CC BY
35информационная безопасность information security
П. Н. Башлы, В. Ф. Вербов
обеспечение информационной безопасности при таможенном контроле с применением инспЕкционно-Досмотровых комплексов
В статье рассматривается проблема обеспечения информационной безопасности при таможенном осмотре с использованием инспекционно-досмотровых комплексов. Показаны возможные способы минимизации рисков нарушения информационной безопасности при передаче информации в распределенных информационных системах с использованием криптографических методов ее защиты, в том числе для обеспечения достоверности, целостности и конфиденциальности информации.
Ключевые слова: инспекционно-досмотровый комплекс; рентгеновское изображение; анализ информации; информационная безопасность; функция хеширования; криптографическая защита информации; электронная подпись.
P. N. Bashly, V. F. Verbov
ensuring information security during customs control with the use of cargo inspection facilities
The article deals with the problem of ensuring information security during customs examination using cargo inspection facilities. Possible ways to minimize the risks of information security violations when transmitting it in distributed information systems using cryptographic methods of its protection to ensure information reliability, integrity and confidentiality are shown.
Keywords: cargo inspection facilities; X-ray image; information analysis; information security; hash function; cryptographic information protection; electronic signature.
Одной из основных функций таможенных органов является проведение таможенного осмотра товаров и транспортных средств, перемещаемых через таможенную границу государства, без их вскрытия и нарушения целостности. Он направлен на предупреждение и пресечение нарушений норм международного, союзного и национального законодательства в сфере таможенного регулирования.
Таможенный осмотр может проводиться таможенным инспектором как без применения, так и с применением технических средств таможенного контроля, которые соответствующим образом обеспечивают визуализацию внутренней структуры осматриваемого объекта и информируют инспектора о его особенностях. К таким техническим средствам относятся инспекционно-досмотровые комплексы (ИДК).
В таможенной практике ИДК нашли широкое применение, поскольку они в течение всего нескольких минут формируют рентгеновские (теневые) изображения как самих крупногабаритных объектов, так и перевозимых в них товаров. Эти изображения впоследствии выводятся на рабочий экран оператора анализа инфор-
мации (АИ) ИДК и позволяют ему идентифицировать перевозимые товары и конструкционные узлы объектов контроля, обнаруживать в них тайники и предметы, запрещенные к перевозке, а также проводить ориентировочную оценку объема перевозимого груза, его веса и местонахождения внутри транспортного средства [1].
Следует отметить, что данная задача является весьма ответственной и сложной, а эффективность ее решения зависит от ряда факторов, в том числе от качества исходного рентгеновского изображения (теневого снимка) и подготовки оператора АИ.
В соответствии с установленными в таможенных органах правилами все снимки сохраняются в ИДК для их дальнейшего применения. Так, например, в новых ИДК российского производства (ООО «Скантроник Системс») согласно эксплуатационно-технической документации компьютерная система ИДК включает сервер сбора и хранения информации на базе программного сервера с дисковыми RAID-массивами, функционирующего под управлением операционной системы ОС Microsoft версии Windows 2012 или старше. Емкость памяти сервера хранения базы данных составляет порядка 16 ТБ, что обеспечивает хранение в течение года не менее 100 000 изображений, размер которых примерно 160 МБ, в устройстве хранения и архивирования [2].
Основными функциями обработки изображений, реализуемыми в рабочей станции анализа изображений, являются:
- автоматическая и ручная регулировка яркости изображения;
- автоматическая и ручная регулировка контрастности изображения;
- динамическое управление контрастной чувствительностью на выбранной оператором области изображения;
- отображение рентгеновского изображения в негативе;
- представление рентгеновского изображения в широком диапазоне цветов и оттенков (псевдоцвета);
- плавное 16-кратное увеличение выбранной оператором области изображения;
- выделение границ и переходов для улучшения изображения;
- маркировка интересующих оператора областей изображения с возможностью ввода комментариев к каждой области;
- возможность применения программных инструментов анализа для каждой маркированной области независимо и различно от инструментов, которые применены к основному изображению;
- отображение масштабной линейки в горизонтальной и вертикальной плоскостях для оценки линейных размеров;
- оценка веса груза по выделенной области;
- распознавание материалов контролируемого объекта по эффективному атомному номеру с соответствующим окрашиванием на экране монитора.
Очевидно, что такой функционал вторичной обработки изображений (особенно возможность 16-кратного увеличения выбранной оператором области изображения) исходного снимка может быть реализован только при соответствующем его качестве, определяемом разрешением сканирования и глубиной цвета графического файла при его оцифровке. Поэтому следует ожидать, что графический файл, сформированный на выходе сканера ИДК, может иметь очень большой размер. Так, например, размер широкоформатного файла качества 4К (UltraHD) с соотношением сторон 16:9 и разрешением 3 840 х 2 160 пикселей при глубине цвета 24 бита составит примерно 24 МБ.
Именно поэтому при формировании файла рентгеновского снимка, полученного от ИДК, используются графические форматы файлов со сжатием, чаще всего алгоритм сжатия Jpeg с потерей качества изображения. Применение этого алгоритма позволяет уменьшить размер файла на порядок и даже более, но при этом качество изображения ухудшается. В связи с этим возникает актуальная задача исследования допустимого сжатия исходного файла с рентгеновским снимком для обеспечения допустимого соотношения «качество/размер файла» применительно к задачам таможенных органов. При проведении таких исследований необходимо исходить из такой базовой характеристики изображения, как минимально различимый на изображении объект, который требуется распознать оператору [3]. Также следует учесть, что в перспективе распознавание объектов на рентгеновских снимках может осуществляться в автоматическом режиме, что потребует пересмотра упомянутой выше базовой характеристики изображения.
Такой набор инструментов вторичной обработки исходного снимка может существенно его исказить и привести к потере первичной информации. В связи с этим возникает задача сохранения сканированного изображения в исходном (эталонном) виде для хранения в базе данных. Обеспечение достоверности и эталонности каждого снимка, полученного с ИДК, в локальной информационной системе не является тривиальной задачей, поскольку всегда сохраняется возможность внесения несанкционированных изменений в исходное изображение оператором рабочей станции анализа изображений и его сохранения в качестве эталонной копии. Поэтому ИДК и его компьютерная система должны быть оснащены дополнительными инструментами, гарантирующими достоверность и целостность эталонного снимка ИДК.
П. Н. Афонин отмечает, что сложность подтверждения «оригинальности» пересылаемого изображения файла ИДК затрудняет использование стандартного файла ИДК в качестве первичной информационной единицы, поскольку как в исходный файл в месте его формирования, так и при передаче по сетям связи в его содержимое могут быть внесены несанкционированные изменения [4]. С учетом этого файл с эталонным рентгеновским снимком ИДК должен быть снабжен соответствующими степенями защиты.
Для решения этой задачи предлагаются различные подходы, один из которых -формирование эталонных файлов рентгеновских снимков с персональной информацией, включающей характеристики оборудования с серийным номером ИДК, GPS-координаты места сканирования, уровень энергии, на котором осуществлялось сканирование, и другие, например, для повышения ответственности персонала ИДК включение информации об операторе АИ, выполнившем сканирование объекта. Обязательным параметром файла должны стать метки времени начала и окончания сканирования объекта, полученные, например, от системы единого времени или системы определения координат (ГЛОНАСС или GPS), а не от системы времени ИДК. Поэтому такой гибридный файл должен формироваться автоматически, независимо от оператора, и храниться в неизменном виде, а в дальнейшем стать первоисточником для вторичной обработки оператором, группой независимых операторов или оператором вышестоящего таможенного органа.
Следовательно, в настоящее время возникают две относительно независимые задачи, связанные с безопасностью информации, содержащейся в рентгеновских снимках ИДК:
1) обеспечить достоверность и целостность информации в локальной информационной системе ИДК начиная с момента фактического формирования снимка;
2) обеспечить достоверность, целостность и конфиденциальность информации при информационном обмене снимками между таможенными органами, а в перспективе - и международными таможенными администрациями.
При этом решение указанных задач информационной безопасности должно осуществляться, на наш взгляд, в неразрывной взаимосвязи с оценкой угроз на основе риск-ориентированного подхода.
Основной угрозой информационной безопасности в первой задаче, очевидно, являются преднамеренные или непреднамеренные действия легального пользователя (оператора АИ), которые могут привести к нарушению достоверности первичной информации на рентгеновских снимках ИДК. Для минимизации риска реализации непреднамеренной угрозы нарушения информационной безопасности, например случайного удаления файла или внесения в него случайных изменений, обусловленных низкой компетентностью оператора, необходимо непрерывно реализовывать мероприятия по повышению профессионального мастерства операторов ИДК, в том числе путем повышения квалификации.
Для минимизации риска реализации преднамеренной угрозы нарушения информационной безопасности, например намеренное сокрытие важной с точки зрения таможенного контроля информации на снимке ИДК в локальной информационной системе, необходимо максимально автоматизировать работу комплекса, а часть операций, например формирование эталонного снимка с дополнительной информацией, должна быть реализована исключительно в автоматическом режиме. Однако это не исключает возможности последующего изменения эталонного снимка или создания нового рентгеновского снимка взамен нежелательного. С этой целью в локальной информационной системе может быть программно реализована система хранения первичной информации, обеспечивающая достоверность и целостность информации, основанная на известных технологиях криптографических преобразований. Например, после автоматического формирования эталонного рентгеновского снимка информационная система также автоматически формирует хеш-сумму снимка, которая является уникальной и однозначно соответствующей данному снимку. В отличие от размера самого снимка хеш-сумма имеет фиксированный размер, например 256 или 512 бит [5].
Все дальнейшие несанкционированные изменения эталонного снимка могут быть выявлены путем повторного вычисления хеш-суммы этого снимка и ее сравнения с первичной хеш-суммой. В этом случае возникает новая задача безопасного хранения эталонной или первичной хеш-суммы снимка, которая, как отмечается, в отличие от самого снимка имеет небольшой размер и может быть оперативно передана в вышестоящий таможенный орган.
Если такой возможности не предусмотрено, а ИДК информационно функционирует полностью автономно, то в информационной системе ИДК может быть организовано локальное хранилище хеш-сумм формируемых снимков, позволяющее только записывать информацию. Тогда история формирования хеш-сумм полностью будет отражать историю формирования рентгеновских снимков ИДК и обеспечит проверку достоверности и целостности файлов рентгеновских снимков, хранимых в информационной системе ИДК.
Еще более сложная, но, вместе с тем, более надежная система хранения эталонной информации в локальной информационной системе ИДК может быть реализована в виде локальной цепочки блоков хранения информации по примеру популярной технологии блокчейн, или системы распределенных реестров. Здесь корректнее будет сказать, что может быть использован только один элемент этой технологии, поскольку локальная информационная система ИДК не является распределенной информационной системой.
Как и ранее, информационная система ИДК автоматически вычисляет хеш-сумму первого эталонного рентгеновского снимка ИДК, однако в отличие от предыдущей схемы хранения, когда система только сохраняет хеш-сумму этого эталонного снимка, в этой системе хеш-сумма первого снимка может быть добавлена ко второму эталонному ренгеновскому снимку ИДК, а хеш-сумма второго снимка будет автоматически вычисляться с учетом хеш-суммы первого снимка, далее хеш-сумма третьего эталонного снимка ИДК будет вычисляться с учетом хеш-суммы второго снимка и т. д. Таким образом, в локальной системе будет создана однозначно взаимосвязанная система хеш-сумм эталонных рентгеновских снимков конкретного ИДК.
Даже если каким-то образом отдельный эталонный снимок ИДК будет несанкционированно изменен и при этом будет реализована подмена его хеш-суммы в системе, то эти изменения отразятся на сформированной цепочке блоков, и чем больше блоков будет в системе, тем сложнее будет пересчитать всю цепочку блоков, т. е. подменить всю цепочку блоков.
Значительный эффект от применения технологии распределенных реестров для обеспечения достоверности и целостности информации может быть достигнут только в случае ее реализации в распределенной информационной системе, например в рамках Федеральной таможенной службы (ФТС России), когда информация о цепочке блоков будет храниться не только на локальном ИДК, но и на множестве узлов информационной системы. Этот вопрос требует дополнительных исследований и является перспективным для решения широкого круга задач, стоящих перед таможенными органами.
Проведение анализа полученных с применением ИДК изображений в таможенных органах Российской Федерации (РФ) - это сложная многоуровневая система, включающая не только осуществление таможенного осмотра с ИДК в пункте пропуска, но и последующий дополнительный контроль снимков рентгеновского сканирования на уровнях таможни и регионального таможенного управления, в том числе принятие мер по контролю за товарами, отсканированными с использованием ИДК, и их последующим движением [3].
Передача снимков ИДК может быть также связана с необходимостью их повторного анализа, осуществляемого в целях контроля за решениями, принятыми операторами АИ [6], в том числе и потому, что у вышестоящих таможенных органов имеется возможность использовать иные (помимо рентгеновских снимков и отсканированных документов) источники информации для проведения анализа изображений, относящиеся к конкретной товарной партии:
- электронные базы данных;
- фотоархивы таможенных досмотров;
- снимки аналогичных транспортных средств и товаров;
- снимки одних и тех же транспортных средств, полученных с применением ИДК в разное время, в том числе в различных пунктах пропуска;
- руководства по эксплуатации транспортных средств;
- информация производителей товаров;
- данные информационной сети «Интернет»;
- собственные аналитические материалы и т. д.
Указанные обстоятельства повышают эффективность проведения анализа снимков рентгеновского сканирования, но при этом неизменной остается задача обеспечения достоверности исходных рентгеновских снимков ИДК, поскольку они являются первоисточником информации.
Рассмотрим проблемные вопросы обеспечения информационной безопасности для распределенных информационных систем, в которых ИДК является узлом информационной системы.
В настоящее время реализуется ряд новых технологий таможенного контроля и таможенного оформления, предполагающих централизацию (концентрацию) оформления в центрах электронного декларирования (электронных таможнях) и децентрализацию контроля, когда документальный контроль осуществляется одним таможенным органом, а фактический (физический) контроль, в том числе с использованием ИДК, - другим таможенным органом. В этом случае возникает задача передачи снимков ИДК по информационным сетям в ведомственной информационной системе, а в ряде случаев и необходимость международного информационного обмена снимками ИДК.
Ранее уже отмечалось, что основными угрозами таких информационных взаимодействий с точки зрения информационной безопасности, в первую очередь, являются нарушения достоверности, целостности и конфиденциальности передаваемой информации. Вместе с тем требуют внимания проблемы обеспечения и других составляющих информационной безопасности, например подотчетности, аутентичности и неотказуемости [7].
Практика применения в таможенных органах РФ электронной подписи при электронном документообороте частично обеспечивает минимизацию рисков нарушения информационной безопасности по таким ее составляющим, как целостность и подотчетность. Схема применения электронной подписи в рамках асимметричной криптосистемы показана на рисунке.
Процесс передачи информации с использованием электронной подписи можно представить в несколько этапов.
Этап 1. Данные, которые подлежат проверке на целостность на приемной стороне (например, файл с рентгеновским снимком ИДК), на передающей стороне преобразуются с использованием известной хеш-функции. Результатом применения хеш-функции1 к передаваемым данным является хеш-сумма (хеш).
Для отечественных средств создания электронной подписи используется хеш-функция, описанная в ГОСТ 34.11-2012, в котором предусмотрены варианты хеш-кода2 256 бит и 512 бит [5].
1 Хеш-функция - это функция, отображающая строки бит исходных данных в строки бит фиксированной длины и удовлетворяющая следующим свойствам [5]: по данному значению функции сложно вычислить исходные данные, отображаемые в это значение; для заданных исходных данных сложно вычислить другие исходные данные, отображаемые в то же значение функции; сложно вычислить какую-либо пару исходных данных, отображаемых в одно и то же значение.
2 Хеш-код - строка бит, являющаяся выходным результатом хеш-функции.
Данные
Данные
Рис. Взаимодействие с использованием электронной подписи
Этап 2. Формирование электронной подписи. Полученная хеш-сумма шифруется закрытым ключом отправителя и добавляется к передаваемым данным, т. е. результатом этого этапа является электронный документ с электронной подписью, передаваемый по каналам связи. Электронные подписи в отечественных средствах защиты информации соответствуют ГОСТ Р 34.10-2012 [8], в котором описаны процессы формирования и проверки подписи1.
Этап 3. Из полученного на приемной стороне электронного документа извлекается электронная подпись и подвергается криптографическим преобразованиям с использованием открытого ключа. Результатом этого этапа становится извлечение хеш-суммы, сформированной на передающей стороне.
Э т а п 4. Полученный электронный документ без электронной подписи подвергается хешированию в соответствии с выбранной хеш-функцией. Результатом является хеш-сумма, сформированная из полученного документа на приемной стороне.
Э т а п 5. Если переданная хеш-сумма (хеш_П) совпадает с вычисленной на примерной стороне (хеш_В), то целостность документа подтверждается, а данные сертификата электронной подписи2 удостоверяют отправителя. Очевидно, что электронная подпись является одним из инструментов обеспечения информационной безопасности, используемым для проверки лица, подписывающего информацию, а также обеспечения целостности передаваемой информации.
Для обеспечения конфиденциальности передаваемой информации файл со снимком ИДК может быть предварительно перед передачей по информационной сети зашифрован, однако, учитывая, что внутриведомственный информационный обмен между таможенными органами осуществляется по защищенным
1 Процесс формирования подписи - процесс, в качестве исходных данных которого используются сообщение (данные), ключ подписи и параметры схемы электронной подписи (алгоритм), а в результате формируется электронная подпись.
2 Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
криптографическими преобразованиями каналам, такая дополнительная операция может быть и не обязательна.
В описанной системе и технологиях обеспечения информационной безопасности при распределенном информационном взаимодействии остается недостаточно проработанным вопрос обеспечения достоверности передаваемой информации и, что особенно актуально, снимков ИДК, хранящихся на серверах различных таможенных органов. Так, в соответствии с источником [6] информация, получаемая с использованием ИДК, подлежит хранению в системе ИДК, и срок ее хранения равен сроку хранения электронных копий таможенных деклараций.
Для решения этой задачи в дальнейшем могут быть развиты идеи, связанные с реализацией технологии распределенных реестров, ранее частично рассмотренные применительно к локальным информационным системам. Этот вопрос также относится к перспективным.
Таким образом, минимизация рисков нарушения информационной безопасности в информационных системах, используемых в ИДК, может быть обеспечена за счет применения методов криптографических преобразований, которые могут обеспечить требуемые в рассматриваемых информационных системах составляющие информационной безопасности, в том числе конфиденциальность, целостность, достоверность. Кроме того, они позволяют обеспечить важные характеристики самой защищенной информационной системы - подотчетность и неотказуемость.
Использованные источники
1. Мантусов В. Б., Башлы П. Н., Вербов В. Ф, Карасев А. В. Таможенное дело: практика и теория применения инспекционно-досмотровых комплексов: учебник. Ростов н/Д: Российская таможенная академия, Ростовский филиал, 2019. 360 с.
2. Башлы П. Н, Вербов В. Ф, Билько Г. Е. Основы эксплуатации стационарного инспекционно-досмотрового комплекса СТ-6035: учебное пособие. Ростов н/Д: Российская таможенная академия, Ростовский филиал, 2020. 93 с.
3. Многоуровневая система анализа изображений, полученных с применением инспек-ционно-досмотровых комплексов [Электронный ресурс]. URL: http: // yutu.customs. ru/mdex.php?option=com_content&view=article&id=20934:2011-10-12-09-41-50&cat id=122:2011-09-18-19-14-39.
4. Афонин П. Н. Обмен файлами изображений, полученных с помощью ИДК, как ключевой элемент взаимного признания результатов таможенного контроля в странах - членах Всемирной таможенной организации // Ученые записки Санкт-Петербургского имени В. Б. Бобкова филиала Российской таможенной академии. 2016. № 3 (59). С. 8-11.
5. ГОСТ 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования. Введ. 2013-01-01. М.: Стандартинформ, 2012. 34 с.
6. Приказ ФТС России от 09.12.2010 № 2354 (ред. 09.11.2019) «Об утверждении Инструкции о действиях должностных лиц таможенных органов при таможенном контроле товаров и транспортных средств с использованием инспекционно-досмотровых комплексов» [Электронный ресурс] // Официальный интернет-портал правовой информации. URL: http://www.pravo.gov.ru.
7. Башлы П. Н. Основы информационной безопасности в таможенных органах Российской Федерации: учебник. Ростов н/Д: Российская таможенная академия, Ростовский филиал, 2014. 277 с.
8. ГОСТ 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. Введ. 2013-01-01. М.: Стандартинформ, 2012. 29 с.
