСИ) искажений указывают практические примеры ( лить на два смысловых блока. каженных данных, приведения полученных зашумленных сигналов к дискретного распределения. Наше первое предложение состоит в ОСИ)-искажением вполне характеризуется распределением (1). Но как классифицировать различные уровни содержания. Блок 1. Задача «прочтения» искаженного текста, мому человеком виду, чтобы можно было разобрать, обыло чем было переданное маемому человеком виду, чтобы можно было разобрать, оначем было переданное человеком виду, чтобы можно было разобрать, о чемто переданное распределений и поиска значений энтропии распределения (1), при к «на хорошее или восстановления плохое» содержание текста, полученного из заданного Доказательство формулы выборкой (2) поиск методов и способов искаТак, в работах [13-15] представлены способы восстановления зашумленных е.работах Так, в есть работах [13-15] представлены способы восстановления зашумленных [13-15]данных, представлены способы восстановления примеры ( зашумленных -ОСИ) искажений указывают на различные уровни содерж Для внесения 1 зашумления (2) примет женных приведения полученных зашумленных дискретного распределения. Наше первое предложение состоит в формула сравнении энтропий В работах [16-20] приводятся методы компенсации шума в канале при приводятся методы компенсации шума в канале при ний. В работах [16-20] приводятся методы компенсации шума в канале при аботах [16-20] вид: распределения (1), при котором практические сигналов краспределений воспринимаемому человеком виду, чтобы и поиска значений энтропии иевых речевых и других сигналов на фоне помех; рассматривается отношение ании речевых и других сигналов на фоне помех; рассматривается отношение можно было разобрать, чем было переданное сооби других сигналов на офоне помех; рассматривается отношение Доказательство формулы ν 0 ( Nn(2) − N − n) + N примеры ( -ОСИ) искажений указывают на различные содержания. щение. Так, в работах [13-15] представлены способы границы ошибок восприятия переданного сообщения по каналу связи. м и границы ошибок восприятия переданного сообщения посвязи. каналу связи. ν1 =уровни ицы ошибок восприятия переданного сообщения по каналу Для внесения 1 зашумления формула (2) примет вид: N ( n − 1) восстановления зашумленных изображений. Вданных работах 2. Использование зашумления исходных как мера защиты 2. Использование зашумления исходных данных как мера защиты спользование зашумления исходных данных как мера защиты [16-20] приводятся методы компенсации шума в (2) канаДоказательство формулы льной информации. Так, в в[21-27] говорится о оприменении ν циальной информации. Так, [21-27] говорится применении информации. Так, в [21-27] говорится о применении i Отметим, что вид: , тогда ν i = Pi * N , где ν i – ле при распознавании речевых 1 и зашумления других сигналов на Pi = Для внесения формула (2) примет нного зашумления (шумогенераторы) и линейного зашумления (маскировка твенного зашумления (шумогенераторы) и линейного зашумления (маскировка зашумления (шумогенераторы) и отношение линейного зашумления (маскировка фоне помех; рассматривается сигнал/шум N оводах, кабелях т.д.) для защиты от утечки конфиденциальных данных каккак вах, проводах, и т.д.) для защиты отконфиденциальных утечки конфиденциальных данных и границы восприятия переданного сообщения кабелях икабелях т.д.)иошибок для защиты от утечки данных как Отметим, что , тогда , где – количество -ы i -ых символов количество по каналу связи. олируемой и за А вАприводится [28] приводится материал нтролируемой и ее за пределами. ее пределами. в [28] приводится материал уемой зоны,зоны, такзоны, и так за так ее пределами. А в [28] материал об об обв тексте. Для доказательства метод математичеБлок 2. Использование зашумления исходных данДля доказательства метод математической индукци местоположения данных оприменяется ииконфиденциальности конфиденциальности местоположения лица(запутывание (запутывание данных о фиденциальности местоположения лица лица (запутывание данных о применяется ных как мера защиты конфиденциальной информации. ской индукции. нии с добавлением случайного шума). , тогда , где – количество -ых символов в тексте. Отметим, что жении с Так, добавлением случайного шума). пространствендобавлением шума). в случайного [21-27] говорится о применении ой работе рассматриваются искаженные (зашумленные) данные применимо анной работе искаженные (зашумленные) данные к ного рассматриваются зашумления (шумогенераторы) и применяется линейного за- метод Для доказательства математической боте рассматриваются искаженные (зашумленные) данные применимо к ( к индукции. (применимо ) ) ( ) шумления (маскировка сигналов в проводах, кабелях и. фии. и т.д.) для защиты от утечки конфиденциальных данных как внутри контролируемой зоны,(так и (за ее предела- ) ) ( ми. А в [28] приводится материал об обеспечении конВыполним замену: фиденциальности местоположения лица (запутывание данных о местоположении с добавлением случайного Выполним замену: , Выполним замену: шума). В данной работе рассматриваются искаженные (заν k −n + N шумленные) данные применимо к криптографии. ν = 0
(
1
3. Подход к классификации «на хорошее или плохое содержание» искаженного открытого текста Теорема 1. Пусть pi , i ∈ I – вероятностное распределение букв алфавита I в открытых текстах, а x = i1 , i2 …iL – выборка из указанного распределения. Тогда искаженный открытый текст x ′ = i1′, i2′ …iL′ ( n -ОСИ)-искажением является выборкой из распределения pi′, i ∈ I :
k
ν2 = ν3 =
)
N ( n − 1) = k ,
ν0 * (k − n)
2
+
N * (k − n) N + k2 k
k
2
3
N (k − n) N (k − n) N + + + 3 k k2 k
ν0 (k − n) k3
) ,
2
Заметна закономерность, тогда для
Заметна закономерность, тогда для
DOI:10.21681/2311-3456-2020-1-74-86
-ых зашумлений
-ых зашумлений
примет вид:
77
приме
О границах зашумления текстов при сохранении их содержания... ν4 =
ν0 (k − n) k
4
4
ν0 (k − n) k4
4
N (k − n) N (k − n) N В( kрезультате − n ) N новые частоты букв распределяются + + +следующим +образом (см. Таблица 2): 4 3 2 k k k k 3
N (k − n) N (k − n) N (k − n) N + + + + 4 3 k k k2 k 3
2
2
∑ Таблица Таблица 2. 2Получивш ∑ Получившиеся частоты букв (Пример 1) ∑ В Е ВТ Е Р Т Р Заметна Выполним закономерность, тогда для m -ых зашумлений ∑ примет вид:16 замену , тогда 27 16 16 ν m примет вид: Pi ' вид: примет Выполним замену , тогда m i 75 75 букв75(Пример 1) Таблица 2. 75 Получившиеся частоты m −1 примет вид: Выполним ν ( k −замену n) N ( k − N ) , тогда ∑ +∑ νm = 0 m Таблица 2. Получивш ) ∑ ( вид: Выполнимk замену i = 0 , тогда В примет k i +1 Е 2 Т Р ∑ Пример ( ) Выполним замену k = N ( n − 1) , тогда ν m примет вид: Рассчитаем, какая В встречаемости Е Т Р ( ) будет частота ∑после 5букв Данная формула верна для подсчета количества в тексте после внесения букв изменения в слове ВЕТЕР. Исходные данm i Таблица Получившиеся частоты букв (Пример 1) Пример 22.такими ( букв m −1 N N n изменений. Перейдем частотам νДанная 1) − n ) к верна − 1) −в nтексте: для подсчета количества в )тексте после внесенных внесения шумов ( букв ные остаются же. Количество ( ) 0 ( N ( n −формула ν m = ДаннаяПерейдем Рассчитаем, какая будет частота бук формула длябукв подсчета количества в тексте после внесения ∑ 5; длина текста остается 5, Nвстречаемости =5; количебудет 5, k =букв m iв +1тексте: изменений. к+верна частотам В Е Т Р i=0 N n 1 N n 1 − − ( ) ( ) ( ) ( ) n =4. внесения ство Исходные уникальных 4, после ВЕТЕР. данные остаются такими же. Количество изменений. частотам в тексте: ДаннаяПерейдем формулак верна длябукв подсчета количества букв символов в тексте Используя формулу (2), получим: 5; длина текста остается 5, =5; количество уникальных сим изменений. Перейдем частотам в тексте: ∑ Данная формула верна кдля подсчетабукв количества Вероятность встречи буквы В после 5-ого шума в Используя формулу (2), получим: Пример 2 ( равна: ) ∑ будет букв в тексте после внесения m изменений. Перейдем слове Вероятность встречи буквы В после 5-ого шума в слов Рассчитаем, какая будет частота встречаемости букв после 5 изменения в слове ∑ Пример - формула ( 2 ) к частотам букв доказана. в тексте: ( ) ВЕТЕР. Исходные внесенных будет 5, бук = Рассчитаем, какая будет частоташумов встречаемости ν i = Pi * N данные остаются такими - формула доказана. ∑ же. Количество 5; доказана. длина текста остается 5, =5; количество уникальных символов 4, =4. - формула ВЕТЕР.примеры Исходные данные остаются такими же. 4. Практические ∑ Количество ( ) k i k −1формулу Используя (2), получим: ν N n − 1 − n N n − 1 − n ( ) ( ) ( ) ( ) Пример 1 5; длина текста остается 5, =5; количество уникальных сим Пример 2 0 4. Практические примеры -Pформула доказана. + ∑ k = Пусть 1 k i + Вероятность встречи буквы В после 5-ого шума в слове будет равна: 4. Практические примеры 1 − k ВЕТЕР. Найдем частоту встречаемости каждой буквы после в слове Используя формулу (2), получим: какая будет частота встречаемости букв после 5 изменения Пример 1) слово N задано (n11−Рассчитаем, i = 0 ( N ( n − 1)) Пример Вероятность встречи буквы В после 5-ого шума5,вв слов слов одного изменения. Уникальных 4, частоту тотакими есть = 4. Количество букв в слове 5, то ВЕТЕР. Исходные данные остаются же. Количество внесенных шумов будет = Пусть задано слово ВЕТЕР. Найдем встречаемости каждой буквы после 4.символов Практические примеры Вероятность встречи буквы Е после 5-ого шума – формула доказана. Пусть задано слово ВЕТЕР. Найдем частоту встречаемости каждой буквы после есть =изменения. 5.5;Вдлина таблице 1 представлены букв символов в слове. остается 5, частоты =5; количество =4. 5, то ∑ одного Уникальных символов 4, товстречаемости есть уникальных = 4. Количество букв4,в слове Пример 1 текста одного изменения. Уникальных символов 4, то есть = 4. Количество букв в слове 5,∑ то Используя формулу (2), получим: Пусть задано слово ВЕТЕР. Найдем частоту встречаемости каждой буквы после есть = 5. В таблице 1 представлены частоты встречаемости букв в слове. 4. Практические примеры ∑ есть 1 представлены частоты встречаемости букв в слове. Таблица 1.Частоты встречаемости в слове Вероятность встречи буквы после шума в слове будет одного Уникальных символов 4,В то есть5-ого = 4. Количество букв равна: вбукв слове 5, то Пример=изменения. 15. В таблице Пусть задано ВЕТЕР. Найдем частоту встречаеВероятность встречи буквы Е после 5-ого шума в Таблица 1.Частоты встречаемости букв в слове есть = 5. Вслово таблице 1 представлены частоты встречаемости букв в слове. Вероятность встречи буквы Е после 5-ого шума в слове будет равна: 1.Частоты мости каждой буквы после одного изменения. В Уникаль-Таблица Е слове будет Т ∑равна: Р встречаемости букв в слове Вероятностьисходные встречи буквы Е после 5-ого шума в слов Поскольку частоты у букв В, Р, Т равны, ных символов 4, то есть n = 4. Количество букв В в словеТаблица Е Т Р встречаемости букв в слове 1.Частоты ∑ 5, то есть N = 5. В таблице 1 представлены после также будут равны: В частоты Е изменений Т Р встречаемости букв в слове. ∑ Т шума Р в слове будет равна: Вероятность встречиВбуквы Е Епосле 5-ого Таблица 1 Поскольку исходные букв В, Р, Т новые равны,частоты то их вероятностные частоты Частоты встречаемости букв в словечастоты у В результате букв распределяются сле после также будут ∑ исходные частоты у букв В, Р, Т равны, В изменений Е Т Р равны: Поскольку 3): Тогда по формуле (2): после изменений также будут равны: 1 16 1 1 Тогда по формуле (2): ( P i ) Тогда по5 формуле 75 (2): 5 5 Таблица Поскольку у букв В, Р, Т 3. равны, то их вероятностные частоты В результатеисходные новые частоты букв распределяются следующим образом (см. Таблица ( )частоты Тогда по формуле (2): ( будут ) равны: В результате частоты букв Тогда по формуле после (2): изменений также новые частоты слеР 3): В букв распределяются Е Т ( ) 3): ( ) Таблица 3.( Получившиеся ) В результате новые частоты букв распределяются следующим образом (см. Таблица ) частоты букв( (Пример 2) Таблица 3. В Е Т Р 3): частоты букв ( ) В Е Т ( ) Таблица 3.( Получившиеся ) Обратим внимание, что чем больше замен букв совер ) частоты букв( (Пример 2) равновероятна встречаемость букв в слове. В Е Т Р ( ) ( ) Пример 3 ( ) Для замен дальнейшего анализа текстов была разработана Обратим внимание, что чем больше букв совершаем, тем более ( ) которая производит замены букв в тексте рассчит равновероятна встречаемость букв в слове. Обратим внимание, что чем больше заменибукв совер ( ) встречаемости буквы и теоретическую частоту каждой В результате новые частоты букв распределяются следующим образом (см. Таблица равновероятна встречаемость букв в слове. формуле. Были собраны фразы для язы Пример 782): В результате новые3 частоты букв распределяются следующим (см. трех Таблица Вопросыобразом кибербезопасности. 2020.категорий № 1(35) В результате новые частоты букв распределяются следующим образом (см. Таблица требование (просьба). Программа предлагает пользовател Для дальнейшего анализа текстов была программа на языке python, 2): Пример 3разработана Обратим внимание, что чем больше замен букв совершаем, тем более 2): В результате языка ребенка, количество файлов для формирования вариа которая производит замены букв в тексте и рассчитывает наблюдаемую частоту Для дальнейшего была разработана новыевстречаемость частоты букв распределяются следующиманализа образомтекстов (см. Таблица равновероятна букв в слове. встречаемости буквы и теоретическую частоту каждой буквы по выведенной выше которая производит замены букв в тексте и рассчит 2):
ность встречи буквы Е после 5-ого шума в слове будет равна:
УДК 004.056.55
Методы и средства кодирования информации
∑
Поскольку исходные частоты у букв В, Р, Т равны, то общее число зашумлений и сами зашумленные фразы их вероятностные частоты после изменений также бу- на каждом этапе. Второй файл содержит частоты букв: ьку исходные частоты у букв В, Р, Т равны, то их вероятностные частоты дут равны: для каждой строки с <<Eqn0164.wmf>>-ым изменением ений также будут равны: рассчитывается частота встречаемости буквы во фразе, далее рассчитывается частота встречи данной буквы по выведенной формуле. В результате новые частоты букв распределяются Рассмотрим предложение на языке ребенка в ситуальтате новые частоты букв (см. распределяются следующим образом (см. Таблица следующим образом Таблица 3): ции «требование (просьба)» для двух фраз: «хочу пить дай мне игрушку». С помощью программного приложения Таблица 3 были произведены зашумления (за каждый ход зашумПолучившиеся частоты букв (Пример 2) ляется одна буква в тексте, то есть заменяется на другую из этогоПолучившиеся же алфавита). Полученные шаги зашумления Е Р аблица 3. В Т приведены в Таблице 4. Исходя из представленных даноты букв (Пример 2) 0, 2394 0, 2818 0, 2394 0, 2394 ных в таблице Pi 5' были выделены две границы зашумления В Е Т Р текста. Первая граница – номер шага зашумления, до которого совершенно ясно, к какой категории отнести Обратим внимание, что чем больше замен букв текст, после этой границы текст сложнее отнести к консовершаем, тем более равновероятна встречаемость кретной категории. Можно понять какие-то отдельные букв в слове. слова, но смысл или эмоция ребенка может быть опреПример 3 делена не точно. Вторая граница – номер шага зашумДля дальнейшего анализа текстов была разработана ления, после которой нельзя определить, к какой категопрограмма на языке python, которая производит заме- рии относится текст. После анализа полученных данных им внимание, чем больше замен наблюдаемую букв совершаем, тембыл более ны буквчто в тексте и рассчитывает частоту сделан вывод, что первая граница находится на встречаемости и теоретическую частоту каждой 4-ом шаге, а вторая граница – на 22 шаге. на встречаемость буквбуквы в слове. буквы по выведенной выше формуле. Были собраны фразы для трех категорий языка ребенка: радость, плач Сравним полученные частоты букв на каждом шаге и р3 и требование (просьба). Программа предлагает поль- вычисленные частоты по формуле (2). В теории текст зальнейшего анализа текстов разработана программа на языке зователю выбрать одну была из категорий языка ребенка, шифрован, если python, вероятности встречаемости букв в текоизводит количество замены файлов букв вдлятексте и рассчитывает наблюдаемую частоту формирования вариантов за- сте равны. То есть после k -ого шага, если текст уже не вероятность и количество фраз из подготовленных набо-почитаемый, ти буквышумления и теоретическую частоту каждой буквы выведенной вышевстречаемости каждой буквы в тексте должна быть равна ров придуманного будут формировать ыли собраны фразы дляязыка, трех которые категорий языка ребенка: радость, плач и 1 = 1 = 0, 053 , где n – коисходный текст. Общее количество зашумлений совпа(просьба).дает Программа предлагает пользователю выбрать одну из категорий n 19 с количеством символов в тексте. Итогом работы ка, количество файлов для формирования вариантов зашумления и количество личество уникальных символов, или находиться в предепрограммы являются автоматически сформированные файлы (по два на каждый вариант зашумления). Пер- лах этого значения с учетом возможной погрешности. вый файл содержит информацию о количестве симво- Для этого обратимся к автоматически сформированным лов в тексте, количестве букв в алфавите для данной программой данным, которые для удобства представлефразы, среднюю частоту встречаемости каждой буквы, ны в виде таблиц на Рис. 1 и 2.
Пример зашумления текста в категории «требование (просьба)»
Таблица 4
Длина текста
Букв в алфавите
Средняя частота буквы
№ изменения
Предложение
26 26 26 26 26 26 26 26 26 26 26 26 26
19 19 19 19 19 19 19 19 19 19 19 19 19
0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053
0 1 2 3 4 5 6 7 8 9 10 11 12
хочу пить дай мне игрушку хочу пидь дай мне игрушку хочу пидь дайммне игрушку хочу пидь дкйммне игрушку хочу пидь дкйммнечигрушку хочуепидь дкйммнечигрушку хочуепидь дкйймнечигрушку хочуепидь дкчймнечигрушку хочуепидь дкчймнеригрушку хочуепимь дкчймнеригрушку хочуепимь дкчймнеригруаку хочуепимььдкчймнеригруаку хочуепимььдйчймнеригруаку
DOI:10.21681/2311-3456-2020-1-74-86
79
О границах зашумления текстов при сохранении их содержания... Длина текста
Букв в алфавите
Средняя частота буквы
№ изменения
Предложение
26 26 26 26 26 26 26 26 26 26 26 26 26 26
19 19 19 19 19 19 19 19 19 19 19 19 19 19
0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053 0.053
13 14 15 16 17 18 19 20 21 22 23 24 25 26
хочуепимдьдйчймнеригруаку хочуепимдьдйчймнхригруаку хочуепимдьдйчймнхригриаку хочуепимдьчйчймнхригриаку хочуепимдьчйиймнхригриаку хочуепимдьчйиймноригриаку хочуепимдьчйиьмноригриаку хочуепимдьчйипмноригриаку хочуепимдьчйтпмноригриаку хочуепимдьчйтумноригриаку х чуепимдьчйтумноригриаку х чуапимдьчйтумноригриаку х чуапимдькйтумноригриаку х чуапимдькйтумноринриаку
На Рис. 1 представлены наблюдаемые (эмпирические) частоты встречаемости букв в тексте после каждого изменения буквы. На Рис. 2 представлены частоты, вычисленные по формуле. Если посмотреть на 27 шаг зашумления, то наблюдаемые частоты встречаемости букв далеки от средней частоты 0,053. Частоты разбросаны от 0 до 0,115. При этом из 19 букв алфавита 6 имеют частоту 0,077, 8 букв с частотой 0,038 и 3 буквы не встречаются в тексте совсем. Частоты не равны
80
между собой, однако сформировалось 3 группы с одинаковыми частотами, что может свидетельствовать о приближении текста к зашифрованному. Другую картину можно наблюдать в теоретических частотах. Частоты букв находятся в пределах от 0,035 до 0,1, что гораздо ближе к среднему. При этом 14 из 19 букв алфавита имеют одинаковую вероятность 0,48, что может подтверждать то, что текст зашифрован.
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.55
Методы и средства кодирования информации
Пример 4 Проанализируем язык ребенка для трех различных категорий: радость, плач и требование (просьба) с целью численной классификации «на хорошее или плохое содержание» искаженного открытого текста (выделения границ понимания зашумленного текста). Язык ребенка был выбран для упрощения задачи и сокращения числа букв в алфавите. Для каждой категории были проанализированы 25 фраз разной длины по 10 вариантов зашумлений для каждой длины (всего проанализировано 750 различных вариантов фраз и зашумлений). Для каждого из полученных вариантов фраз были выделены две границы зашумления: •Граница 1. До какой замены совершенно ясно, к какой категории относится текст, после нее текст сложнее отнести к конкретной категории; •Граница 2. С какой замены совершенно непонятно, к какой категории относится текст. Задача состояла в определении границ и соотнесении полученных данных с теоретической частотой по формуле для выявления возможных закономерностей. Для удобства восприятия полученные результаты представлены в виде графиков. По горизонтальной оси указана длина текста, а по вертикальной – количество зашумлений. Точками на плоскости отмечено, при какой длине исходного текста на каком зашумлении выделена та или иная граница. Зеленым цветом показана Граница 1, а оранжевым – Граница 2. На Рис. 3 представлена зависимость понимания текста от длины и числа зашумлений по каждой категории с выделением номера зашумления, при котором определена смысловая граница. На Рис. 4 также представлена зависимость понимания текста от длины и числа зашумлений по каждой категории в процентном соотношении. То есть вертикальная ось показывает процент зашумления текста при выделении границы. Как видно из графиков, с увеличением длины текста увеличивается количество зашумленных символов, при которых можно понять смысл текста. Однако графики увеличиваются не стабильно. Наблюдается то уменьшение числа зашумленных символов, то увеличение. Так для 1 границы в категории «требование (просьба)» процент зашумления текста находится в диапазоне от 15%
DOI:10.21681/2311-3456-2020-1-74-86
до 77%, когда для «радости» разброс гораздо ниже – от 19% до 56%. Для «плача» диапазон для 1 границы примерно такой же, как и для «радости», составляет от 15% до 57%. Такое нестабильное поведение графиков можно объяснить субъективной оценкой понимания текста. Для одного человека некоторые слова могут быть отнесены к нескольким категориям, а для другого только к одной. На Рис. 5 представлены средние значения в процентах по границам зашумления для каждой из рассматриваемых категорий. Первое значение показывает, какой процент текста можно зашумить, чтобы было понятно, о чем этот текст, не терялась его смысловая нагрузка; второе – после какого процента зашумления невозможно разобрать, о чем говорится в тексте. Данный рисунок подтверждает высказанное выше предположение, о том, что понимание текстов категорий «радости» и «плача» схоже. По обеим границам этих двух категорий понимание текстов ниже, чем в категории «требование (просьба)» на 10%. Это можно объяснить тем, что в категории «требование (просьба)» проще выделить слова, которые помогут понять смысл текста, а именно, что ребенок что-то просит. Категории «радость» и «плач» более эмоциональные. Из-за этого при зашумлении текстов из-за потери полных фраз в тексте трудно определить категорию. Например, слово «мама». Ребенок может радостно его выкрикивать, а может плакать, произнося это слово. На Рис. 6 и 7 представлены объединённые результаты по всем трем категориям о зависимости понимания текста от длины и числа зашумлений. Для каждой длины текста было посчитано среднее количество зашумлений для 1 и 2 границ. На 6 рисунке представлено количество зашумлений в количественном значении, а на 7 рисунке – в процентном значении относительно длины текста. На данных графиках также не наблюдается прямой зависимости границ понимания текста от длины текста. Если посчитать средние границы понимания текстов по всем трем категориям, то для Границы 1 процент зашумления текста, до которого совершенно легко определить категорию, составляет 37%, а для Границы 2, после которой текст становится совершенно непонятен – 65%.
81
О границах зашумления текстов при сохранении их содержания...
82
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.55
DOI:10.21681/2311-3456-2020-1-74-86
Методы и средства кодирования информации
83
О границах зашумления текстов при сохранении их содержания... 4. Выводы В работе были сформулированы понятия открытого текста, зашумленного текста, слабого ключа, а также формализовано понятие содержательного текста при искажении. Были представлены способы определения содержания текста (дешифрование) при использовании слабых ключей. Показана большая надежность метода дешифрования шифра гаммирования при k-зашумленном слабом ключе. Качество содержания искаженного открытого текста было оценено при помощи специально выведенной формулы. Рассмотрены практические примеры зашумления текста и при помощи написанной программы на языке программирования python содержательного текста. На примерах получены две границы «читаемости» текста (численная классификация искажения содержательных текстов): граница первая, когда можно легко понять, к какой смысловой категории относится текст (она составила 37%), и граница вторая, когда становится невозможно распознать, о чем текст (она составила в среднем 65%). Предполагалось, что при 30% зашумления текста еще можно разобрать, о чем он, но эти предположения строились относительно текста на русском языке, полученные же практические результаты объясняются тем, что придуманный язык из детской речи значитель-
но меньше по алфавиту в отличие от алфавита русского языка. Частоты встречаемости букв распределены не так, как в русском языке, где существует множество смысловых категорий, а не только три. Это означает, что энтропия у искусственного языка меньше. Практическая значимость работы, помимо криптографической составляющей, состоит в возможности применения разработанного программного приложения в образовательном процессе (для наглядного ознакомления с этапами зашумления открытого текста на искусственном языке, получения расчетов по наблюдаемым частотам встречаемости букв используемого алфавита и теоретическим частотам каждой буквы по выведенной в работе формуле, а также проведения различного рода исследований о границах понимания искаженного текста). Созданный искусственный язык может быть использован в различных исследованиях для упрощения задачи. Полученная численная классификация искажения содержательных текстов на примере текстов на языке ребенка может быть иначе интерпретирована: помимо выделенных границ понимания содержания текста, можно судить о возрасте ребенка, оценивать количество правильно произнесенных (не зашумлённых) слов и говорить об уровне развития говорящего.
Рецензент: Чеповский Андрей Михайлович, доктор технических наук, профессор, профессор Национального исследовательского университета «Высшая школа экономики», г. Москва, Россия. E-mail: achepovsky@hse.ru Литература 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20.
84
Бабаш А.В. Криптография: учебное пособие / А.В. Бабаш, Г.П. Шанкин. М.:Солон-Р, 2002. 512 с. Rubinstein-Salzedo S. The Vigenere Cipher / S. Rubinstein-Salzedo // Cryptography. 2018. №4. p. 41-54. Venkata Subramaniam L. A survey of types of text noise and techniques to handle noisy text key / L. Venkata Subramaniam [and etc.] // Analytics for Noisy Unstructured Text Data. 2009. №3. p. 115-122. Колчин В.Ф. Случайные размещения: учебное пособие / В.Ф. Колчин [и др.]. М.: Наука, 1976. 224 с. Бабаш А.В. Обобщенная модель шифра / А.В. Бабаш // Интеллектуальные системы в информационном противоборстве. 2015. №1. С.9-14. Aized Amin Soofi. An Enhanced Vigenere Cipher For Data Security / Aized Amin Soofi [and etc.] // International journal of Scientific & Technology research. 2016. №3. p.141 – 145. Kester Q. A. A cryptosystem based on Vigenere cipher with varying key / Q. A. Kester // International Journal of Advanced Research in ComputerEngineering & Technology. 2012. №10. p.108 – 113. Maffre S. A Weak Key Test for Braid Based Cryptography / S. Maffre // Designs, Codes and Cryptography. 2006. №3(39). p. 347-373. Berntsen M. C. Automating the cracking of simple ciphers: thesis / M. C. Berntsen. Lewisburg: Bucknell University, 2005. 63 p. Abiodun Esther Omolara. An Enhanced Practical Difficulty of One-Time Pad Algorithm Resolving the Key Management and Distribution Problem / Abiodun Esther Omolara [and etc.] // Proceedings of the International MultiConference of Engineers and Computer Scientists 2018. 2018. №1. p.1 – 7. Кормен Т. Алгоритмы: построение и анализ: учебное пособие / Т. Кормен [и др.]. М.:МЦНМО, 2002. 960 с. Jean-Philippe Aumasson. Serious Cryptography. A Practical Introduction to Modern Encryption: practical guide / Jean-Philippe Aumasson. San Francisco: no starch press, 2017. 312p. Feng X. Reconstruction of noisy images via stochastic resonance in nematic liquid crystals / X. Feng [and etc.] // Scientific Reports. 2019. №3976. p.1 – 15. Zhao H. H. Adaptive Block Compressive Sensing for Noisy Images / H. H. Zhao [and etc.] // Studies in Computational Intelligence. 2019. №2020. p.389 – 399. Толстунов В.А. Нелинейный сглаживающий фильтр с показательно-степенными весами / В.А. Толстунов // Технические науки. 2015. №2(15). С.10-18. Крашенинников В.Р. Зашумление эталонов в задачах обнаружения и распознавания сигналов на фоне помех / В.Р. Крашенинников, А.И. Армер // Вестник УлГТУ. 2004. №2. С.54-57.
Вопросы кибербезопасности. 2020. № 1(35)
УДК 004.056.55
Методы и средства кодирования информации
21. Ferrand A. Using the NoiSee workflow to measure signal-to-noise ratios of confocal microscopes / A. Ferrand [and etc.] // Scientific Report. 2019. №1165. p.1-28. 22. Roy S. Fundamental noisy multiparameter quantum bounds / S. Roy // Scientific Reports. 2019. №1038. p.1 – 15. 23. Koohian A. Joint channel and phase noise estimation for mmWave full-duplex communication systems / A. Koohian [and etc.] // Eurasip Journal on Advances in Signal Processing. 2019. №18. p.1 – 12. 24. Lira de Queiroz W.J. Signal-to-noise ratio estimation for M-QAM signals in η−μand κ−μfading channels / W.J. Lira de Queiroz [and etc.] // Eurasip Journal on Advances in Signal Processing. 2019. №20. p.1 – 17. 25. Мирошниченко К.В. Организационные и технические мероприятия, направленные 26. на защиту информации ограниченного доступа / К.В. Мирошниченко, А.И. Киселев // Правоохранительная деятельность: теория и практика. 2018. №15. С.66 -70. 27. Дворников С.В. Методы предотвращения утечки информации из контролируемых помещений за счет побочных электромагнитных излучений и наводок / С.В. Дворников // Информационные технологии. 2018. №7(22). С.134-136. 28. Хорев А.А. Способы защиты объектов информатизации от утечки информации по техническим каналам: пространственное электромагнитное зашумление / А.А. Хорев // Автоматика. Вычислительная техника. 2012. №6. С.37-57. 29. Shaaban R. Visible light communication security vulnerabilities in multiuser network: power distribution and signal to noise ratio analysis / R. Shaaban [and etc.] // Lecture Notes in Networks and Systems. 2019. №2020. p.1 – 13. 30. Запечников С.В. Криптографические методы защиты информации: учебное пособие / С.В. Запечников [и др.]. М.: Юрайт, 2017. 309 с. 31. Васильева И.Н. Криптографические методы защиты информации: учебное пособие / И.Н. Васильева. М.: Юрайт, 2016. 64 с. 32. Жданов О.Н. Методы и средства криптографической защиты информации: учебное пособие / О.Н. Жданов, В.В. Золотарев. Красноярск: Сиб. ГАУ, 2007. 217 с. 33. ElSalamouny E. Optimal noise functions for location privacy on continuous regions / E. 34. ElSalamouny, S. Gambs // International Journal of Information Security. 2018. №17(6). p.613 – 630.
ABOUT TEXT NOISE BORDERS WITH THE TEXT CONTENT SAVING. APPLICATIONS TO CRYPTOGRAPHY Babash A.V.8, Baranova E.K.9, Lyutina А.А.10, Murzakova А.А.11, Murzakova Е.А.12, Ryabova D.M.13, Semis-ool E.S.14 Purpose: to introduce mathematical model of a distorted meaningful text and a measure of its distortion, to define a numerical classification of the distortion of meaningful texts, present applications of the model in cryptography. Research methods: a more complex Vigenere cipher decryption that uses an almost periodic key (noisy) is performed as decryption of noisy plaintext on a periodical key (by well-known Vigenere decryption methods), but with a different probability distribution of plaintext characters, with further lead of the task to the acceptable noise level in plaintext determining for understanding this text content. Results: gamming cipher decryption ways with weak keys are presented. A new complexity was obtained and the reliability of the method was improved due to the fact that there k-noisy weak (almost periodic) keys are more than periodic ones. The formula for calculating the probability of occurrence of characters after the k-th noise was obtained. Artificial languages for ease of calculation were introduced and practical examples of text noise (the necessary 8 Alexander Babash , Dr.Sc., Professor, National Research University Higher School of Economics, Moscow, Russia. E-mail: ababash@hse.ru 9 Elena Baranova, Associate professor, National Research University Higher School of Economics, Moscow, Russia. E-mail: ekbaranova@hse.ru 10 Anna Lyutina, student, Master’s Programme National Research University Higher School of Economics, Moscow, Russia. E-mail: aalyutina@edu.hse.ru 11 Aleksandra Murzakova, student, Master’s Programme National Research University Higher School of Economics, Moscow, Russia. E-mail: aamurzakova@edu.hse.ru 12 Ekaterina Murzakova, student, Master’s Programme National Research University Higher School of Economics, Moscow, Russia. E-mail: eamurzakova@edu.hse.ru 13 Darya Ryabova, student, Master’s Programme National Research University Higher School of Economics, Moscow, Russia. E-mail: dmryabova@edu.hse.ru 14 Elena Semis-ool, student, Master’s Programme National Research University Higher School of Economics, Moscow, Russia. E-mail: essemisool@edu.hse.ru
DOI:10.21681/2311-3456-2020-1-74-86
85
О границах зашумления текстов при сохранении их содержания... calculations were made using a written program in the python programming language) were considered. The quality of the distorted plaintext content was assessed by highlighting of two borders of understanding. Keywords: informative text; distorted text; noisy text; measure of text noise; decryption of cipher. References 1. 2. 3.
33. 34.
Babash A.V. Cryptography: study guide / A.V. Babash, G.P. Shankin. M.: Solon-R, 2002. 512 p. Rubinstein-Salzedo S. The Vigenere Cipher / S. Rubinstein-Salzedo // Cryptography. 2018. №4. p. 41-54. Venkata Subramaniam L. A survey of types of text noise and techniques to handle noisy text key / L. Venkata Subramaniam [and etc.] // Analytics for Noisy Unstructured Text Data. 2009. №3. p. 115-122. Kolchin V.F. Random placement: a tutorial / V.F. Kolchin [and etc.]. M.: Science, 1976. 224 p. Babash A.V. Generalized cipher model / A.V. Babash // Intellectual systemsin the information confrontation. 2015. №1. p.9-14. Aized Amin Soofi. An Enhanced Vigenere Cipher For Data Security / Aized Amin Soofi [and etc.] // International journal of Scientific & Technology research. 2016. №3. p.141 – 145. Kester Q. A. A cryptosystem based on Vigenere cipher with varying key / Q. A. Kester // International Journal of Advanced Research in Computer Engineering & Technology. 2012. №10. p.108 – 113. Maffre S. A Weak Key Test for Braid Based Cryptography / S. Maffre // Designs, Codes and Cryptography. 2006. №3(39). p. 347-373. Berntsen M. C. Automating the cracking of simple ciphers: thesis / M. C. Berntsen. Lewisburg: Bucknell University, 2005. 63 p. Abiodun Esther Omolara. An Enhanced Practical Difficulty of One-Time Pad Algorithm Resolving the Key Management and Distribution Problem / Abiodun Esther Omolara [and etc.] // Proceedings of the International MultiConference of Engineers and Computer Scientists 2018. 2018. №1. p.1 – 7. Kormen T. Algorithms: construction and analysis: a tutorial / T. Kormen [and etc.]. M.: MCCME, 2002. 960 p. Jean-Philippe Aumasson. Serious Cryptography. A Practical Introduction to Modern Encryption: practical guide / Jean-Philippe Aumasson. – San Francisco: no starch press, 2017. 312p. Feng X. Reconstruction of noisy images via stochastic resonance in nematic liquid crystals / X. Feng [and etc.] // Scientific Reports. 2019. №3976. p.1 – 15. Zhao H. H. Adaptive Block Compressive Sensing for Noisy Images / H. H. Zhao [and etc.] // Studies in Computational Intelligence. 2019. №2020. p.389 – 399. Tolstunov V.A. Nonlinear smoothing filter with exponential power scales / V.A. Tolstunov // Technical Sciences. 2015. №2 (15). p.10-18. Krasheninnikov V.R. Pattern noise in the signal detection and recognition tasks with interference / V.R. Krasheninnikov, A.I. Armer // Vestnik of UlSTU. 2004. №2. p.54-57. Ferrand A. Using the NoiSee workflow to measure signal-to-noise ratios of confocal microscopes / A. Ferrand [and etc.] // Scientific Report. 2019. №1165. p.1-28. Roy S. Fundamental noisy multiparameter quantum bounds / S. Roy // Scientific Reports. 2019. №1038. p.1 – 15. Koohian A. Joint channel and phase noise estimation for mmWave full-duplex communication systems / A. Koohian [and etc.] // Eurasip Journal on Advances in Signal Processing. 2019. №18. p.1 – 12. Lira de Queiroz W.J. Signal-to-noise ratio estimation for M-QAM signals in η−μand κ−μfading channels / W.J. Lira de Queiroz [and etc.] // Eurasip Journal on Advances in Signal Processing. 2019. №20. p.1 – 17. Miroshnichenko K.V. Organizational and technical activities aimedon the limited access information protection / K.V. Miroshnichenko, A.I. Kiselev // Law enforcement: theory and practice. 2018. №15. p.66 -70. Dvornikov S.V. Prevention information leakage methods from controlled premises due to Transient Electromagnetic Pulse Emanation / S.V. Janitors // Information technologies. 2018. №7 (22). p.134-136. Khorev A.A. information objects protection from information leakage bytechnical channels ways: spatial electromagnetic noise / A.A. Horev // Automation. Computer Engineering. 2012. №6. p.37-57. Shaaban R. Visible light communication security vulnerabilities in multiuser network: power distribution and signal to noise ratio analysis / R. Shaaban [and etc.] // Lecture Notes in Networks and Systems. 2019. №2020. p.1 – 13. Zapechnikov S.V. Information protecting cryptographic methods: a tutorial / S.V. Baking [and others]. M.: Yurayt, 2017. 309 p. Vasilyeva I.N. Information protecting cryptographic methods: a tutorial / I.N. Vasiliev. M.: Yurayt, 2016. 64 p. Zhdanov O.N. Cryptographic information protection methods and means: educational manual / O.N. Zhdanov, V.V. Zolotarev. – Krasnoyarsk: Sib. GAU, 2007. 217 p. ElSalamouny E. Optimal noise functions for location privacy on continuous regions / E. ElSalamouny, S. Gambs // International Journal of Information Security. 2018. №17(6). p.613 – 630.
86
Вопросы кибербезопасности. 2020. № 1(35)
4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32.
«Международная информационная безопасность: теория и практика»...
«Международная информационная безопасность: теория и практика» под общ. ред. А.В. Крутских1 Шерстюк В.П.2 Издание первого в России учебника, специально посвященного международной информационной безопасности, отнюдь не случайно. Это обусловлено исключительной актуальностью одного из самых приоритетных направлений международной безопасности и государственной политики России. В условиях беспрецедентного обострения международных отношений заинтересованному читателю будет, несомненно, полезен анализ международной информационной безопасности, которая, по сути, стала передовым рубежом безопасности современного мира в условиях гибридных войн. В этом контексте представленный к рецензии трехтомный учебник Центра международной информационной безопасности и научно-технологической политики МГИМО МИД России, созданный группой авторов во главе со Специальным представителем Президента Российской Федерации по вопросам международного сотрудничества в области информационной безопасности, послом по особым поручениям, доктором исторических наук, профессором А.В. Крутских, не имеет аналогов. Авторский коллектив, среди которых также члены Президиума Национальной Ассоциации международной информационной безопасности С.М. Бойко и А.И. Смирнов, предпринял смелую попытку системного анализа теоретических и практических аспектов обеспечения МИБ. Впечатляет обширная проблематика учебника, в котором читатель найдет ответы на многие вопросы эволюции мировой коммуникации с древнейших времён до Homo informaticus. Именно эволюция человека – «человека информационного» – и всевозрастающая скорость технологических изменений в наибольшей степени характеризуют современный этап развития информационного общества. Активное внедрение цифровых технологий, «интернета вещей», робототехники и др. становятся основой роста экономики. Особое значение для обеспечения национальной безопасности нашей страны имеют затрагивающие практически все отрасли и виды деятельности технологии искусственного интеллекта. В современных условиях ведущие государства мира рассматривают технологии искусственного интеллекта как один из ключевых факторов достижения политического, экономического и военного лидерства.
В то же время ИКТ-среда является не только новым фактором устойчивого развития общества, но и фактором усиления социальной опасности действий, связанных с реализацией преступных намерений, осуществлением террористической деятельности, новым пространством международных споров и конфликтов. Международная информационная безопасность рассматривается авторами в контексте глобальной революции в ИКТ-сфере, которая, будучи технологией двойного назначения, ведет к цифровой трансформации не только экономики и социума, но и военного дела, а также международных отношений в целом. Социум подавляющего большинства стран ощущает воздействие глобальной информационной революции в виде манипуляции общественным мнением. Транснациональное воздействие на граждан, на социальные группы становится одним из драйверов глобальной турбулентности, в рамках которой развиваются такие мощные процессы, как социальная поляризация стран и регионов, возрастание социально-психологической конфликтности, демографического взрыва и миграционных волн. МИБ выдвинулась на передовые рубежи глобальной безопасности. Информационное пространство превратилось в настоящее «поле боя», на котором развертываются масштабные и непрерывные информационнокибернетические атаки с участием преступных групп, а также индивидуальных «хакеров-любителей». Тематика противодействию ИКТ в преступных целях, которая по своему масштабу и всеохватности давно превратилась в глобальную угрозу, от которой страдают как развивающиеся, так и развитые страны, предстает все более проблемной для международного сообщества, на что совершенно справедливо обращают внимание авторы учебника. Значительное внимание уделено проблемам стремительного превращения ИКТ-среды в пространство межгосударственного противоборства в условиях существенного отставания международного права от реальностей цифровой эпохи. Во многом это происходит из-за нежелания США и их союзников признать необходимость создания приемлемых для всех государств принципов, правил и норм, которые регулировали бы отношения в информационном пространстве. Более того, указанные страны наращивают агрессивный
1
Международная информационная безопасность: Теория и практика: В трех томах. Учебник для вузов / коллектив авторов – д.и.н. Крутских А.В., к.и.н. Бирюков А.В., к.и.н. Бойко С.М., д.полит.н.Зиновьева Е.С., д.и.н. Зинченко А.В., д.и.н. Смирнов А.И – под общей редакцией А.В. Крутских. М.: Издательство «Аспект Пресс». 2018. 384 с.
2
Шерстюк Владислав Петрович, член-корреспондент Академии криптографии Российской Федерации, академик РАЕН, Президент Национальной Ассоциации международной информационной безопасности, г. Москва, Россия.
DOI:10.21681/2311-3456-2020-01-87-88
87
УДК 003.26.09 информационно-кибернетический потенциал с целью использования его в ходе геополитического противоборства. Данный посыл особенно отчетливо следует из текстов киберстратегий США, принятых в 2018 г. В этой связи важным представляется приведенный в учебнике анализ усилий, предпринятых Россией и её партнерами в ООН и иных международных организациях, по разработке соответствующих международно-правовых механизмов. Убедительным примером этому стал принятый подавляющим большинством государств на 73-й ГА ООН и содержащий целый ряд исторических новаций проект резолюции России и её партнеров по международной информационной безопасности. Это документ открывает новый этап в глобальной дискуссии по МИБ. К сильным сторонам учебника следует отнести то обстоятельство, что наряду с анализом политической
88
Рецензии борьбы в ООН и на других международных площадках, а также в формате двусторонних отношений, представлены альтернативные подходы к тематике международной и национальной информационной безопасности в трактовке США, НАТО, ЕС и G7. Несомненным достоинством учебника является то, что в него включен сборник международных и национальных нормативно-правовых документов, которые сконцентрированы в отдельных томах. В результате на суд выносится трехтомник, который, думается, будет востребован не только студентами, аспирантами и экспертами, но и широким кругом читателей, интересующихся актуальными проблемами международной безопасности.
Вопросы кибербезопасности. 2020. № 1(35)