ri2014_materials

безопасности. Процесс внедрения стандартов, указанных выше (ISO серии 20000 и/или ISO 27001) является более чем эффективным способом решения практических вопросов обеспечения безопасности – прежде всего потому, что соответствие требованиям стандартов касаются персонала организации, предусматривают формирование контекста, требуют периодического внутреннего аудита, обуславливают проведение анализа со стороны руководства. Отдельно необходимо отметить многократные требования соответствия законодательству – в части, прежде всего, касающейся вопросов безопасности. Соответственно, представляется крайне важным использовать процесс внедрения систем менеджмента и/или ИСМ как дополнительный контур контроля всех важнейших активов организации (нет только ИТ) и спланировать этот процесс с учетом актуальных рисков и перспективных требований обеспечения комплексной безопасности промышленных объектов.

Внедрение современных риск-ориентированных стандартов (например, ISO серии 20000 и/или ISO 27001) позволяет достаточно эффективно увязать комплекс требований и сфокусировать внимание высшего руководства для решения более широкого круга проблем современной организации. Также возможно предложить на практике для решения проблемы обеспечения комплексной безопасности промышленных объектов применение системы комплексных аудитов, постоянного улучшения результативности в единой ИСМ организации.

Малов С.С.

Россия, Санкт-Петербург, Государственный университет морского и речного флота имени адмирала С.О. Макарова ТЕХНОЛОГИЯ ПОЛУЧЕНИЯ ЛИЦЕНЗИИ НА ВЕДЕНИЕ ДЕЯТЕЛЬНОСТИ

В СФЕРЕ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ.

Общий анализ нормативно-правовой базы в области лицензирования позволяет определить общую технологию получения лицензировании на ведение деятельности в сфере защиты информации, составляющей государственную тайну, которая включает в себя одиннадцать пунктов:

1.Первичное обращение. Соискатель лицензии обращается в орган лицензирования с целью получения разъяснений требований по организации лицензирования.

2.Принятие предприятием решения о необходимости оформления лицензии. Соискателем назначается сотурдник, ответственный за организацию лицензирования, и принимается решение

остепени готовности к лицензированию.

3.Подготовка к лицензированию. Соискателем устраняются имеющиеся недостатки в организации работ по защите государственной тайны.

4.Представление документов на получение лицензии. Соискателем в орган лицензирования направляется заявление и комплект документов, на полученный перечень вопросов органа лицензирования готовится комплект документов.

5.Рассмотрение документов определение исполнителя и сроков проведения специальной экспертизы. Органом лицензирования определяется исполнитель специальной экспертизы, выдается предписание на ее проведение, уведомляется соискатель лицензии об исполнителе специальной экспертизы.

6.Подготовка к проведению специальной экспертизы. Исполнителем специальной экспертизы определяется программа специальной экспертизы, формируется экспертная комиссия.

7.Организация договорных работ. Заключение трехстороннего договора.

8.Проведение специальной экспертизы. Соискателем лицензии создаются условия для работы экспертной комиссии. Исполнителем специальной экспертизы проводится выполнение программы специальной экспертизы, осуществляется контроль за работой экспертной комиссии и срокам проведения специальной экспертизы. По результатам специальной экспертизы экспертная комиссия составляет акт.

9.Представление результатов специальной экспертизы. Исполнителем специальной экспертизы готовит комплект документов и направляет его в орган лицензирования.

10.Государственная аттестация руководителя, ответственного за защиту государственной тайны на предприятии-соискателе. Проведение аттестации, органом, уполномоченным на государственную аттестацию, с последующей выдачей свидетельства о государственной аттестации, в случае положительного результата ее прохождения.

11.Принятие решения по результатам лицензирования. Орган лицензирования принимает решение о выдаче лицензии или отказе в выдаче и уведомляет об этом соискателя лицензии.

Прохождение всех вышеперечисленных этапов позволяет предприятию соискателю получить лицензию на ведение соответствующей деятельности при условии принятия положительного решения органом лицензирования.

http://spoisu.ru

Маторина Д.Ю., Каторин Ю.Ф.

Россия, Санкт-Петербург, Государственный университет морского и речного флота имени адмирала С.О. Макарова АНАЛИЗ УГРОЗ И ОЦЕНКА ИНФОРМАЦИОННЫХ РИСКОВ

Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы.

Как правило, наличие той или иной угрозы является следствием уязвимостей в защите ИС, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.

Первый шаг в анализе угроз – их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения, однако не исключая возможности захвата организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения, это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый – к среднему, два последних – к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные защитные меры. Как правило, для ликвидации или нейтрализации уязвимости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если имеется вероятность умышленного повреждения сервера баз данных, что грозит серьезными последствиями, то можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Молдовян Д.Н.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН КРИПТОГРАФИЧЕСКИЕ МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ ТАЙНОГО ЭЛЕКТРОННОГО ГОЛОСОВАНИЯ

Технология управления, известная как «Электронное правительство» активно внедряется в ведущих странах мира, включая Россию. Представляя собой совокупность информационных технологий, повышающих эффективность государственного управления, эта технология обеспечивает уменьшения расходов на аппарат управления, повышает производительность управленческого труда, упрощает и ускоряет доступ пользователей к нормативно правовой информации. Ее важной составляющей является технология электронной цифровой подписи (ЭЦП), которая в настоящее время внедрена в России. Однако потенциал электронного управления обществом еще далеко не исчерпан и одним из актуальных вопросов является внедрение технологии тайного электронного голосования через Интернет. Специфическими вопросами технологии тайного электронного голосования является решение задачи обеспечения анонимности избирателей и защиты от покупки голосов избирателей через Интернет. Последнее обусловлено потенциальной возможностью использования Интернет для организации автоматизированной анонимной скупки голосов избирателей недобросовестными участниками избирательного процесса. Предотвращение такой возможности является важнейшим элементов подходящей для использования технологии тайного электронного голосования. В целом обеспечение информационной безопасности данной

http://spoisu.ru

технологии связано с использованием криптографических механизмов: слепой ЭЦП, коллективной ЭЦП, групповой ЭЦП, отрицаемого шифрования. Однако актуальна задача разработки протоколов отрицаемого шифрования, которые удобны для практического использования, и схем слепой и коллективной ЭЦП, основанных на алгоритме ЭЦП, специфицированном стандартом ГОСТ Р 34.10– 2012. В настоящем сообщении предлагаются варианты решения этих задач.

Протоколы коллективной ЭЦП на основе указанного стандарта разработаны на основе механизма формирования общего параметра рандомизации подписи, а протоколы слепой ЭЦП и слепой коллективной ЭЦП – с использованием ослепляющих множителей. Стандарты ГОСТ Р 34.10–2001 и ГОСТ Р 34.10–2012 отличаются размером используемых параметров, а процедуры формирования и проверки ЭЦП совпадают, поэтому ранее предложенные на основе стандарта 2001 г. протоколы могут быть также реализованы и с использованием стандарта 2012 г. Для предлагаемых и ранее известных вариантах построения протоколов слепой, коллективной и слепой коллективной ЭЦП может быть дано формальное редукционное доказательство стойкости. Последнее означает, что разработанные протоколы обладают стойкостью не ниже стойкости стандарта ЭЦП, положенного в их основу.

Реализация механизмов защиты от скупки голосов избирателей при голосовании через Интернет основана на том, что избиратели подают свои заполненные бюллетени в избирком в зашифрованном виде, а именно, в виде криптограммы, полученной в результате процедуры отрицаемого шифрования на открытом ключе избиркома, которая вычислительно неотличима от вероятностного шифрования. При этом данной криптограмме могла быть получена путем шифрования двух различных бюллетеней, поэтому скупщику может быть предоставлен бюллетень отличный от бюллетеня, учитываемого избиркомом. По открытому ключу вычислительно невозможно вычислить секретный ключ избиркома и скупщик голосов не имеет никакой возможности распознать случаи обмана. Заложенная в представленном варианте шифрования бюллетеней потенциальная возможность обмана делает нерациональной для скупщика оплату вознаграждения по представляемым бюллетеням в зашифрованном виде.

Однако известные алгоритмы отрицаемого шифрования для генерации криптограммы, которой могут быть приписаны два и более сообщений, шифрование которых якобы породило данную криптограмму, требуют выполнения многошаговых интерактивных процедур, обладающих низкой скоростью передачи криптограммы от отправителя (избирателя) к получателю (избиркому). Поэтому вопрос состоит в устранении указанных недостатков известных алгоритмов отрицаемого шифрования. Для решения этой задачи предложены новые протоколы отрицаемого шифрования, представляющие интерес для практического применения.

Исследование выполнено при финансовой поддержке Комитета по науке и высшей школе Санкт-Петербурга.

Молдовян Д.Н., Шаповалов П.И.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН, Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В.И. Ульянова (Ленина)

РАСШИРЕНИЕ КЛАССА ПОРОГОВЫХ КРИПТОГРАФИЕСКИХ ПРОТОКОЛОВ

Пороговые криптографические протоколы характеризуются участием в них стороны, представляющей некоторый коллективный орган, включающий n>1 штатных единиц. Для корректного функционирования таких протоколов требуется участие заданного числа пользователей, входящих в штат последнего (не менее t<n сотрудников). Участие коллективного пользователя в криптографических протоколах обеспечивает более высокий уровень безопасности к атакам с участием внутренних нарушителей, а условие t<n – для обеспечения более высокой гибкости при практическом использовании криптопротоколов. Известны пороговые схемы разделения секрета и пороговые схемы групповой цифровой подписи, В настоящем сообщении предлагаются новые типы пороговых криптографических протоколов и обсуждается их практическое применение.

Для обеспечения возможности раскрытия секретного сообщения некоторым коллективом, включающим n доверенных лиц разработан протокол открытого шифрования с возможностью расшифрования криптограммы только с участием более t доверенных лиц (t<n), где значение t задается с учетом компромисса между гибкостью практического использования и безопасностью. В основе данного протокола лежит идея разделения секретного сообщения M на n долей с возможностью восстановления значения M по произвольным t долям. В предлагаемой схеме открытого шифрования предполагается, что каждая доля секретного сообщения шифруется на открытом ключе доверенного лица, которому эта доля направляется. Это позволяет возможность расшифровать секретное сообщение при участии произвольных t доверенных лиц. Для шифрования секретных сообщений большого размера предлагается использование гибридной пороговой схемы шифрования, которая является модифицирование схемы первого типа. Модифицирование состоит в том, что отправитель сообщения генерирует разовый случайный ключ симметричного шифрования,

http://spoisu.ru

выполняет симметричное шифрование секретного сообщения (преобразование M в криптограмму C), разделяет ключ симметричного шифрования на n долей, которые рассылает доверенным лицам, предварительно зашифровав их по открытым ключам последних. Аналогично первой криптосхеме, любые t доверенных лиц восстанавливают ключ симметричного шифрования и с использованием последнего расшифровывают криптограмму C, получая секретное сообщение M.

Для выполнения процедуры аутентификации доверенного коллективного центра предлагается пороговый протокол аутентификации с нулевым разглашением секрета. Протокол данного типа реализован путем комбинирования известных протоколов с нулевым разглашением, основанных на использовании алгоритмов открытого шифрования, с пороговой схемой открытого шифрования. Возможны несколько типов реализации построений пороговых протоколов с нулевым разглашением, каждый из которых представляет интерес для практического применения.

Обсуждается также вопрос построения пороговых схем отрицаемого шифрования различного вида, определяемого типом используемого ключа шифрования (разделяемый секретный ключ или открытый ключ получателя). Для построения протоколов отрицаемого шифрования важным является обеспечение вычислительной неотличимости отрицаемого шифрования от вероятностного шифрования, что является требованием к процедурам отрицаемого шифрования, предложенным ранее.

Обсуждается использование трудности задачи факторизации и задачи дискретного логарифмирования для построения предлагаемых пороговых криптографических протоколов, а также пороговых криптосхем, взлом которых требует одновременного решения обеих указанных задач.

Исследование выполнено при финансовой поддержке Комитета по науке и высшей школе Санкт-Петербурга.

Москвин Д.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ СОВРЕМЕННЫХ

ПОТРЕБИТЕЛЬСКИХ УСТРОЙСТВ

В настоящее время все большее количество различных потребительских устройств получает доступ к сети Интернет. К таким устройствам относятся все современные коммуникационные и вычислительные мобильные устройства (смартфоны и КПК с поддержкой подключения по WiFi), цифровые банки данных и фотоаппараты с беспроводным подключением, игровые приставки, домашнее развлекательное оборудование (современные телевизоры с интерфейсами LAN и WLAN, IP-радиоприемники, мультимедийные сетевые накопители с проводным и беспроводным доступом). Сетевой интерфейс используется такими устройствами для подключения друг к другу (например, телевизор позволяет проигрывать файлы, хранящиеся на удаленном компьютере), скачивания программных обновлений (например, новой прошивки), получения доступа к удаленным сервисам (например, отображение на телевизоре сводки погоды, скачанной из Интернет).

Многие современные потребительские устройства также имеют функции определения собственного геоположения по GPS-приемнику, фото/видеосъемки, записи звука со встроенного микрофона, а также определение присутствия людей, освещенности, запахов, положения в пространстве, температуры, влажности, наличия различных объектов и д.р., измеряемые с помощью специализированных датчиков.

При этом, как правило, функции безопасности реализованы только в рамках протоколов коммуникации (например, настройки безопасности WiFi). Однако известно, что для реализации достаточной безопасности в беспроводных сетях необходимо использовать ресурсозатратное шифрование, тонкое управление настройками требует высокого уровня знаний в администрировании, что часто невозможно в потребительской технике. В самой потребительской электронике на уровне прошивки или встроенной операционной системы нет реализации собственных функций безопасности. В этой связи возникает новый класс программных угроз, объектом которых является как техника, контент, так и потребитель.

Реализация таких угроз и внедрение вредоносного программного обеспечения (ВПО) предоставит нарушителям следующие возможности по использованию потребительских устройств для нарушения информационной безопасности:

1.Использование потребительских устройств для проникновения на персональные компьютеры

имобильные телефоны. Большинство «умных» потребительских устройств имеют доступ к локальной сети дома или офиса. А поскольку обычно персональные компьютеры, ноутбуки и мобильные телефоны воспринимают домашнюю сеть как доверенную, то они не имеют защиты от угроз со стороны таких потребительских устройств. Таким образом, например, ВПО, установленное в телевизор с операционной системой (ОС) Android, может беспрепятственно самораспространиться на другие устройства и компьютеры домашней сети.

2.Сбор данных средствами потребительских устройств. Информация о пользователе может быть получена средствами самого потребительского устройства. К такой информации относится его

http://spoisu.ru

местонахождение, видеонаблюдение, запись разговоров. Например, в фотоаппарат Samsung Galaxy Camera встроен GPS приемник, благодаря которому внедренное ВПО может всегда точно определить географическое положение устройства и его пользователя. Другие устройства позволяют собрать более полную информацию о пользователе, включая режим дня, вкусовые предпочтения и т.п.

3. Использование потребительских устройств в качестве proxy или файловых серверов. Установка proxy-сервера, например, на холодильник Samsung T9000 может оказаться для нарушителя существенно проще, чем на компьютер, а эффект анонимности при этом только возрастает. Другой вариант – использование потребительского устройства для хранения собранных на компьютере или мобильном телефоне данных, т.к. ни средства защиты, ни пользователь их там никогда не обнаружат. При этом тот же холодильник Samsung T9000 имеет собственный облачный сервис для хранения данных.

Информационной безопасности потребительских устройств уделяется очень мало внимания, т.к. производители не воспринимают такие устройства как потенциальные объекты компьютерных атак. Однако де-факто они становятся компьютерами со специфическими функциями. Поэтому современные «умные» потребительские устройства открывают множество новых угроз информационной безопасности. Их реализация позволит нарушителям перенаправлять потоки информации, подменять контент, приводить технику в нерабочее состояние, следить за пользователями и т.д. Существующие средства защиты не способны работать на таких потребительских устройствах, т.к. практически все они в той или иной степени рассчитаны на интерактивное взаимодействие с пользователем, что в данном случае невозможно. Поэтому создание технологий и средств защиты для потребительских устройств в настоящее время является одной из наиболее актуальных задач обеспечения информационной безопасности.

Москвин Д.А. Селянин Д.Е.

Россия, Санкт-Петербург, ООО «НеоБИТ»

ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ТЕХНОЛОГИИ УНИВЕРСАЛЬНЫХ ПРИЛОЖЕНИЙ SIM-КАРТ

Основным вопросом при разработке приложений для мобильных устройств является выбор платформы разработки. На сегодняшний день существует множество конкурирующих фирм, выпускающих различные мобильные платформы, которые пользуются примерно одинаковой популярностью у пользователей. Именно необходимость поддержки совершенно разных программных сред является существенной преградой для написания универсальных приложений, которые могли бы работать на любом мобильном устройстве или же на большинстве устройств.

При этом у всех мобильных устройств стандарта GSM есть общий элемент – это SIM-карта. Современная SIM-карта является не просто криптографическим микроконтроллером – в ней реализовано множество различных функций, которые являются стандартом с 1997 года. Общепринятое название такой технологии – проактивная SIM-карта. Данная технология позволяет удаленно устанавливать и запускать приложения, которые исполняются на SIM-карте и контролируют поведение мобильного устройства. Этой технологией пользуются операторы связи для разработки своих приложений SIM-меню. Контроль работы таких приложений осуществляется из SIM-карты.

Приложения в SIM-карте, могут устанавливать, например, следующие сервисы:

контроль входящих и исходящих звонков;

проведение повторной аутентификации в сети GSM;

контроль нажатия пользователем клавиш телефона;

отправка и прием специальных SMS-сообщений и USSD-запросов.

Кроме того, эти приложения имеют прямой доступ к файловой системе и модулю шифрования SIM-карты, а вся их функциональность абсолютно прозрачна для пользователя мобильного устройства. Эти возможности и особенности функционирования приложений для SIM-карт могут использоваться и для создания вредоносного программного обеспечения. Поскольку мобильные устройства зачастую не имеют надежной системы защиты, SIM-карта может стать каналом внедрения в устройство пользователя и установки практически невидимых сторонних приложений.

Стандарт GSM предусматривает криптографическую защиту SIM-карт, для установки приложений должна требоваться цифровая подпись либо оператора, либо производителя SIM-карты. Однако это не всегда соблюдается, а некоторая информация может быть получена и при помощи передачи неподписанных сообщений.

Приложения для SIM-карт должны находиться под полным контролем оператора и считаются наиболее безопасными, так как могут использовать встроенный в карту модуль шифрования, что делает их чрезвычайно привлекательными для реализации финансовых сервисов, таких как мобильный банк или аутентификация платежей. Существует также возможность загрузки и обновления этих приложений оператором непосредственно при помощи сотовой сети. Однако необходимая защита, в том числе и криптографическая, может просто не поддерживаться оператором. Таким образом, сама SIM-карта становится еще одним источником угроз безопасности для мобильных устройств.

http://spoisu.ru

Нечитайленко Р.А., Гурьянов Д.Ю.

Россия, Санкт-Петербург, Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В.И. Ульянова (Ленина)

ОБЕСПЕЧЕНИЕ ПРАВОМЕРНОСТИ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Широкое применение компьютерных технологий во всех сферах жизни человека сделало их настолько привычными и доступными, что мало кто задумывается о существовании понятий правомерных и неправомерных действий компьютерного пользования. На бытовом уровне пользователи коммуникационных технологий неправомерными действиями считают корыстную заинтересованность и причинение прямого крупного ущерба. Вместе с тем, неправомерный доступ к охраняемой информации является нарушением, если это повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, что при пользовании, например, широко доступными социальными сетями, привычной Internet-средой, другого электронного информационного ресурса, с правовой точки зрения, как правило, совершенно не обращает на себя внимание. По этой причине освоение вопросов правовой грамотности в сфере компьютерного обеспечения всех сторон деятельности пользователя электронного информационного ресурса становится столь же необходимым, как в свое время стала экономическая грамотность.

Определенную сложность правовой подготовки в области компьютерной информации составляет неоднородность пользователей по профессиональной принадлежности, социальной, предметной, возрастной. По этой причине были подобраны три блока необходимой подготовки для сознательного контроля своих действий на бытовом и производственном уровнях.

Блок 1. Типичные нарушения в Internet. Понятия, их содержание. Формы нарушений и их последствия.

Блок 2. Термины компьютерного пользовании как предмет правомерных / неправомерных действий. Компьютерная информация; доступ; признаки «охраняемости» и «конфиденциальности»; уничтожение, блокирование, модификация, копирование первоначальной компьютерной информации.

Блок 3. Действия пользователя как деяния статей УК РФ. Статьи 272, 273, 274, 159, 210 УК РФ. Диспозиции статей. Толкование наказуемых / не наказуемых действий. Пояснение правоприменительных практик.

Правовые информационные блоки имеют три ознакомительные версии изложения материала от бытовой до профессиональной, но каждая из них направлена на формирование ответственности и контроля действий компьютерного пользователя, знания категорий ответственности и правомерности компьютерного пользователя, осознания и приобретения навыка правомерного использования электронного информационного ресурса.

Новожилов Д.А., Чечулин А.А.

Россия, Санкт-Петербург, Санкт-Петербургский институт информатики и автоматизации РАН МЕТОДЫ ОПРЕДЕЛЕНИЯ ОСНОВНОГО ЯЗЫКА ВЕБ-СТРАНИЦ

Важным направлением в анализе данных является задача классификации, когда требуется отнести исследуемый объект к одному из множества заранее известных классов. Например, банковский служащий определяет, представителем какой из двух категорий: «платежеспособен» или «неплатежеспособен», - является обратившегося за кредитом клиент. Для этого производится анализ всей доступной информации и на основе результатов этого анализа принимается решение. Другой иллюстрацией решения подобной задачи может послужить функционирование системы родительского контроля, распределяющей веб-страницы по категориям и блокирующей те из них, которые оказались нежелательными.

Одна из основных проблем, возникающая в ходе решения задачи классификации, - неудовлетворительное качество исходных данных, которые могут быть ошибочными или содержать пропуски значений некоторых атрибутов. В частности, в рамках работы, посвященной категоризации веб-страниц, анализ исходных данных, включающих текстовое содержимое вебстраниц, показал, что среди них присутствует большое количество текстов на разных языках. Поскольку основным языком, использовавшимся для обучения классификаторов являлся английский, то требовалось исключить из рассмотрения данные на других языках. Для этого было необходимо добавить функционал в виде определения языка страницы в написанный ранее программный модуль сбора исходных данных.

Можно выделить несколько существующих методов определения языка. Идея первого из них заключается в поиске самых частых и характерных только для английского языка слов, например, "the", "of", "over", "you", "from" (проверка по мультиязычному словарю ABBYY Lingvo на сайте Yandex

показала, что эти слова не встречаются в других языках). Назовем этот метод «most words». С другой стороны, сведения о языке можно найти в атрибуте Content-Language HTTP-заголовка. Эта информация может добавляеться автоматически сервером или с помощью специальных скриптов.

http://spoisu.ru

Следует отметить, что данное поле не является обязательным и заполняется редко. Кроме того, информацию о языке можно получить из атрибутов html-тэгов разметки документа (например: <html lang="en">) Этот параметр встречается гораздо чаще, хотя также не является обязательным. Еще один вариант решения – использование готового модуля определения языка Lingua::Identify (автор модуля – Alberto Manuel Brandão Simões). Данный бесплатный модуль с открытым исходным кодом содержится в библиотеке “Cpanm” расширений языка Perl и включает анализ префиксов, суффиксов, N-грамм (сочетаний из N символов) и наиболее распространенных слов языка.

Эксперименты с вышеописанными методами проводились в два этапа. На первом этапе в качестве исходных данных использовались 100 случайных веб-страниц на 5 языках (en, de, fr, it, es), по 20 веб-страниц на каждый язык. Второй этап был предназначен для проверки применимости методов в случаях, если веб-страницы содержат flash-приложения или данные на нескольких языках одновременно. Для этого были выбраны 20 «сложных» веб-страниц (18 – en, 1 – fr, 1 – es).

На основании анализа результатов проведенных экспериментов можно утверждать, что безусловным лидером оказался Lingua::Identify (самое высокое значение аккуратности (Accuracy)). Данный метод обладает несколькими основными особенностями: (1) отсутствие неопределенного результата анализа; (2) возможность определять язык любой входной строки, т.е. его можно использовать при анализе не только веб-страниц, но и любых текстовых данных. Этим же свойством обладает и метод «most words», который также не требует подключения к Интернету. Однако идея использования слов, характерных только для английского, не оправдала себя, так как на многих страницах может быть заголовок вверху и кромка текста в самом низу с информацией о web-студии, либо в тексте веб-страницы присутствует упоминание какого-нибудь названия на английском, или могут быть комментарии пользователей на разных языках. Как результат, к английскому языку довольно точно причисляются все действительно англоязычные веб-страницы, но также и многие другие, к таковым не относящиеся. Метод, основанный на анализе HTTP contentlanguage не выдал ошибок, но этот параметр дает много неопределенных значений, т.к. указывается реже всех остальных. В HTML-тэгах язык прописывают чаще, но он также не предусмотрен стандартом к обязательному заполнению. Следует обратить внимание, что иногда и в тэгах, и в заголовках описывают язык целевой аудитории страницы, а не язык собственно текста. Почти все сайты с flash-содержимым имеют замещающий текст наподобие: «Update your flash player». Качество на более сложной выборке снижается, но Lingua::Identify и здесь по-прежнему показывает лучшие результаты среди остальных способов с наименьшим количеством ложных срабатываний. Основное преимущество этого способа – использование комбинации различных методов, что и обусловило его выбор для финальной версии модуля сбора исходных данных для экспериментов по классификации.

Работа выполнена при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственного контракта №14.604.21.0033.

Павленко Е.Ю., Калинин М.О.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет ПРИМЕНЕНИЕ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ ДЛЯ ОБНАРУЖЕНИЯ БОТ-УЗЛОВ НА

БАЗЕ МОБИЛЬНЫХ УСТРОЙСТВ

В настоящее время канал обмена SMS-сообщениями считается доверенным для большинства пользователей мобильных устройств. Он часто используется в качестве метода авторизации оплаты для банковских операций и представляет собой ценную возможность для дальнейшей монетизации денежных средств. Высокий уровень доверия означает, что почти все сообщения, полученные абонентами, открываются и читаются и, из-за простоты использования смартфонов, телефонные номера, содержащиеся в данных сообщениях, набираются, а также осуществляется переход по ссылкам, имеющимся в тексте SMS-сообщения, что подвергает абонента высокому риску заражения. Это, в сочетании с постоянно снижающейся стоимостью отправки SMS, привело к тому, что злоумышленники активно используют мобильные телефоны для распространения спама по SMS.

Целью данного исследования является создание нового способа борьбы со спамом на мобильных устройствах. Для обнаружения SMS-спама предлагается использование метода искусственных иммунных систем (ИИС), который реализуется в программном решении, работающем на мобильном устройстве.

На первом этапе работы предлагаемая ИИС создает базу данных достоверных SMS-сообщений пользователя. В случае невозможности получения базы достоверных сообщений, база данных для создания сигнатур будет заполняться случайными данными.

Следующим этапом является создание базы антител. После того, как искусственная иммунная система сформирует популяцию антител (набор сигнатур), система должна рассчитать значение

http://spoisu.ru

целевой функции для каждого антитела. В рамках разрабатываемой ИИС по обнаружению SMSспама целевой функцией является наименьшее значение аффинности для данного антитела и всех сигнатур корректных сообщений. Если средняя степень аффинности больше порогового значения, система будет создавать множества антител до тех пор, пока все они не будут удовлетворять данному значению.

После получения удовлетворяющей целевой функции популяции антител ИИС осуществляет клональную селекцию, в процессе которой создается популяция клонов антител, для каждой из которых производится мутация клонов, а затем сравнение аффинности всех элементов. Если мутированное антитело лучше, чем родитель, то последний заменяется данным мутированным антителом.

После проведения клональной селекции рассчитываются показатели аффинности между антителами с помощью расстояния Хемминга. Если расстояние Хемминга между двумя антителами меньше либо равно заданному порогу удаления, антитело с худшим значением целевой функции удаляется из популяции, а антитело с лучшим значением целевой функции заносится в базы данных рабочих антител. В случае, если размер базы данных рабочих антител недостаточен, популяция может быть дополнена с помощью проведения предыдущих шагов для вновь сгенерированных сигнатур.

Для формирования сигнатур сообщения используются следующие параметры: количество знаков в SMS-сообщении; количество заглавных букв в SMS-сообщении; количество слов в SMSсообщении; количество пробелов в SMS-сообщении; количество знаков препинания в SMSсообщении; количество телефонных номеров в SMS-сообщении; количество URL-адресов SMSсообщении; количество телефонных номеров в SMS-сообщении.

Далее искусственная иммунная система перехватывает SMS-сообщение, которое должно быть отправлено с телефона, и формирует сигнатуру данного сообщения, которая является антигеном. Для данной сигнатуры рассчитывается степень аффинности с библиотекой антител, если полученные значения Евклидова расстояния ниже порогового значения, данное сообщение классифицируется как «свое» и передается в модуль отправки, а его сигнатура добавляется в библиотеку достоверных сообщений, а в случае, если расстояние Евклида больше порогового значения, система классифицирует сообщение как спам и запрещает его отправку. Для повышения точности работы системы и адаптации к изменениям в поведении пользователя в случае определения SMSсообщения как спам, система может задать вопрос о том, является ли данное сообщение спамом, пользователю мобильного устройства. Если система правильно определила сообщение как спам, то работа системы не меняется, в случае же ошибочного определения, система должна доработать свое множество антител, сгенерировав и проверив новые антитела.

Предложенная искусственная иммунная система позволяет выявить SMS-спам на мобильном устройстве, что является одним из возможных признаков вовлеченности мобильного устройства в бот-сеть.

Парфенов Н.П.

Россия, Санкт-Петербург, Санкт-Петербургский университет МВД России ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ОВД

Полиция для повышения эффективности своей деятельности использует передовые научнотехнические достижения, информационные системы и технологии, сети связи, а также единую информационно-телекоммуникационную структуру (ст. 11 Федерального закона от 07 февраля 2011 г. № 3 – ФЗ «О полиции»). Поэтому одной из важных задач в ОВД является защита информации от несанкционированного доступа (НСД), пресечение утечки информации по техническим каналам и противодействие всем видам разведки противника.

Мероприятия по технической защите информации в органах внутренних дел проводятся в соответствии с Положением о государственной системе защиты информации. В Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 г.

№912-51.

Ворганах внутренних дел России используется информация различных уровней конфиденциальности (секретности), а также информация, включающая сведения ограниченного распространения. К информации, содержащей сведения ограниченного распространения, относятся служебная информация, банковская информация и персональные данные сотрудников органов внутренних дел.

Сотрудники полиции также являются субъектами персональных данных согласно статье 3 Федерального Закона «О персональных данных» № 152-ФЗ. Данный Федеральный закон должен был вступить в силу 1 января 2010г. К сожалению, перед самым Новым годом объявили, что вступление в силу этого закона отложено еще на год.

http://spoisu.ru

26 июля 2011 г. президент РФ Дмитрий Медведев подписал поправки к закону «О персональных данных». Документ ужесточает требования к обеспечению мер безопасности персональных данных.

Вданной статье рассмотрим организационно-технические меры защиты информации в ОВД,

вчастности особенности защиты персональных данных сотрудников полиции.

Необходимо отметить, что согласно Федеральному закону «О службе в органах внутренних дел Российской Федерации» от 30.11.2011 № 342-ФЗ для сотрудников внутренних дел отдельно прописана защита их персональных данных, что означает дополнительное предоставление гарантий при защите их персональных данных:

обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, настоящего Федерального закона, других законодательных актов Российской Федерации;

защита персональных данных сотрудников от неправомерного их использования или утраты обеспечивается за счет средств федерального органа исполнительной власти в сфере внутренних дел в порядке, установленном настоящим Федеральным законом и другими федеральными законами.

Вподразделениях органов внутренних дел проходят службу сотрудники, которые имеют различные формы допуска к конфиденциальной информации. В связи с этим, для обеспечения требований по защите и допуску различных групп к информации разной степени секретности предварительно разделяют объекты информатизации по важности и присваивают категории. Категории определяются конфиденциальностью информации, обрабатываемой на соответствующем объекте информатизации. При этом для каждой категории определяется соответствующий набор требований по ее защите. После присвоения объекту информатизации соответствующей категории специальная комиссия проводит комплекс режимных и технических мероприятий. Результатом данных мероприятий является разработка аттестата соответствия, в котором указывается, что объект информатизации соответствует требованиям стандартов и нормативных документов по технической защите информации.

Взаключение хотелось бы особо подчеркнуть, что основными организационно-защитными мерами по защите информации являются:

лицензирование деятельности организаций в области информации:

аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ с конфиденциальной информацией;

сертификация средств защиты информации и контроль за ее эффективностью систем, средств информации и связи в части защищенности информации от утечки по техническим каналам

категорирование объектов по степени важности защиты информации в оборонной, политической, научно-технической, научно-технической и других сферах.

Применение организационно-защитных мер позволит повысить эффективность защиты информации в органах внутренних дел.

Платонов В.В., Семенов П.О.

Россия, Санкт-Петербург, Санкт-Петербургский государственный политехнический университет» КЛАСТЕРНЫЙ АНАЛИЗ В МОДУЛЬНОМ ПОДХОДЕ К ОБНАРУЖЕНИЮ СЕТЕВЫХ АТАК

Исследование посвящено вопросу применения различных направлений методов интеллектуального анализа данных (Data mining) в задаче обнаружения сетевых атак и в частности проработке механизма использования методов кластерного анализа для построения модульной архитектуры прототипа системы обнаружения вторжений (СОВ).

В рамках исследования разрабатывается прототип СОВ, в основу которого заложены методы классификации и сокращения размерности. Метод опорных векторов – метод бинарной классификации используется для разбиения обучающего и тестового множества сетевых пакетов на нормальные и атаки. При помощи метода главных компонент (МГК) осуществляется формирование оптимального признакового пространства для обнаружения определённого набора сетевых пакетов в сетевых дампах. Рассматриваемым набором сетевых пакетов могут выступать пакеты отдельной атаки, множества атак, части некоторой отдельной атаки или набор пакетов, общий для определённого класса атак. Множество анализируемых данных составляют параметры заголовков IP, TCP, UDP и ICMP пакетов и параметры TCP-сеансов. Рассматривается множество атак категорий User-to-Root и Remote-to-Local тестовых сетевых дампов DARPA.

Проведённые эксперименты с полными циклами обучения, подбора внутренних атрибутов и тестирования показали в целом положительные результаты работы прототипа, которые показали применимость выбранных методов для обнаружения различных сетевых атак. В то же время для небольшой части рассматриваемых атак машину опорных векторов обучить не удалось, для некоторых атак наличествует проблема переобучения машины опорных векторов. Другой важной

http://spoisu.ru

особенностью является схожее пространство признаков, полученное методом главных компонент для атак схожих по принципу действия, типу жертвы и т.д. Дополнительные эксперименты показали, что разделение некоторых атак, для которых метод опорных векторов построил разделяющую гиперплоскость в пространстве высокой размерности, на несколько частей приводит к формированию модулей обнаружения с многократно меньшим числом опорных векторов, т.е. приводит к решению проблемы переобучения. Всё вышеперечисленное приводит к необходимости реализации механизма кластеризации для рассматриваемых множеств сетевых пакетов.

Основными задачами, решаемыми на данном этапе исследования, являются следующие: проектирование модульной архитектуры СОВ, способной при анализе сетевого трафика проверять каждый пакет параллельно на множестве модулей обнаружения, анализ применимости различных методов кластерного анализа для формирования оптимального набора модулей обнаружения и разработка механизма подбора внутренних параметров выбранных методов кластерного анализа для решения поставленной цели. Задача кластеризации распадается на три направления: объединение схожих по некоторым внутренним свойствам атак в классы, разбиение сложных (с точки зрения обучения машины опорных векторов) атак на отдельные множества пакетов со своими модулями обнаружения и поиск подмножеств пакетов, общих у различных атак для выделения их в отдельные модули обнаружения.

При рассмотрении различных методов кластерного анализа в рассматриваемой предметной области были доказано, что иерархические методы не пригодны в связи с большим количеством рассматриваемых записей. Для выполнения задачи были выбраны итерационные неиерархические методы k-средних и k-медиан. Процедура кластерного анализа обучающего множества выглядит следующим образом:

1.нормализация параметров при помощи одной из формул нормирования;

2.обучение метода главных компонент на множестве параметров сетевого трафика;

3.перевод исходных данных в пространство, полученное при помощи МГК;

4.уточнение предполагаемого числа кластеров (первоначально k = 2);

5.формирование кластеров для выбранного значения k;

6.обучение и тестирования метода опорных векторов для каждого кластера с добавлением пакетов нормального трафика;

7.анализ результатов. При невыполнении условия остановки изменение числа k и повторение этапов 4-7.

Для формирования алгоритма подбора оптимальных параметров для методов кластерного анализа рассматривается выбор предполагаемого числа кластеров k, выбор первоначальных центров кластеров, выбор метрики расстояния между кластерами, выбор правила остановки анализа и критерии оценки результата.

Проведенные эксперименты доказывают применимость методов k-средних и k-медиан для построения оптимальной модульной архитектуры системы обнаружения сетевых атак, что позволяет сократить число ошибок первого и второго рода и увеличить быстродействие системы. Дальнейшие исследования направлены на проектирование механизма взаимодействия модулей обнаружения, учитывающего последовательность сетевых пакетов.

Ренсков А.А.

Россия, Санкт-Петербург, Военная академия связи иНФОРМАЦИОННЫЕ ВОЙНЫ В ЛОКАЛЬНЫХ КОНФЛИКТАХ

Информационное противоборство присутствовало практически во всех войнах в таких основных формах, как ведение разведки и противодействие ей, распространение дезинформации, слухов и борьба с ними (в том числе при помощи цензуры) и т. п. С появлением новых информационных технологий и организацией международного информационного обмена на новом уровне информационная составляющая в стратегии обеспечения национальной безопасности, по оценкам Совета безопасности Российской Федерации и руководителей российских спецслужб и Минобороны России, вышла на первый план.

Информационное противоборство в ходе ведения обычной войны начало переходить на новую, более высокую стадию – стадию информационной войны. При этом сами боевые действия, их масштаб, как правило, выступают формальным прикрытием для активизации методов ведения информационных войн, как в отношении самих участников конфликта, так и против государств поддерживающих одного из участников. Яркий пример - это события, которые сегодня происходят на территории Украины.

Термин «информационная война» (ИВ) появился в середине 80-х годов ХХ века в связи с новыми задачами вооруженных сил США и официально впервые закреплен в директиве Министерства обороны США от 21 декабря 1992 г.

Информационная война (англ.Informationwar) – термин, имеющий два значения:

http://spoisu.ru