CC BY
29Решетнеескцие чтения. 2015
регламентируют процесс повышения осведомленности пользователей в вопросах информационной безопасности как один из основополагающих процессов обеспечения информационной безопасности предприятия.
Библиографические ссылки
1. Соколов М. М. Алгоритм формирования корректирующих и превентивных мероприятий в системе прецедентного анализа инцидентов информационной безопасности. Красноярск, 2015. 87 с.
2. Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology [Электронный ресурс] // NIST Special Publication 800-61. 2012. 79 с. URL: http://nvlpubs.nist. gov/nistpub s/SpecialPublications/NIST.SP.800-61r2.pdf (дата обращения: 17.08.2015).
3. Обеспечение информационной безопасности организаций банковской системы Российской Федерации : Стандарт Банка России // Вестник Банка России. 2010. № 36-27.
4. Спам и фишинг в первом квартале 2015 года: банки и банковские трояны [Электронный ресурс]. URL: https://business.kaspersky.ru/spam-i-fishing-v-1-m-kvartale-2015-goda-banki-i-bankovskie-troyany/2993/ (дата обращения: 17.08.2015).
5. Спам и фишинг во втором квартале 2015 года. [Электронный ресурс]. URL: https://securelist.ru/
analysis/spam-quarterly/26506/spam-i-fishing-vo-vtorom-kvartale-2015/ (дата обращения: 17.08.2015).
References
1. Sokolov M. M. Algoritm formirovanija korrekti-rujushhih i preventivnyh meroprijatij v sisteme precedentnogo analiza incidentov informacionnoj bezopasnosti. Krasnojarsk: Vypusknaja kvalifikacion-naja rabota SibGAU, 2013. 81 p.
2. Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology // NIST Special Publication 800-61. 2012. Рр. 79. Available at: http://nvlpubs.nist.gov/ nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf (accessed: 17.08.2015).
3. Obespechenie informacionnoj bezopasnosti organizacij bankovskoj sistemy Rossijskoj Federacii [Tekst]: Standart Banka Rossii // Vestnik Banka Rossii. № 36-27, 29.06.2010.
4. Spam i fishing v pervom kvartale 2015 goda: banki i bankovskie trojany. Available at: https://business. kaspersky.ru/spam-i-fishing-v-1-m-kvartale-2015-goda-banki-i-bankovskie-troyany/2993/ (accessed: 17.08.2015).
5. Spam i fishing vo vtorom kvartale 2015 goda. Available at: https://securelist.ru/analysis/spam-quarterly/ 26506/spam-i-fishing-vo-vtorom-kvartale-2015/ (accessed: 17.08.2015).
© Соколов М. М., Жуков В. Г., 2015
УДК 654.028.4
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ УЗЛА СОКРЫТИЕМ В ДИНАМИЧЕСКОЙ
СЕТЕВОЙ ТОПОЛОГИИ*
М. А. Стюгин, Н. Ю. Паротькин, В. В. Золотарев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: NYParotkin@yandex.ru
Рассматривается проблема обеспечения дополнительной нестандартной защиты наземных узлов управления КА сокрытием их местоположения методами динамической сетевой топологии.
Ключевые слова: безопасность узлов управления, динамическая топология, сокрытие.
SECURITY OF NETWORK NODE BY CONCEALING IN DYNAMIC NETWORK TOPOLOGY
M. A. Stugin, N. Y. Parotkin, V. V. Zolotarev
Reshetnev Siberian State Aerospace University 31, KrasnoyarskyRabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: NYParotkin@yandex.ru
The paper considers the problem ofproviding additional non-standard protection of terrestrial satellite control units concealing their location by dynamic network topology.
Keywords: control assembly safety, dynamic topology, concealing.
* Работа поддержана Минобрнауки России в рамках контракта № 14.574.21.0126 от 27.11.2014 г., уникальный инденти-фикатор проекта RFMEFI57414X0126.
Методы и средства защиты информации
На сегодняшний день вопрос защиты наземных узлов управления КА, функционирующих в единой среде сети передачи данных совместно с различными сервисами, при использовании стандартных технологических решений сетевой безопасности является проработанным в достаточной степени, но их использование дает внутреннему злоумышленнику определенный базис для попыток эксплуатации присущих им уязвимостей. Для снижения риска реализации стандартных атак по обходу средств защиты является целесообразным применение дополнительных мер, основанных на информационном сокрытии защищаемых узлов с сохранением базовой сетевой функциональности, тем самым затрудняя их обнаружение.
Авторами предлагается использовать для сокрытия защищаемых улов динамическое изменение их местоположения на различных уровнях топологии вычислительной сети управлением маршрутизацией и коммутацией трафика между ними, а также соответствующий смены ^-адресов и идентификаторов. Для распределения динамики в сетевой топологии и оповещения хостов относительно таблиц маршрутизации до узлов назначения можно выделить централизованную схему, частично централизованную схему и децентрализованную схему управления динамикой маршрутизации в локальной сети. В централизованной схеме все управление динамикой маршрутизации определяется из единого центра, например в программно-конфигурируемых сетях, или заранее заложенными алгоритмами динамики системы в клиентских приложениях. Данный подход, названный методом защиты цели (MTD), и частично его практические реализации представлены в [1-3]. Большей безопасностью за счет адаптации к текущему окружению и его использованию для маски-
ровки обладают децентрализованные схемы, где каждый узел в отдельности самостоятельно решает, какие из соседних узлов использовать в качестве промежуточных звеньев для доставки данных адресату. Подробно данный подход описан в [4], но автор не приводит способ его практической реализации.
Для проверки применимости различных схем динамических топологий в системах защиты узлов управления КА авторами было предложено две схемы реализации на базе стандартного коммуникационного оборудования, обеспечивающего взаимосвязь и функционирование сетевых сегментов.
Реализация централизованной схемы осуществлялась на основе сегментации сети на канальном уровне при помощи динамических VLAN и назначения адресов подсетей в соответствии с алгоритмом, заложенным в клиентское ПО. Алгоритм функционирования клиентов в такой сети приведен на рисунке. Узлы, вовлеченные в данную сеть, должны иметь дуплексное подключение к портам центрального коммутатора уровня 3 или использовать транзитное подключение через коммутаторы L2, соединенные напрямую с центральным, тем самым образуя топологию типа звезды. Кроме того, необходимо, чтобы все коммутационные устройства поддерживали протокол MSTP, что позволит при указанных ограничениях сразу переводить порты коммутационных узлов в состояние продвижения пользовательского трафика после переавторизации и смены VLANID порта. Динамическое изменение месторасположения узла относительно других VLAN на канальном уровне и принадлежности к определенной подсети на сетевом уровне делает атаку на конкретный узел в период до смены принадлежности более сложной.
Алгоритм функционирования сети на базе централизованной схемы
Решетнееские чтения. 2015
Данная схема была реализована на лабораторном стенде, состоящем из коммутатора L3 и 4 узлов с функционирующим ПО, реализующим алгоритм, представленный на рис. 1. Измеренное время, необходимое для перестроения сети при каждой итерации, составило 6-7 сот начала авторизации на RADIUS-сервере до установления соединения TCP.
Для реализации децентрализованной схемы авторами предлагается использовать и-кратную ретрансляцию защищаемой информации через групповую рассылку UDP-сообщений с данными, зашифрованными на основе алгоритма разделения секрета [5]. Количество пересылок, порядок смен используемых адресов групп и динамическая принадлежность узла к вещанию в определенной мультикаст-группе будет определяться аналогичным алгоритмом, реализованным в клиентском ПО. Кроме того, на базе данной реализации возможно, используя методы стеганографии, скрывать управляющую информацию небольшого объема в мультимедиатрафике, передаваемом аналогичным способом.
Надежность функционирования созданной динамической сети будет оцениваться по методикам ITU-T Y.1564, RFC 2544, RFC 6349, а ее безопасность по уровню защиты от проникновения - согласно OSSTMM 3, BSI, NISTSP 800-115.
На текущем этапе исследований были сформулированы алгоритмы для реализации двух схем защиты узлов управления КА в сетевой инфраструктуре на основе динамической сетевой топологии. Полученные тестовые результаты на основе реализации алгоритма в клиентском ПО позволяют рассматривать данный метод сокрытия узла как дополнительный способ защиты, позволяющий затруднить эксплуатацию уяз-вимостей на защищаемом узле и повысить вероятность обнаружения злоумышленника на раннем этапе реализации атаки.
Библиографические ссылки
1. Moving Target Defense. Creating Asymmetric Uncertainty for Cyber Threats. Series: Advances in Information Security, 2011 / S. Jajodia [et al.]. 184 p.
2. Carroll T. E., Crouse M., Fulp E. W., Berenhaut K. S. Analysis of network address shuffling as a moving target defense // IEEE Intern. Conf. on Communications, ICC. 2014. P. 701-706.
3. DeLoach S. A., Ou X., Zhuang R., Zhang S. Model-driven, moving-target defense for enterprise network security. Dagstuhl Seminar 11481 on Models@run.time. LNCS, 2014. P. 137-161.
4. Al-Shaer E., Duan Q., Jafarian J. H. Random host mutation for moving target defense // 8th International ICST Conference on Security and Privacy in Communication Networks, SecureComm 2012. LNICS, 2013. Vol. 106. P. 310-327.
5. Парватов Н. В. Совершенные схемы разделения секрета // Прикладная дискретная математика. 2008. № 2. С. 50-58.
References
1. Moving Target Defense. Creating Asymmetric Uncertainty for Cyber Threats. Series: Advances in Information Security, 2011 / S. Jajodia, A. K. Ghosh, V. Swarup, C. Wang, X. S. Wang. 184 p.
2. Carroll T. E., Crouse M., Fulp E. W., Berenhaut K. S. Analysis of network address shuffling as a moving target defense. 2014 IEEE International Conference on Communications, ICC 2014, P. 701-706.
3. DeLoach S. A., Ou X., Zhuang R., Zhang S. Model-driven, moving-target defense for enterprise network security // Dagstuhl Seminar 11481 on Models@run.time. LNCS, 2014. P. 137-161.
4. Al-Shaer E., Duan Q., Jafarian J. H. Random host mutation for moving target defense // 8th International ICST Conference on Security and Privacy in Communication Networks, SecureComm 2012; Vol. 106 LNICS, 2013. Pр. 310-327.
5. Parvatov N. V. Sovershennye skhemy razdeleniya sekreta // Prikladnaya diskretnaya matematika. 2008. № 2. S. 50-58.
© Стюгин М. А., Паротькин Н. Ю., Золотарев В. В., 2015
УДК 004.056
ПРИМЕНЕНИЕ КОНЕЧНЫХ АВТОМАТОВ В ЗАДАЧАХ ДИНАМИЧЕСКОГО ТЕСТИРОВАНИЯ ПРОГРАММНОГО КОДА*
О. В. Тестов, В. В. Золотарев1
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: :amida.2@yandex.ru
Описан подход к реализации динамического тестирования программного кода. Использована и протестирована методика на основе конечных автоматов. Оценены варианты реализации лексического и синтаксиче-
* Работа выполнена в рамках гранта Президента молодым российским ученым - кандидатам наук, договор № 14.Z56.15.6012 от 16.02.2015 г.
