ri2014_materials

наблюдения, навигации, опознавания, целеуказания, наведения, боевые платформы и системы боевого управления, в интересах обеспечения информационного превосходства над противником;

дальнейшая интеграция системы связи и системы автоматизации вплоть до создания единой информационно-технической системы управления войсками, силами, оружием группировки войск в Арктическом регионе.

Также следует отдельно подчеркнуть важность формирования единого информационного пространства Российской Федерации в ее Арктической зоне с учетом природных особенностей.

Домбровский Я.А., Паращук И.Б.

Россия, Санкт-Петербург, Военная академия связи АНАЛИЗ ДОСТОИНСТВ И ПРОБЛЕМ ПОСТРОЕНИЯ РЕГИОНАЛЬНЫХ

ИНФОРМАЦИОННЫХ СЕТЕЙ И ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ, ИСПОЛЬЗУЮЩИХ «ОБЛАЧНЫЕ» СЕРВИСЫ

Суть идеи «облачных» сервисов – повсеместный и удобный сетевой доступ по требованию к общему пулу («облаку») конфигурируемых вычислительных или иных сервисных ресурсов (например, к таким «облакам», как: сети передачи данных, серверы, устройства хранения данных, приложения и сервисы, как вместе, так и по отдельности), которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру.

Это концепция распределенной обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю на время, по запросу, как интернет-сервис.

Достоинства: потребители облачных сервисов могут значительно уменьшить расходы на инфраструктуру информационных сетей и технологий; могут гибко реагировать на изменения вычислительных и иных потребностей в облачных услугах; облачные сервисы позволяют экономить на масштабах, используя меньшие аппаратные ресурсы, чем требовались бы при выделенных аппаратных мощностях для каждого потребителя отдельно; за счет автоматизации процедур модификации выделения ресурсов существенно снижаются затраты на абонентское обслуживание; облачные сервисы позволяют получить услуги с высоким уровнем доступности и низкими рисками неработоспособности, обеспечить быстрое масштабирование вычислительной системы благодаря эластичности без необходимости создания, обслуживания и модернизации собственной аппаратной инфраструктуры; удобство и универсальность доступа обеспечивается широкой доступностью услуг и поддержкой различного класса терминальных устройств (персональных компьютеров, мобильных телефонов, интернет-планшетов).

Открытые источники говорят о том, что у облачных сервисов высокий уровень безопасности при грамотной организации, однако, при халатном отношении эффект может быть противоположным.

Типичные проблемы, которые необходимо решить при построении региональных информационных сетей и информационно-коммуникационных технологий: это технологии работы через глобальную сеть (т.е. нужно строить защищенную доверенную сеть, а лишь потом говорить об облаках); данные (сервисы) и информация хранятся непонятно где и неопределенно далеко (не каждый решается на это); плохо решен вопрос сохранности и не контролируемого хранения данных (есть опасение, что с приходом данной технологии появится проблема создания неконтролируемых данных, когда информация, оставленная человеком, будет храниться годами, без его контроля. Например – облачные сервисы Google: здесь пользователь не в состоянии удалить неиспользуемые им сервисы и даже удалить отдельные группы данных); необходимо постоянное соединение с сетью

– для работы с «облаком» необходимо постоянное подключение к сети, это прямая угроза безопасности; проблема конфиденциальности – в настоящее время нет технологии, обеспечивающей абсолютную конфиденциальность данных; хотя «облако» считают достаточно надежной системой, но в случае проникновения злоумышленника, ему будет доступен огромный объем данных, о всех пользователях; использование в облачных сервисах систем виртуализации, в которых в качестве гипервизора используются ядра стандартных ОС таких, как Linux, Windows и др., что позволяет активно использовать вирусы.

Домрачев И.А.

Россия, Санкт-Петербург, Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В.И. Ульянова (Ленина)

ТЕХНИЧЕСКИЕ УСЛОВИЯ КОМПАКТА МОБИЛЬНОГО МИНИ-СЕРВЕРА

Предлагается современный технический подход компакта программно-инструментального рабочего места исследователя, знакомого с инструментальными информационно-комуникационными платформами решения предметных задач в различных областях применения. На основании оценки комплекса значимых факторов могут быть выбраны аппаратные, инструментальные, программные и организационные средства, необходимые и достаточные для решения поставленной задачи с учетом рекомендуемых аппаратных и ресурсных ограничений. Для примера рассматривается схема выбора компактного, энергоэффективного и, в то же время, мобильного сервера. Может быть использован

http://spoisu.ru

одноплатный компьютер Cubietruck на базе процессора Cortex A7 Dual-Core с ARM архитектурой, преимущество которой - набор простых команд RISC (Reduced Instruction Set Computer), обрабатываемых с минимумом затрат. Компьютер очень компактный и по размеру сравним с жестким диском 2.5”, а наличие интерфейса SATA позволяет подключить данный жесткий диск объемом до 3 терабайт и организовать на этом миниатюрном сервере хранилище данных. Выбранные инструментальные решения обладают пользовательскими и ресурсными предпочтениями и по своей совокупности обосновывают принятые технические решения. Большие серверы требуют активного охлаждения и потребляют много энергии, в то время как энергозатратность вышеупомянутого минисервера составляет всего лишь 5-10 ватт, а при включенном HDD - 15 ватт. Также имеется пассивное охлаждение в виде радиатора на процессоре, вследствие чего он абсолютно бесшумен. Такие энергоэффективные характеристики в сочетании с аккумулятором и 3G/4G модемом позволяют построить мобильный сервер с требуемой автономностью.

Такой одноплатный компьютер относительно недорог и довольно прост в установке, а настройка сервера – это бесценный опыт в освоении операционной системы Linux, в обеспечении безопасности хранимых данных, в практическом изучении построения сетей. Опытный образец был сконфигурирован под операционной системой Linux Debian, для которой доступен репозиторий приложений, сконфигурированных специально для архитектуры ARM. Она позволяет гибко настроить сервер для решения необходимых задач. Также он был дополнен жестким диском 1.5Tb для хранения данных.

Выбранные архитектурные решения и программное обеспечение позволили организовать удобное и эффективное рабочее место исследователя, которое обладает широкими пользовательскими возможностями:

Удаленный доступ к файлам. Для такого «облачного» хранилища было использовано свободное веб-приложение с открытым исходным кодом – ownCloud.

Интернет сайт. Имея выделенный IP адрес можно поднять web-сервер Apache и сделать свой собственный веб-сайт.

Удаленный доступ к терминалу посредством защищенного соединения SSH.

Реализация VNC через свободную программу TightVNC для обеспечения возможности дистанционного обращения к виртуальной среде рабочего стола Gnome.

Удаленный доступ к базе данных, совместимой с различными веб-приложениями.

BitTorrent-клиент с remote интерфейсом для загрузки файлов.

Redmine – менеджер для управления проектами и задачами.

Виртуальная частная сеть (VPN) для создания зашифрованного подключения к домашней

сети.

Врезультате работы с данным оборудованием был получен полноценный сервер, способный удовлетворить широкий спектр исследовательских, коммуникационных и предметных потребностей. Сервер может использоваться как учебное автоматизированное рабочее место для дистанционного, аудиторного и сетевого обучения. Изучение теории и практики современных средств информационных технологий является хорошей учебной практикой для студентов технических вузов.

Егоров А.Н., Кузнецов В.А., Назаргулов И.А.

Россия, Санкт-Петербург, Государственный университет морского и речного флота имени адмирала С.О. Макарова ПРОГРАММНАЯ ОБОЛОЧКА РАСПАРАЛЛЕЛИВАНИЯ ДЛЯ ВОСТАНОВЛЕНИЯ ДОСТУПА

КДАННЫМ

Вусловиях функционирования корпоративных сетей, в которых для передачи данных, как правило, используются защищенные каналы, предполагающие их передачу в зашифрованном виде, возникают сбои, связанные с потерей или искажением секретных ключей. В этой ситуации актуальной становится задача автоматизации восстановления этих ключей с целью обеспечения доступа к зашифрованным данным, что позволит в значительной степени снизить уровень влияния человека на восстановление работоспособности системы.

Одним из возможных методов решения этой задачи является перебор возможных ключей. Метод, с одной стороны, надёжен, поскольку его использование всегда гарантирует получение результата, но с другой стороны, требует больших временных затрат, в связи с выполнением огромного количества однородных операций. Для снятия указанной проблемы при автоматическом восстановлении секретного ключа воспользуемся механизмом распараллеливания вычислительного процесса, который реализован в виде программной оболочки распараллеливания (ПОР).

Программная реализация оболочки предназначена для распараллеливания процесса вычислений в прикладных решениях, используя для этих целей центральный процессор и графическую видеокарту, которая поддерживает технологию CUDA компании NVIDIA. CUDA – это платформа параллельных вычислений и модель программирования, позволяющая существенно увеличить вычислительную производительность за счёт максимально эффективного использования ресурсов видеокарты (графических процессоров и памяти) компании NVIDIA.

http://spoisu.ru

Поддержка прикладных решений реализуется в виде dll библиотек, разработанных для каждого устройства с которыми работает ПОР. Каждая библиотека должна реализовать ряд интерфейсов необходимых для взаимодействия с программной оболочкой.

ПОР представляет собой совокупность взаимодействующих модулей. Связующим звеном этих модулей является ядро программной оболочки (ЯПО). При старте программы происходит сбор информации (количество ядер процессоров, объем памяти, частота, наименование) об имеющихся на компьютере устройствах работу с которыми поддерживает ПОР. На её основе создаются модули устройств (МУ), отвечающие за взаимодействие с одной вычислительной единицей. Вычислительная единица может представлять собой ядро центрального процессора или графическую видеокарту. Интерфейс ПОР имеет ряд визуальных инструментов настройки использования вычислительных единиц позволяющих, при необходимости, включать и отключать их из процесса вычисления.

Для инициализации задачи используется конфигурационный файл, содержащий информацию о типе задачи и параметры необходимые для взаимодействия с ПОР. После считывания файла происходит поиск соответствующих библиотек для решения полученной задачи, одной из которой может быть восстановление доступа к данным. Если такие библиотеки присутствуют, задача помещается в очередь. В процессе решения пользовательской задачи (ПЗ) осуществляется два этапа распараллеливания. На первом этапе при распределении нагрузки между аппаратными средствами ЯПО разделяет ПЗ на подзадачи. Далее подзадачи передаются соответствующим МУ. Для большей производительности МУ на основе алгоритма реализованного в dll библиотеке может дополнительно распараллеливать вычислительный процесс решения подзадачи, используя особенности аппаратного средства.

В рамках проблемы восстановления доступа к данным были созданы библиотеки для восстановления секретного ключа алгоритма шифрования DES. Механизм распараллеливания алгоритма реализован по технологии bitslice. При реализации библиотек для отладки параллельных алгоритмов использовался NVIDIA Nsight позволяющий оптимизировать производительность вычислений, как для центрального, так и для графических процессоров.

Разработанный подход решения ПЗ в интегрированной программной среде оболочки распараллеливания можно считать универсальным. Это означает, что практически любую задачу пользователя, требующую для повышения производительности использования распараллеливания вычислений, можно решить в этой программной среде, реализовав необходимые библиотеки. ПОР является автоматизированной программной системой, которая использует весь потенциал подключенных к компьютеру вычислительных устройств, допускающих распараллеливание.

Программный код оболочки, включая библиотеки, написан на языке C++. В качестве сред разработки использовались RAD Studio XE и VisualStudio 2010.

Журавель Е.П., Шерстюк Ю.М.

Россия, Санкт-Петербург, ОАО «Ростелеком», ЗАО «Институт инфотелекоммуникаций» ОСНОВНЫЕ ТЕХНОЛОГИИ ПОСТРОЕНИЯ СТАЦИОНАРНЫХ СЕТЕЙ ДОСТУПА ОБЩЕГО ПОЛЬЗОВАНИЯ

В соответствии с законом "О связи" сетевой основой телекоммуникаций Российской Федерации является единая сеть электрической связи (ЕСЭС). Главной целью развития ЕСЭС является формирование основ для преобразования российского общества в высокоразвитое постиндустриальное "электронное" общество. Основным средством достижения цели является построение телекоммуникационных сетей и информационных систем, совместная эксплуатация которых направлена на удовлетворение потребностей пользователей в традиционных и перспективных инфокоммуникационных услугах (сервисах), и которые принято называть мультисервисными сетями (МСС). Основным видом телекоммуникационной сети МСС в настоящее время является сеть связи с использованием пакетных методов передачи.

Использование технологии xDSL и DOCSIS для построения сети доступа МСС представляется нецелесообразным, поскольку для достижения приемлемой скорости передачи необходимо уменьшение длины абонентской линии с возможной заменой кабельных участков. Исторически наибольшую распространенность в Российской Федерации среди технологий xDSL получила технология ADSL, реализующая асинхронный доступ пользователя к ресурсам сети с использованием существующей кабельной инфраструктуры на скоростях 2,5 – 12 Мбит/с к пользователю и до 1Мбит/с от пользователя, что технологически не позволяет развивать интерактивные сервисы, характеризующиеся возрастающим трафиком от пользователя.

Технология Ethernet (ETTH/FTTB) для построения сети доступа МСС представляется более привлекательной по сравнению с xDSL ввиду предоставления услуг на симметричной скорости 100 Мбит/с (и/или 1 Гбит/с), однако широкая распространенность интерфейса Ethernet (RJ-45) позволяет практически любому пользователю осуществить несанкционированный доступ к информации взаимодействия между абонентским оконечным устройством и платформами (информационными

http://spoisu.ru

системами), предоставляющими услуги МСС, и требует, в связи с этим, соответствующих технических и/или программных решений по организации безопасной среды передачи.

Использование технологии пассивных оптических сетей (GEPON/GPON), отличительной особенностью которой от технологии ETTH/FTTB, является наличие так называемой "доверенной" среды передачи между станционным и абонентским оконечным устройством, перехват сообщений в которой (mirroring) существенно затруднен ввиду наличия встроенных средств шифрования и необходимости использования дорогостоящих специализированных технических средств уровня разработчика оборудования PON.

В настоящее время строительство сети доступа на основе технологии пассивных оптических сетей является практически единственным перспективным вариантом её развития. На начальном этапе оптическая сеть может быть использована для непосредственного подключения пользователей по технологии Ethernet (ETTH/FTTB) с применением вместо медных оптических модулей. В последующем, с использованием каскадного сплиттования, пассивная оптическая сеть доступа может быть достаточно быстро перестроена в сеть GEPON/GPON. Помимо этого, разгружается кабельная канализация за счёт утилизации медных кабелей и закладываются существенные перспективы модернизации, при которой, по сути только за счет замены станционного и абонентского оконечного оборудования возможен переход на 10GPON или, например, на более скоростную и симметричную технологию WDM, которая в настоящее время далека от стадии внедрения в сети доступа из-за существенной стоимости комплектующих и пока не преодоленных болезней роста ("несовместимость" оборудования двух различных производителей, требующая применения оборудования третьего производителя как медиатора). Разветвленная сеть доступа на основе технологии пассивных оптических сетей может являться сетевой основой, например, для решения задач государственных и гражданских пользователей – таких, как мониторинг объектов инфраструктуры, передачи данных операторов мобильной связи или сетей Wi-Fi, причем требования пользователей к пропускной способности последних неуклонно растут.

При построении сетей доступа на основе технологии пассивных оптических сетей необходимо обратить особое внимание на технологическую безопасность, для чего целесообразно реализовать максимально полный цикл производства пассивного и активного станционного, коммутационного (при необходимости) а также абонентского оконечного оборудования сети доступа на технологических мощностях отечественных предприятий.

Исабеков М.Т, Ногин С.Б.

Россия, Санкт-Петербург, Военная академия связи МОБИЛЬНЫЕ ЦЕНТРЫ ОБРАБОТКИ ДАННЫХ.

Мобильный центр обработки данных–это ЦОД, размещенный в специализированном транспортном контейнере, либо нескольких контейнерах внутри которых, расположен комплексвзаимосвязанных программных и аппаратных компонентов, организационных процедур, мест размещения персонала, подключенный к каналам связи и предназначенный для безопасной централизованной обработки, хранения и предоставления данных, сервисов, приложений и обеспечивающая высокую степень виртуализации своих ресурсов.

Цель разработки и внедрения мобильного ЦОД - создание надежной, отказоустойчивой вычислительной платформы для системы информационного обеспечения предприятия в максимально короткие сроки.

Таким образом, ключевой параметр, отличающий мобильный ЦОД от обыкновенного, - скорость развертывания его информационных ресурсов.

Помимо этого, существуют и другие требования, из которых вытекают причины выбора мобильного ЦОД:

отсутствие площадей внутри здания, подходящих для размещения ЦОД;

отсутствие электрической мощности, требуемой для функционирования ЦОД;

отсутствие у заказчика технической и организационной структуры, необходимой для создания

ЦОД;

необходимость развертывания информационной платформы в региональных филиалах территориально распределенной организации.

Идея создания МЦОД была так же продиктована потребностями военных ведомств. Министерствам обороны различных стран для ведения боевых действий за пределами страны необходим полевой центр обработки данных, на котором в короткий срок могут быть развернуты приложения, позволяющие осуществлять управление войсками, обеспечивать оперативную обработку и анализ информации. Есть все основания полагать, что данные виды полевых ЦОД (мобильных) будут быстро развиваться, и уже в ближайшей перспективе их производительность значительно вырастет, увеличится время автономии за счет применения элементов бесперебойного питания нового поколения, расширится набор базовых модулей. Уже сейчас на мировом рынке имеются множества различных решений, представленных ведущими лидерами по производству компьютерных систем.

http://spoisu.ru

которыхвыделялись большие ресурсы как специалистов так и технических средств. С внедрением технологий облачных вычислений угрозы никуда не исчезли.

В связи с этим рассмотрим виды атак которым могутподвергаются центры обработки данных использующие облачные технологии и способы борьбы с ними:

1. Человеческий фактор.

Компрометация административного доступа клиента вследствие успешного перебора паролей или компрометации рабочего места сотрудника, злоупотребление административными привилегиями сотрудником, вызванное низкой эффективностью систем кадровой безопасности и производственного контроля. Решением данной угрозы является грамотная кадровая политика во взаимодействии с активными и решительными действиями сотрудников внутренней безопасности.

2. Операционные системы и другое программное обеспечение.

Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др — традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

3. Комплексные атаки либо точечные атаки на отдельные службы и сервисы.

Этот тип атак связан с многослойностью облака, общим принципом безопасности. Для защиты от атак для каждой части облака необходимо использовать соответствующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

4. Технология «Клиент-Сервер».

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как CrossSiteScripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией. Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

5. Атаки на гипервизор.

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога ActiveDirectory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации.

Касанин В.В.

Россия, Санкт-Петербург, Военная академия связи ПРОБЛЕМЫ СОВРЕМЕННЫХ СИСТЕМ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА И ПУТИ ИХ РЕШЕНИЯ

В настоящее время в отрасли систем электронного документооборота (СЭД) выделяются следующие ключевые проблемы: высокие темпы роста объёмов электронных документов, которые создаются и хранятся в информационных системах организации, трудности, связанные с их нахождением, извлечением предоставления необходимой информации.

Увеличение масштабов использования электронного документооборота, данная тенденция объясняется тем, что растут технологические возможности обработки электронного контента, расширяются виды документов, которые поступают в электронные системы хранения и, конечно, увеличивается размер самих документов. В связи с этим увеличивается количество самих участников электронного документооборота.

Параллельно усложняются процедуры обработки документов, формат, в котором предоставляются документы пользователю, способы хранения электронного контента.

http://spoisu.ru

Особенно ощутимей проблемы производительности системы и удовлетворённости ею пользователями становятся в условиях территориальной и организационной распределённости.

Для достижения высокой производительности системы обычно применяют централизованный и децентрализованный подходы к построению системы.

Децентрализованный подход подразумевает создание множества независимых локальных контуров документооборота, между которыми организован обмен документов, средств электронных коммуникаций. При децентрализованном подходе обязательно происходит дублирование документов при передаче между контурами документооборота. Этот подход обеспечивает высокую автономность и самостоятельность подразделений и является одним из простых способов организации документооборота. Недостатком данного подхода является то, что повышаются затраты, которые связаны с двойной регистрацией документов, большим почтовым трафиком, возможностью потери документов из-за неорганизованности их доставки. Более того при использовании децентрализованного подхода задача построения процессов "сквозного" типа реализуется очень плохо, также возникают проблемы с неэффективным расходованием ресурсов и администрированием независимых контуров системы.

Централизованный подход в свою очередь предусматривает жёсткие требования к надёжности скорости каналов связи, которые характеризуются высоким сетевым трафиком и ограничениями по доступности удалённых оргединиц к информации. Но стремление наиболее эффективно использовать ИТ-ресурсы на сегодняшний день является основным мотивом их централизации и виртуализации.

Перспективным подходом является федеративная архитектура, которая реализует децентрализованное хранилище с возможностью использовать репликации данных в качестве механизма обмена данными между узлами системы. Благодаря этому обеспечивается гарантированная доставка информации и качественная обработка документов. Подход на основе федеративной архитектуры создаёт условия для централизованного создания, хранения и поддержки общего контента, локального создания и поддержки внутреннего контента организации и быстрой доступности контента. Более того таким образом достигается высокая интегральная производительность системы и ресурсы используются более эффективно.

Важнейшим принципом федеративной архитектуры является распределённое создание, хранение и потребление документов при централизованном администрировании системы как единого целого.

Касанин В.В.

Россия, Санкт-Петербург, Военная академия связи УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

Основу электронного документооборота составляет вопрос целостности и подлинности документа. В ряде случаев требуется конфиденциальность документа между получателем и отправителем.

Вопрос целостности и подлинности электронного документа решают средства электронноцифровой подписи. Вопрос конфиденциальности электронного документа решают средства шифрования.

К средствам электронно-цифровой подписи относятся процедуры:

генерации открытого и закрытого ключей электронно-цифровой подписи;

выработки электронно-цифровой подписи;

проверки электронно-цифровой подписи.

К средствам шифрования относятся процедуры:

зашифрования;

расшифрования;

генерации ключей шифрования.

Информационные угрозы, применимые к средствам электронно-цифровой подписи Особенности процедуры генерации открытого и закрытого ключей электронно-цифровой

подписи:

генерация производится не самим пользователем, а владельцем информационной

системы;

генерация ключей происходит в незащищенной среде (генерация ключей на диск, имеющий общий доступ в сети – чтение и/или изменение злоумышленником);

генерация ключей происходит в среде с вредоносными компонентами (генерация ключей на ПЭВМ, имеющей вредоносный программный компонент, осуществляющей мониторинг и перехват генерируемых ключей).

Процедура выработки электронно-цифровой подписи происходит в среде с вредоносными компонентами (на ПЭВМ, имеющей вредоносный программный компонент, осуществляющей

http://spoisu.ru

мониторинг и перехват предоставляемых пользователем закрытых ключей подписи в программу выработки ЭЦП).

Процедура проверки электронно-цифровой подписи происходит в среде с вредоносными компонентами (на ПЭВМ, имеющей вредоносный программный компонент, осуществляющей мониторинг и компрометацию заданных открытых ключей подписи либо подделку процедуры проверки с целью выдачи положительного результата проверки на ложный документ).

Для средств шифрования существуют угрозы:

перехват ключа в момент создания и использования;

изменение ключа для невозможности расшифровки сообщения получателем. Рекомендации по использованию технологий электронного документооборота:

генерация ключей ЭЦП должна осуществляться самим пользователем, в исключительных случаях уполномоченным администратором;

все средства криптографической защиты информации должны быть проверены в рамках экспертиз и сертификаций на предмет правильного функционирования и отсутствия вредоносных составляющих;

необходим периодический контроль целостности средств криптографической защиты информации, антивирусный контроль и мониторинг среды окружения.

Таким образом, необходим комплексный подход при построении систем электронного документооборота, включающий криптографические средства защиты информации, аппаратные средства защиты от несанкционированного доступа, средства антивирусного контроля и мониторинга среды, административные меры.

Кий М.И., Кий А.В.

Россия, Санкт-Петербург, Санкт-Петербургский государственный университет культуры и искусств, Военная академия связи ВЕБ-АРХИВИРОВАНИЕ: ТЕХНОЛОГИЯ СОХРАНЕНИЯ ЭЛЕКТРОННОГО КОНТЕНТА

Стремительное развитие сетевых информационных ресурсов и сети Интернет в целом ставит перед наукой и обществом новые задачи. Современные исследования в этой области направлены на поиск возможностей сохранения и обеспечения доступности к сетевым документам пользователей.

Сохранение электронной информации (электронного контента) – одно из пяти приоритетных направлений деятельности межправительственной программы ЮНЕСКО «Информация для всех». В 2003 г. ЮНЕСКО была принята «Хартия о сохранении цифрового наследия» – еще один документ, в котором провозглашаются основные принципы работы с цифровым наследием. В Хартии цифровое наследие понимается как общее мировое культурное наследие, которое находится под угрозой исчезновения. ЮНЕСКО настаивает на принятии безотлагательных мер на уровне отдельных государств и мирового сообщества в целом, направленных на сохранение цифрового наследия.

Одними из первых вопросов, с которым столкнулись специалисты, стали вопросы о правовых основах деятельности, а также о выработке единых норм и понятий в данной предметной области. Соответственно, происходит корректировка законодательства в области интернет-ресурсов, авторского права, обязательного экземпляра.

Однако решения только правовых вопросов не достаточно. На этом пути возникают проблемы, связанные с технологиями сохранения электронного наследия. На сегодняшний день можно выделить основные технологии:

оцифровка уже имеющихся ресурсов (книг и периодики, аудиовизуальных материалов, архивов и т.д.) и создание новой мультимедийной продукции. Этим направлением активно занимаются библиотеки, музеи, культурные центры;

веб-архивирование – сбор, обработка, хранение и предоставление потребителю сетевых информационных ресурсов. Для создания веб-архивов используются специальные программыроботы или веб-кроулеры (от англ. «crawler» – червяк; тот, кто медленно ползает), а для сбора контента – веб-харвестинг (от англ. «harvesting» – уборка урожая).

Харвестинг – автоматический сбор контента в Сети, осуществляемый специальными программами-роботами. Программа настраивается на сбор контента по определенным параметрам: тематика, доменные имена, язык, конкретные сайты и пр. Результатом такого сбора являются все материалы определенного сегмента Сети в момент сбора данных. После окончания работы программы производится обработка и собственно архивирование собранного материала. Процедура веб-харвестинга выполняется через определенные промежутки времени, например, раз в полгода. Соответственно те изменения, которые произошли в этот период в Сети, не архивируются и утрачиваются. Качество и полнота результатов веб-харвестинга зависят от используемых роботов, которые постоянно совершенствуются. Итог работы – статические представления интернет-страниц, как правило, только первого и второго уровня.

Один из самых известных архивов – «The Internet Archive» (archive.org) – некоммерческая организация, основанная в 1996 г. в США Брюстером Кейлом (с 2007 г. этот архив имеет юридический

http://spoisu.ru

статус библиотеки). Одним из направлений его деятельности является веб-харвестинг, с помощью которого осуществляется сбор и архивирование веб-страниц вместе с «историей» их изменения, делая доступными даже те из них, которые давно исчезли из Сети.

Ковальченко Д.А., Паращук И.Б.

Россия, Санкт-Петербург, Военная академия связи ОБОСНОВАНИЕ ВЫБОРА МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ СМЕНЫ СОСТОЯНИЙ ПРОЦЕССА

ИНФОРМАЦИОННОГО ОБМЕНА В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ

Математическое описание системы показателей качества (СПК) процесса информационного обмена (ПИО) в автоматизированных системах управления (АСУ), аналитическая взаимосвязь отдельных показателей качества (ПК) ПИО в общем случае динамического, вероятностного, нелинейного и нестационарного процесса функционирования АСУ связано с необходимостью задания многомерных функций либо плотностей распределения вероятностей значений параметров (показателей) ПИО на интервале функционирования системы. Математическое описание, с учетом большой размерности переменных состояния процесса, параметров распределений и отсчетов времени, в этом случае крайне затруднительно.

Кроме того, устаревание информации о состоянии ПИО в АСУ снижает зависимость принимаемых решений в данный момент от более ранних наблюдений, обеспечивая тем самым возможность ограничения последействия («памяти») математического описания ПИО. Анализ данных ограничений приводит к необходимости поиска достаточно строгого описания ПИО в динамике. На наш взгляд, наиболее корректно данные ограничения могут быть учтены в рамках марковских моделей, которые обладают высокой универсальностью, а сочетание теории марковских процессов с теорией переменных состояния открывает широкие возможности для исследования процессов обмена информацией в сложных автоматизированных системах. Применение марковских моделей к реальным процессам, происходящим в сложных системах, обладает целым рядом преимуществ, основанных на возможности представления в рамках марковских процессов как дискретных, так и непрерывных процессов, которые характеризуются как гауссовскими, так и негауссовскими распределениями вероятностей, с учетом как линейного, так и нелинейного характера их изменения. Кроме того, путем расширения связности («памяти») процесса и его размерности (например, переход к вложенным цепям Маркова), заведомо немарковские процессы могут быть математически корректно сведены к более сложным марковским.

Традиционно, большая часть ПК ПИО – непрерывны по состоянию. Необходимость и возможность аппроксимации их математического описания дискретными по времени и по состоянию марковскими последовательностями обусловлена рядом факторов: общепринятое описание динамики изменения непрерывных ПК процессов в дискретные моменты времени основывается на аппарате стохастических дифференциальных уравнений, что приводит к большой вычислительной сложности; возможность аппроксимации непрерывных процессов марковскими последовательностями с дискретным временем позволяет моделировать процессы с наперед заданной ошибкой моделирования по времени и по состоянию; пространство ресурсов управления процессами в АСУ - конечно и дискретно, что подтверждает необходимость описания этих процессов и управления этими процессами в рамках единого математического аппарата; существуют апробированные методы формирования редуцированных достаточных статистик состояния ПК сложных процессов; пользователю нет необходимости знать все непрерывнозначные состояния ПК, вполне достаточно знать его дискретное значение и точность поддержания этого значения. Учитывая все вышеизложенное, целесообразно рассматривать возможность построения аналитических, вероятностно-временных моделей смены состояний ПИО в АСУ как математических моделей смены состояний ПК ПИО на основе марковских последовательностей, добиваясь требуемой степени адекватности вероятностно-временных свойств ПИО при сокращении размерности их математического описания.

Ковриченков С.В., Кузнецов С.И., Тесля С.П. Россия, Санкт-Петербург, Военная академия святи

ВЗГЛЯДЫ НА СОЗДАНИЕ ЗАЩИЩЕННОЙ СЕТИ ЕДИНОЙ СИСТЕМЫ УПРАВЛЕНИЯ НА ОСНОВЕ ПРИМЕНЕНИЯ СОВРЕМЕННЫХ ТЕХНОЛОГИЙ

Пересмотр взглядов на проведение войсковых операций привел к необходимости изменения использования информационных потоков. Остро стоит вопрос создания интеллектуальной информационно-управляющей сети единой системы управления (ЕСУ) МО РФ на базе уже имеющихся, развернутых сетей.

Создание ЕСУ обусловлено необходимостью непрерывного, устойчивого и скрытного управления войсками и оружием, повышения согласованности решений, принимаемых всеми ведомствами в ходе проведения операций. Управление при использовании ЕСУ будет осуществляться с автоматизированных рабочих мест (АРМ) должностных лиц (ДЛ) данными,

http://spoisu.ru

передаваемыми через средства передачи данных и радиосвязи с использованием компьютера (ПЭВМ).

АРМ ДЛ должно представлять собой многофункциональный терминал обеспечивающий целостность восприятия и использования ДЛ ПУ всех видов предоставляемых ресурсов и услуг.

Передача различных видов информации в системе связи ЕСУ будет осуществляться с использованием известных протоколов.

Одним из таких протоколов является IP протокол. Надежность защиты при передаче информации с использованием технологии IP можно повысит в рамках защищенной виртуальной частной сети (Virtual Private Network, VPN). С помощью VPN можно организовать IP-связь между территориально удаленными АРМ ДЛ ПУ, однако информация вне виртуальной частной сети, останется незащищенной.

Необходимо создание специальной программы, дающей возможность передачи различных видов информации с АРМ ДЛ. Данная программа (файл) должна вобрать в себя множество интересных и могучих защитных механизмов. Двоичный файл должен быть полностью зашифрован и динамически расшифровываться по мере загрузки этой программы в память АРМ ДЛ. Сброс дампа должен быть невозможен или затруднен тем обстоятельством, что стартовый код после выполнения должен быть очищен. В результате этого мы получаем exe, который не запускается. Оригинальная таблица импорта не должна содержать ничего интересного для лица осуществляющего несанкционированное воздействие с другого АРМ. API-функции должны подключаться уже в процессе распаковки самой программы. Проверка целостности кода программы должна выполняться из разных АРМ ДЛ в случайном порядке. В результате несанкционированного воздействия использование поиска защитных процедур программы будет представлять собой весьма нетривиальную задачу. Защитные алгоритмы должны быть основаны на криптографических RSA-сигнатурах и снабжены полиморфными генераторами. Полиморфные генераторы в случайном порядке должны будут переставлять инструкции типа ADD, XOR, SUB и др., перемешивая их с левыми машинными командами. Созданная программа должна обнаруживать программные точки остановки, представляющие собой однобайтовую машинную инструкцию с опкодом CCh, записанным поверх отлаживаемого кода.

На АРМ ДЛ ПУ должен поддерживаться безопасный и правильно конфигурируемый межсетевой интерфейс-шлюз с контролируемым доступом. Контролируемый доступ позволит обезопасить АРМ ДЛ ПУ от большинства атакhttp://ru.wikipedia.org/wiki/Википедия:Ссылки_на_источники. Однако обеспечение настоящей безопасности ЕСУ потребует проведения криптографического шифрования и криптографической аутентификации, которые будут доступны только ДЛ ПУ.

Применение протоколов P2P IP в системе связи ЕСУ и множества алгоритмов шифрования обеспечит безопасность передачи информации. Использование P2P при построении системы связи ЕСУ дает возможность реализации пиринговой архитектуры сети. Т.е. будет создана самоорганизующаяся распределенная децентрализованная пиринговая сеть системы связи ЕСУ. Единственным централизованным элементом в этой сети буде серверlogin, отвечающий за процедуру авторизации АРМ ДЛ ПУ и гарантирующий уникальность позывных для всей распределенной сети ЕСУ. Любое АРМ ДЛ ПУ с установленной программой будет являться потенциальным сервером. Сервером АРМ ДЛ ПУ становится автоматически при наличии достаточных системных ресурсов.

Ковриченков С.В., Кузнецов С.И., Низовая Е.В. Россия, Санкт-Петербург, Военная академия святи

ЗАЩИТА КАНАЛА СВЯЗИ УДАЛЕННЫХ СЕГМЕНТОВ ЛОКАЛЬНО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

На современном этапе строительства ВС система управления войсками и оружием строится с использованием средств вычислительной техники. Включенные в АСУ войсками и оружием АРМ ДЛ объединяются в ЛВС, которые, в свою очередь, объединяются между собой в сеть структуры большей иерархии – информационно-вычислительную сеть МО РФ. Защита информации и структуры информационно-вычислительной сети от несанкционированного воздействия является одним из наиболее важных вопросов обеспечения информационной безопасности.

Объединение удаленных ЛВС через сети связи общего пользования связанно с усложнением способа решения задач по обеспечению информационной безопасности, вследствии возникновения практически неограниченного спектра потенциальных угроз несанкционированного воздействия на них. Задача обеспечения информационной безопасности и защиты от несанкционированного воздействия как извне, так и со стороны различных сегментов других ЛС на современном уровне достаточно эффективно решается криптомаршрутизаторами, объединяющими ЛВС в защищенную сеть (VPN). В результате воздействия на телекоммуникационное оборудование возможно нарушение нормального функционирования виртуального канала связи информационно-вычислительной сети. Это обусловлено тем, что поток пакетов защищенных криптомаршрутизаторами передает адреса криптомаршрутизатора отправителя и получателя в открытом виде. Таким образом, возникает

http://spoisu.ru

противоречие между необходимостью открытой передачи адресов пакетов сообщений по каналам связи и образованию виртуальных каналов с требованиями по обеспечению безопасности связи информационно-вычислительной сети.

Существующие методы защиты от несанкционированного воздействия информационновычислительных сетей, позволяют выделить следующие недостатки: вероятность выделения виртуальной частной сети, за счет прослушивания и реконструкции трафика в некоторой точке сети передачи данных общего пользования; низкую скрытность связи вследствие увеличения вероятности распознавания структуры вычислительной сети; выделение диапазона IP-адресов, используемых для формирования канала передачи данных.

Устранение характерных недостатков защиты возможно с помощью использования способа обмена информацией по виртуальным каналам распределенной сети с динамической адресацией.

Реализация данного способа включает в себя следующие этапы:

1.ввод исходных данных для формирования виртуальных каналов распределенной сети передачи данных, включающих исходные адреса отправителя и получателя и хэш-функций для подтверждения прав корреспондента на передачу данных;

2.установление соединения, расчет виртуальных каналов через транзитные пункты передачи информации путем применения методов, аналогичных адаптивной маршрутизации, распределение объема информации, передаваемой по виртуальным каналам;

3.формирование распределенных виртуальных каналов передачи данных;

4 обмен кодированной информацией по каналам виртуальной распределенной сети с динамической адресацией;

5. перерасчет виртуальных каналов прохождения информации, при достижении критического числа пакетов, передаваемых по распределенной виртуальной сети.

Реализацию данного способа можно определить совокупностью и порядком набора определенных действий, применение которых делает практически невозможным определение и идентификацию потоков сообщений относительно конкретного устройства сети или обнаружения факта интенсивного обмена информацией, что дает возможность обеспечения повышения безопасности и скрытности работы канала связи локально-вычислительные сети через сеть связи общего пользования.

Колбасова Г.С., Пенязь А.Л.

Россия, Санкт-Петербург, Военная академия связи АКТУАЛЬНЫЕ НАПРАВЛЕНИЯ ПОВЫШЕНИЯ ЗАЩИЩЕННОСТИ ОБЪЕКТОВ ТЕХНИЧЕСКИХ СРЕДСТВ ПЕРЕДАЧИ ИНФОРМАЦИИ

Значимое место в проблеме обеспечения информационной безопасности различных систем управления занимает вопрос защиты информации на объектах управления от утечки по техническим каналам, которые образуются как естественным путем в качестве побочных излучений и наводок от технических средств обработки информации при их применении, а также особенности конструкций зданий (сооружений), так и искусственным, за счет внедрения специальных технических средств негласного добывания информации. Технические каналы утечки информации представляют значительный интерес у технической разведки, так как на объектах управления в обработке присутствует большое количество секретной информации в открытом виде: проводятся совещания, обрабатываются документы в бумажном и электронном виде, ведутся внутренние переговоры по телефону. И при этом у должностных лиц не возникает тревоги по поводу утечки информации, так как объект находится в пределах контролируемой зоны и нахождение посторонних лиц организационно исключено.

Если для гражданских систем утечка информации влечет за собой экономические потери отдельных лиц и организаций, то для военных структур – это вопросы утечки информации, содержащей государственную тайну. Ее утечка, в конечном итоге может привести к потере обороноспособности страны и поэтому требует особого внимания для защиты. Данная информация охраняется государством, для чего создана и функционирует государственная система защиты информации. Однако появление новых технических каналов утечки информации, развитие средств и методов ведения разведки в ближней зоне приводят к необходимости постоянного совершенствования в области защиты информации, подготовки специалистов соответствующего уровня, отвечающим требованиям современных стандартов. Одним из наиболее опасных и информативных для нарушителя каналов утечки информации на объектах технических средств передачи информации, является утечка по цепям электропитания средств ЭВТ. Это обусловлено быстрым ростом парка персональных компьютеров, находящихся в эксплуатации в различных звеньях управления и различных организациях военного ведомства, а также расширением круга пользователей, имеющих непосредственный доступ к данным и вычислительным ресурсам.

Отмеченное выше позволяет выделить сложившееся противоречие между возрастающими требованиями к защищенности объектов управления в условиях существования технических каналов

http://spoisu.ru