CC BY
33
УДК 621.398
МЕТОДИКА КОНТРОЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РАСПРЕДЕЛЕННОГО УЗЛА СВЯЗИ
0.М. Лепешкин, А.С. Шуравин, С.В. Титов, Д.В. Штефан, К.О. Манаков
Разработана методика мониторинга и управления информационной безопасностью распределенного узла связи, заключающаяся в комплексной оценке безопасности подконтрольной системы связи по отдельным характеристикам безопасности совокупности ее элементов. Системный подход к оценке и организации безопасности рассматриваемой инфокоммуникационной системы соответствует принятой и активно применяемой в настоящее время иерархической системе управления безопасностью в большинстве государственных организаций и предприятий промышленности Российской Федерации.
Ключевые слова: безопасность связи, мониторинг, информационно-телекоммуникационная система, контроль, телекоммуникационное оборудование.
Одной из первоочередных задач строительства в области военной связи является создание и развертывание Объединенной автоматизированной цифровой системы связи (ОАЦСС) Вооруженных Сил Российской Федерации на основе применения современных цифровых систем передачи информации. При этом серьезное внимание уделяется определению единых принципов функционирования ОАЦСС ВС РФ, ее защищенности и безопасности, что обусловлено основными мировыми тенденциями использования в инфокоммуникационных сетях связи военного назначения (ИКС ВН) ресурсов сетей связи общего пользования (ССОП), а также коммерческих протоколов связи. Такие тенденции делают современные ИКС ВН уязвимыми к информационно-техническим воздействиям со стороны других государств [1].
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки и передачи информации, повышается уязвимость системных процессов и ресурсов, что может привести к уничтожению, блокированию или искажению информации и появлению в системе «нештатных» процессов, создающих ситуации невозможности эффективного выполнения основных функций системы управления.
Так, одним из компонентов непрерывного цикла управления ИКС является мониторинг их информационной безопасности (ИБ).
Уже сейчас в войска поступают современные комплексы полевых узлов связи (ПУС) и подвижных пунктов управления (составляющие подвижной сети связи), которые предоставляют должностным лицам (ДЛ) пунктов управления (ПУ) разнообразные услуги связи требуемого качества. К этим услугам относятся видео-конференц-связь, передача данных, обмен электронной корреспонденцией и файлами, коллективная работа с графической информацией, открытая и защищенная телефонная связь, информационно-справочные услуги и т.п. Они способны обеспечивать информационный обмен как самостоятельно, так и в составе телекоммуникационного узла с возможностью масштабирования его структуры под решаемые задачи.
Несмотря на применяемую эшелонированную систему обеспечения безопасности связи и информации, элементы комплексных аппаратных связи (КАС) в составе ПУС полевого сегмента ИКС ВН, являются наиболее уязвимыми с точки зрения возможности программно-аппаратного воздействия. Это обусловлено рядом отличий полевого узла связи от стационарного.
1. Многократное количественное преобладание беспроводных линий связи относительно проводных линий связи, определяющее отсутствие визуального контакта между источниками сигналов (передающими радиостанциями) и их потребителями (принимающими радиостанциями), ведущее к возможности подмены базовых и абонентских станций противником.
2. Высокая рассредоточенность ПУС на местности, вызывающая сложности в разрешении вопросов контроля эксплуатации, технического обслуживания, выявления угроз и уязвимостей информационной безопасности.
3. Характерные жесткие условия размещения и применения активного сетевого оборудования (АСО) в комплексных аппаратных связи, оказывающие влияние на особенности его эксплуатации, а также доступность устройств и информации.
Направление совершенствования информационной безопасности (ИБ) ИТКС путем их мониторинга, является относительно новым. Предлагаемые решения аналогичных задач направлены на управления не столько безопасностью информационной системы (ИС), сколько самой информационной системой [2]. Вместе с тем, авторами в данных статьях не рассматриваются особенности построения распределенно-сложного объекта мониторинга.
В качестве примера рассмотрим уязвимость BDU: 2020-00877 - уязвимость веб-интерфейса управления системы обеспечения безопасности электронной почты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в контексте текущего пользователя или раскрыть защищаемую информацию с помощью специально созданной ссылки. Способом устранения уязвимости является обновление его программного обеспечения (ПО).
Другим примером уязвимости является использование незащищенных протоколов удаленного управления АСО, например, Telnet. При его использовании аутентификация выполняется на базе открытого текста (пароли пересылаются в незашифрованном виде).
Приведенные примеры, а также источник [4] иллюстрируют необходимость постоянного контроля достаточности мер защиты информации для каждого типового комплекта оборудования системы связи.
Состав подвижной сети связи. Подвижная сеть связи (ПСС) (рис. 1) представляет собой совокупность транспортных средств, образующих подвижные модули (ПМ) и узлы доступа (УД) со средствами управления, предназначенными для размещения корреспондентов и организации их взаимодействия в едином информационном пространстве (ЕИП). На рисунке обозначены:
транспортная сеть связи (ТСС) (на схеме ТСС представлена взаимодействием узлов связи транспортной сети);
центр управления и администрирования (ЦУА) (1); узел связи транспортной сети связи (УС ТСС) (2); узел доступа (3); подвижный модуль (4); активное сетевое оборудование.
Рис. 1. Вариант структурной схемы подвижной сети связи
286
Для отображения процесса мониторинга безопасности связи и информации сформирована функциональная блок-схема (рис. 2).
Рис. 2. Блок-схема алгоритма организации мониторинга безопасности ПСС
Должностные лица системы управления задают структуру ПСС, для чего определяют район размещения элементов ПСС; назначают и доводят до подчиненных У > 2 УС ТСС, О > 2 для подключения УД. В состав УД назначают необходимое количество КАС для обеспечения услуг связи должностным лицам ПМ. В зависимости от решаемых задач, определяют минимальное количество ПМ, доводят порядок изменения местоположения. Каждой группе из М ПМ, где N > М > 2, определяют не менее одного УД, который, является централизованной точкой подключения к УС ТСС. На основе данных об известных уязвимостях и угрозах безопасности ИС, администратор мониторинга (АдМ) ЦУА из внешней базы данных (БД Уязв), формирует свою БД КП для применяемого типового комплекта АСО и его ПО (блок 1).
После определения исходных данных мониторинга АдМ ЦУА и АдМ УД выполняют взаимную проверку подлинности ЦУА и УД путем двухсторонней аутентификации (блок 3). Далее, установив соединение между УД и ЦУА, подключают БД КП УД к БД КП ЦУА и передают (с использованием защищенных протоколов передачи данных) данные мониторинга. АдМ УД актуализирует КП и настройки мониторинга (НМ) (блок 4) и ожидает подключения ПМ. Порядок подключения ПМ к УД, аналогичен рассмотренному выше подключению УД к ЦУА (блоки 5-7).
С целью минимизации рисков информационно-технических воздействий перед использованием ресурса ТСС, необходима контрольная проверка отсутствия уязвимо-стей ПМ. Своевременное выявление критичных уязвимостей ПМ, позволит многократно снизить количество «узких» мест в сети, которые могут сделать обеспечение ИБ неэффективным. Для выполнения контрольной проверки, АдМ ПМ подключившись к УД, отправляет данные о применяемом АСО и ПО, после чего выполняет подключение к БД КП и, используя защищенные протоколы передачи информации, актуализирует в своей БД КП и НМ и выполняет собственную проверку соответствия текущего состояния информационной безопасности требуемому (блок 8).
При несоответствии параметров ИБ требуемым, АдМ ПМ устраняет выявленные уязвимости и устанавливает требуемые значения КП АСО. Под установкой подразумевается изменение режимов работы, обновление версий ПО, лицензий и т.п. Устранение уязвимостей может производиться непосредственным подключением через управляющую консоль АСО или удаленным подключением с помощью АРМ администратора и сетевых протоколов взаимодействия (блок 8).
Следующим шагом является подготовка и отправка отчета АдМ ПМ на вышестоящий уровень системы мониторинга (блок 9). В отчете, подписанном электронной подписью (ЭП), заверяются выполненные должностными лицами действия, направленные на корректировку текущего состояния безопасности и приведение его к требуемому. Как правило отчет представляет собой электронный документ с протоколом выполненных операций по настройке АСО и ПО.
Удостоверившись в подлинности указанной в отчете ЭП (блок 10), АдМ УД настраивает необходимым образом шлюз доступа к ТСС, обеспечивая корреспондентам ПМ возможность безопасного использования ее ресурса (блок 11). В качестве шлюза доступа может использоваться программно-аппаратный межсетевой экран.
В случае выявления критических с точки зрения безопасности связи и информации уязвимостей с применением тех же приемов и средств сообщают АдМ УД об обновлении данных КП, актуализируют БД КП и доводят до подчиненных ПМ (блоки 12, 13).
После устранения уязвимостей в подключенных ПМ, АдМ УД передает обобщенный отчет с ЭП. Под обобщенным отчетом понимается сформированный на основе отчетов ПМ, единый текстовый документ, в котором указываются применяемое АСО и ПО, используемое для выполнения должностных обязанностей корреспондентами ПМ.
При отсутствии обновлений в БД КП ЦУА АдМ УД оценивает в соответствии с заданными НМ безопасность каждого комплекта АСО (блок 14). При этом, АдМ УД в соответствии с заданной периодичностью измеряет значения КП, вычисляет частный показатель целостности состава аппаратного и программного обеспечения АСО, частный показатель безопасности типового комплекта АСО, частный показатель безопасности алгоритмов функционирования АСО, сравнивает полученные значения частных показателей с требуемыми и вычисляет обобщенный показатель безопасности ПМ. Для дистанционной проверки значений частных показателей безопасности возможно применение программных средств с использованием протокола управления сетью SNMP.
В случае недостоверности указанной в отчете ЭП (блок 10), нарушения безопасности АСО или превышения допустимого времени ожидания отчета (блок 15) АдМ УД подает сигнал тревоги, отключает ПМ от узла ТСС и отображает результаты оценки безопасности АСО (блоки 16, 18). Повторное подключение ПМ к УД организуется после устранения выявленных критичных уязвимостей.
При необходимости изменения местоположения и плановом завершении сеанса связи отправляют подписанное ЭП администратора ПМ уведомление об отключении от УД (блок 17).
Возможность достижения технического результата обусловлена представленной последовательностью материальных действий над материальными объектами, которые могут быть реализованы с помощью известных технических средств.
Средства аутентификации элементов ПСС могут быть выполнены в программном или аппаратно-программном виде на базе известных технологий. Взаимодействие сервера БД КП и АРМ администраторов организуется с помощью аппаратно-программных средств на основе клиент-серверных технологий. Предварительное формирование исходных данных для контроля реализуется на основе требований к функциям безопасности информации для соответствующего типа АСО, а также баз данных уязвимостей вирусных сигнатур и сигнатур компьютерных атак. Фиксация значений КП осуществляется с помощью известных средств протоколирования (файлов регистрации или log-журналов), встроенных в АСО при непосредственном доступе к АСО,
или удаленно - с применением сетевых протоколов контроля и управления SNMP и DCP. Оценка состояния каждого комплекта АСО может быть реализована на основе математической информатики путем построения и сравнения двоичных матриц вычисленных и требуемых значений частных показателей безопасности.
Список литературы
1. Макаренко С.И. Описательная модель сети связи специального назначения // Системы управления связи и безопасности. 2017. № 2. С.113-164.
2. Легков К.Е., Левко И.В., Оркин В.В. Методика адаптивного управления информационной системой критически важных объектов в условиях массовых возмущений // T-Comm: Телекоммуникации и транспорт. 2018. Том 12. №11. С. 51-56.
3. Лепешкин О.М., Пермяков А.С., Шуравин А.С. Подход к решению задачи оценки информационной безопасности объектов объединенной автоматизированной цифровой сети связи // Состояние и перспективы развития современной науки по направлению «Информационная безопасность». Сборник статей II Всероссийской научно-технической конференции. Федеральное государственное автономное учреждение «Военный инновационный технополис «ЭРА». Анапа, 2020. С. 175-181.
4. Шуравин А.С., Лепешкин О.М., Курило А.М. Анализ сетей связи специального назначения с точки зрения угроз безопасности информации // Радиолокация, навигация, связь. Сборник трудов XXV Международной научно-технической конференции, посвященной 160-летию со дня рождения А.С. Попова. В 6-ти томах. 2019. С. 90-93.
Лепешкин Олег Михайлович, д-р техн. наук, доцент, lepechkin1@yandex.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С.М. Буденного,
Шуравин Андрей Сергеевич, адъюнкт, and.shuravinayandex.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С.М. Буденного,
Титов Сергей Владимирович, слушатель, titov.salist.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С.М. Буденного,
Штефан Денис Владимирович, слушатель, intafy. ltybcamail.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С.М. Буденного,
Манаков Кирилл Олегович, слушатель, kirillmanakova mail.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С.М. Буденного
METHODOLOGY FOR INFORMATION SECURITY CONTROL OF A DISTRIBUTED
COMMUNICA TION CENTER
O.M. Lepeshkin, A.S. Shuravin, S.V. Titov, D.V. Stefan, K.O. Manakov
A methodology _ for monitoring and managing information security of a distributed communication center has been developed, which consists in a comprehensive assessment of the security of a controlled system based on individual security characteristics of a set of its elements. A systematic approach to assessing and organizing the security o f the considered infocommunication network of a communication center corresponds to the hierarchical security management system adopted and actively used at present in most state organizations and industrial enterprises of the Russian Federation.
Key words: communication security, monitoring, information and telecommunication system, control, telecommunication equipment.
289
Lepeshkin Oleg Mikhailovich, doctor of technical sciences, docent, lep-echkin1@yandex.ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny,
Shuravin Andrey Sergeevich, adjunct, and. shuravin@yandex. ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny,
Titov Sergey Vladimirovich, listener, titov.s@list.ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny,
Shtefan Denis Vladimirovich, listener, intafy. ltyhcamail. ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny,
Manakov Kirill Olegovich, listener, kirillmanakov a mail.ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyon-ny
УДК 347.214.21; 004:338
ВОЗМОЖНОСТИ ТЕХНОЛОГИИ БЛОКЧЕЙН ДЛЯ СОВЕРШЕНСТВОВАНИЯ СИСТЕМЫ РЕГИСТРАЦИИ НЕДВИЖИМОСТИ В РОССИИ
И.А. Басова
Рассматриваются возможности повышения достоверности информации, содержащейся в Едином государственном реестре недвижимости через применение многофункциональной и многоуровневой информационной технологии блокчейн, предназначенной для надежного учета различных активов.
Ключевые слова: реестр недвижимости, кадастровая информация, достоверность информации, межведомственное взаимодействие, информационные технологии, технология блокчейн, базы данных, смарт-контракты.
C 2007 года развивается и совершенствуется Единый государственный реестр недвижимости (ЕГРН), являющийся единственным законным инструментом идентификации и регистрации физических характеристик и признаков недвижимого имущества. Этот реестр является особым правовым и информационным пространством для представления сведений об объектах недвижимости, об их правообладателях со стороны органов власти и иных ведомств и лиц. Предоставляемые данные сведения должны отвечать критериям актуальности, легитимности и полноценности информации, совершенствоваться как законодательно, так и разработкой новых информационных технологий для соответствующей передачи данных, их хранения и обеспечения безопасности и защиты персональных данных. [1, 2, 3].
Стратегия развития информационно-телекоммуникационных технологий в Российской Федерации для обеспечения информационного обмена между информационными системами при предоставлении государственных и муниципальных услуг, документов (сведений) и исполнения государственных и муниципальных функций в электронной форме детально регулируется нормативно-правовой базой [3, 4, 5, 6].
Ядром глобальной информационно-телекоммуникационной системы является инфраструктура системы межведомственного электронного взаимодействия, для которой разработаны и определены базовые технологические стандарты и решения, классификаторы и форматы структур данных.
