CC BY
42
Актуальные проблемы авиации и космонавтики. Информационные технологии
Объект информатизации. Факторы, воздействующие на информацию. Общие положения»). Также могут быть использованы категории нарушителей или иной способ разделения нарушителей на группы согласно выбранной модели, категорий средств защиты информации.
При моделировании угроз безопасности могут быть задействованы и способы анализа риска, такие как выбор актуальных угроз. При этом выбранный способ должен базироваться на трех критериях (ГОСТ Р ИСО/МЭК 13335-3 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»): вероятность возникновения угроз, потери от реализации угроз, время восстановления системы.
Учитывается, что деструктивное воздействие может привести:
• к нарушению конфиденциальности информации (копированию или несанкционированному распространению), при реализации угроз не осуществляется непосредственного воздействия на содержание информации;
• к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение информации или уничтожение;
• к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИС, в результате которого осуществляется блокирование информации;
• к потере подотчетности пользователей системы или субъектов, действующих от имени пользователя;
оценить потери подотчетности особенно важно в распределенных системах;
• к потере аутентичности данных;
• к потере достоверности систем.
Рассмотрев возможный ущерб от потери конфиденциальности, целостности, доступности, подотчетности, аутентичности, доступности, необходимо принять решение о том, будет ли общий ущерб от каждого вида проблем серьезным или незначительным Ущерб от потери каждого вида проблем может значительно колебаться для разных периодов времени.
Возникновение угрозы способно привести систему в незащищенное состояние. Ценность системы может быть определена экспертным путем на основании возможных последствий ее незащищенного состояния по стандарту BSI Standard 100-2. Grundschutz Methodology. Сочетанием вероятности возникновения и оценки воздействия угрозы рассчитывается мера риска, позволяющая сравнить угрозы и выстроить по приоритетности.
С применением приведенной методики формирования угроз могут быть решены задачи разработки частных моделей угроз безопасности информации в конкретных системах с учетом их назначения, условий и особенностей функционирования. Целью такого моделирования является контроль уровня защищенности ИС методами анализа риска и разработка эффективной системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз соответствующими защитными мерами.
© Бондарь И. В., Кузнецов М. А., Паклина А. А., 2012
УДК 669.713.7
А. В. Вашкевич Научный руководитель - В. А. Чалкин Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
НАХОЖДЕНИЕ НЕЛИНЕЙНОСТИ БУЛЕВОЙ ФУНКЦИИ С ПОМОЩЬЮ ПРЕОБРАЗОВАНИЯ УОЛША
Рассматривается основная информация об аффинных функциях, метод подсчёта нелинейности стандартным способом, метод вычисления нелинейности с помощью быстрого преобразования Уолша.
Линейной называется булева функция аналитического вида
= а,
Li"J
ф i$ ,,, ф С*= Zf£o С,
где дг. ,,, .й,,^ £ (0,13 ~ произвольные значения 0 или 1. Множество всех линейных функций от П переменных обозначим £
Нелинейностью булевой функции называется минимальное расстояние от этой функции до множества аффинных функций: = т1ц; 5 ^ ¿1{/-с'). Она показывает, насколько хорошо функция аппроксимируется линейными приближениями, другими словами,
насколько хорошо можно подобрать такую линейную функцию, которая с большой вероятностью (при большом количестве различных значений входных переменных) будет давать то же значение, что и данная функция.
Нелинейность битового блока замен (представляющего себя набор из т булевых функций, каждая из которых задает зависимость определенного бита на выходе блока от значений бит на входе) - есть важнейшая его характеристика с точки зрения крипто-стойкости блока: она показывает степень устойчивости внутренней структуры блока к линейному методу криптоанализа.
Автором предложен метод вычисления нелинейности булевой функции, основанный на быстром пре-
Секция «Методы и средства зашиты информации»
образовании Уолша. Разработанный алгоритм программно реализован и может применяться для исследования криптостойкости алгоритмов блочного шифрования.
Библиографические ссылки
1. Чалкин Т. А. О перспективах исследований шифрования по алгоритму ГОСТ 28147-89 с использованием подхода, основанного на теории булевых функций // Актуальные проблемы безопасности ин-
формационных технологий : матер. IV Междунар. науч.-практич. конференции / под общей ред. О. Н. Жданова, В. В. Золотарева; СибГАУ. Красноярск, 2011. С. 17-19.
2. Mister S., Adams C. Practical S-box design // Proc. Workshop in selected areas of cryptography. SAC'96. 1996. 17 p.
© Вашкевич А. В., 2012
УДК 004.056
А. И. Верхорубов Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
О ПРОБЛЕМЕ АНАЛИЗА ИНТЕГРИРОВАННЫХ РЕЗУЛЬТАТОВ РАБОТЫ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Рассматривается применение самоорганизующихся карт Кохонена в задаче кластерного анализа интегрированных результатов работы средств защиты информации.
Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности (ИБ), имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ.
Под событием ИБ понимается идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [1].
Небезопасные события, происходящие внутри автоматизированной системы фиксируются сразу несколькими средствами защиты информации (СЗИ): антивирусные программы; средства защиты от несанкционированного доступа (НСД); межсетевые экраны; модули создания виртуальных частных сетей (VPN); средства обнаружения/предотвращения вторжений (IDS/IPS); различные средства обеспечения целостности и конфиденциальности информации; модули идентификации и аутентификации; средства комплексного обеспечения безопасности.
Различные инциденты информационной безопасности, зафиксированные средствами защиты, фиксируются в журналах безопасности, специальных для каждого средства защиты: журналы регистрации событий операционных систем серверов и рабочих станций; журналы регистрации событий приложений (например, веб-серверов, серверов баз данных); журналы регистрации событий средств безопасности (например, антивирусных программ, средств контроля изменений, систем выявления/предотвращения вторжений); журналы регистрации событий внешнего прокси-сервера; журналы регистрации событий приложений конечного пользователя.
При этом возникает проблема децентрализованно-сти, так как каждое СЗИ хранит данные в своей сис-
теме. Также существует проблема анализа самих инцидентов, ввиду того, что каждое средство защиты использует свой формат для хранения полученных данных, а также из-за очень большого количества информации в самих журналах.
Если проблему децентрализованности можно решить, перенаправив файлы на отдельный сервер, то проведение анализа интегрированных результатов работы СЗИ все равно остается трудным процессом из-за сложности инфраструктуры и большого количества инцидентов, и требует применение дополнительных инструментов анализа. Соответственно возникает проблема, при помощи какого инструмента анализа не просто учитывать сам факт возникновения инцидента, но и понять суть проблемы. Организовать многомерные наблюдаемые данные в наглядные структуры возможно с помощью методов кластерного анализа.
Под кластерным анализом понимается задача разбиения исходных данных на поддающиеся интерпретации группы, таким образом, чтобы элементы, входящие в одну группу были максимально «схожи» (по какому-то заранее определенному критерию), а элементы из разных групп были максимально "отличными" друг от друга. При этом число групп может быть заранее неизвестно, также может не быть никакой информации о внутренней структуре этих групп.
Преимущества кластеризации при решении задачи анализа интегрированных результатов работы СЗИ следующие:
• уменьшение объема информации о зарегистрированных инцидентах ИБ. Фактически количество данных остается тем же, но наглядно и визуально объем уменьшается. Возможно представление многомерных результатов в формах меньшей размерности;
• решение задачи классификации инцидентов ИБ по разным параметрам. Возможна совместная классификация инцидентов, зарегистрированных различными СЗИ в разных форматах;
