CC BY
56
управления, вычислительной техники и информатики в технических системах. Вып. 8. - Волгоград: ВолгГТУ, 2010. № 6 (66). С. 110-111.
3. Знакомство с Silverlight, 2007. http://msdn.microsoft.com/ru-ru/library/bb404300.aspx.
4. Матлин А. О., Фоменков С. А. Построение автоматизированной системы создания интерактивных тренажеров // Известия Волгоградского государственного технического университета. Сер. Актуальные проблемы управления, вычислительной техники и информатики в технических системах. Вып. 9.
- Волгоград: ВолгГТУ, 2010. № 11 (71). С. 57-59.
5. Матлин, А. О. и др. Интерактивные виртуальные медицинские тренажеры // Технологии Microsoft в теории и практике программирования: Материалы VI Всероссийской конференции студентов, аспирантов и молодых ученых. - М., 2009. С. 122-123.
УДК 004.7
ПРОБЛЕМА СКРЫТЫХ КАНАЛОВ В ПРОМЫШЛЕННЫХ УПРАВЛЯЮЩИХ СЕТЯХ
И. И. Безукладников, ст. преподаватель кафедры «Автоматика и телемеханика» Тел.: (342) 239-18-16, e-mail: fantomtk@yandex.ru Е. Л. Кон, к. т. н., проф., руководитель сектора «Инфокоммуникационные и информационно-управляющие сети»
Тел.: (342) 239-18-16, email:kel-40@yandex.ru,
Пермский национальный исследовательский политехнический университет
http://pstu.ru/
This article dwells on the problem of covert channels problem in the Industrial Control systems and networks. А systematic approach to the analysis of covert channels in the industrial control systems (ICS) is proposed. As a part of the presented approach, a generalized model of multilevel ICS is proposed. An example of covert channel, which successfully operates on the physical layer of the protected wireless ICS is given.
Рассматривается проблема скрытых каналов передачи информации в промышленных информацион-но-управляющих сетях. Предлагается новый, системный подход к анализу скрытых каналов, в рамках которого осуществлено построение обобщенной модели современных многоуровневых ИУС. Иллюстрация основных этапов подхода производится на примере скрытого канала, функционирующего на физическом уровне защищенной информационно-управляющей системы, содержащей беспроводные сегменты.
Ключевые слова: скрытые каналы, беспроводные системы, несанкционированный доступ, информационная безопасность, АСУТП, промышленные ИУС.
Keywords: Covert channels, wireless systems, access violation, unauthorized access, information security, SCADA, Industrial control systems
В связи с повсеместным рас-
пространением, а также с увеличением роли информа-ционно-управляю-щих систем (ИУС) в различных отраслях, в том числе связанных с объектами критической инфраструктуры, все чаще актуализируется проблема обеспечения информационной безопасности подоб-
ных сложных распределенных систем. Не секрет, что успешное проведение злоумышленником атаки на такие системы может привести к непоправимым последствиям. Одним из основных видов злоумышленных воздействий при проведении хакерских атак является несанкционированный доступ (НСД). Для его организации злоумышленник может прибегать к весьма широкому спектру методов, таких как вирусные атаки, сниф-финг, методы социальной инженерии и т. д. При этом одним из наименее исследованных, а также одним из наиболее опасных из этого
спектра инструментов являются скрытые каналы.
За рубежом угроза, исходящая от скрытых каналов, была адекватно оценена достаточно давно. Проводятся многочисленные теоретические и прикладные исследования, полученные рекомендации становятся частью международных стандартов (начиная с упоминания скрытых каналов как отдельной угрозы в стандарте TCSEC в 1975 году, до формирования отдельного полноценного класса безопасности в стандарте «Общие критерии (Common criteria)» в редакции 1998 года). При этом в отечественных стандартах подобные рекомендации появляются с большой задержкой и в целом носят характер прямых заимствований (примером которых может служить руководящий документ ФСТЭК РФ от 30.03.1992, полностью соответствующий стандарту TCSEC). Исследования же в области скрытых каналов как отдельного класса угроз в рамках безопасности ИУС начали активно проводиться лишь в последние годы.
При этом следует отметить, что угроза скрытых каналов в информационно-управляющих системах является еще более существенной, поскольку в известных стандартах ИБ для подобных систем отсутствуют специализированные меры противодействия, на-
правленные непосредственно против скрытых каналов. Использование же традиционных средств противодействия общего назначения (таких, например, как файрволлы и антивирусы) не оказывают никакого воздействия на функционирование скрытых каналов.
На текущий момент единственным отечественным стандартом, описывающим создание политики ИБ, учитывающей наличие в ИУС скрытых каналов является принятый к использованию в 2010 году ГОСТ Р 531132008. К сожалению, все перечисленные стандарты являются архитектурными и отвечают на вопрос «как должно быть», не раскрывая «как этого добиться», что затрудняет их практическое применение.
Кроме того, стандарты ИБ ИУС, как, впрочем, и большинство других работ, посвященных проблематике скрытых каналов,
также обладают рядом иных существенных недостатков, приводящих к серьезному понижению уровня безопасности:
• Отсутствует обобщенная модель современной многоуровневой ИУС, что не позволяет осуществлять построение достаточно детализированной политики ИБ и, как следствие, приводит к появлению дополнительных уязвимостей.
• Не решен вопрос выявления наиболее опасных точек уязвимости в рамках защищаемой системы, воздействие на которые приводит к максимальным последствиям.
• Не приводятся формальные условия существования скрытых каналов, позволяющие анализировать фрагменты информационной системы на предмет наличия в них скрытых каналов.
• Отсутствует формальная модель функционирования скрытого канала, что существенно затрудняет как анализ его работы, так и оценку основных характеристик.
• Отсутствует понимание того, что основным из необходимых условий существования скрытого канала является наличие в системе недоиспользованности информационного ресурса. Как одно из следствий этого, приводимая в известных работах [2, 6, 8] классификация скрытых каналов представляет собой компиляцию известных ранее разновидностей, является неполной и не учитывает многие виды скрытых каналов.
• Отсутствуют комплексные методики оценки параметров СК. Использование же пропускной способности как единственного критерия при оценке параметров СК согласно стандартам, очень часто приводит к получению неверных результатов оценки и недооценке опасности, исходящей от скрытого канала.
Для решения поставленных вопросов в настоящей статье предлагается новый, комплексный подход к анализу скрытых каналов, в рамках которого осуществлено:
• Построение обобщенной модели современных многоуровневых ИУС.
• Предложен способ выделения точек уязвимости, основанный на методе оценки рисков при помощи анализа ключевых операций и связанных с ними ресурсами.
• Сформулированы необходимые условия существования скрытого канала.
• Предложено использовать в качестве одной из моделей описания работы скрытого канала модель дискретного канала связи.
• Предложена новая открытая классификация скрытых каналов, содержащая ранее не известные их классы
• Предложен многокритериальный подход к оценке количественных показателей скрытых каналов.
• Предложен подход к оценке рисков от функционирования скрытых каналов, основанный на анализе времени атаки и окон уязвимости ИУС.
Использование комплексного подхода при анализе СК в ИУС позволило авторам достичь существенных результатов, в частности:
• Выполнимость необходимых условий для всех уровней модели ISO/OSI подтвердила возможность существования скрытых каналов на всех уровнях OSI, а не только на сетевом, транспортном и прикладном, как считалось ранее. В частности, нами были рассмотрены успешные варианты реализации скрытых каналов на физическом и канальном уровнях различных технологий.
• Перенос существующих наработок из теории связи позволил сформулировать ряд новых задач, связанных с анализом поведения:
- скрытого канала, функционирующего в условиях активного противодействия (зашумления);
- сквозного скрытого канала без промежуточных точек в гетерогенной относительно выбранного уровня сети;
- скрытого канала между закладками, находящимися на различных уровнях ISO/OSI (блуждающие скрытые каналы).
В силу ограниченности объема, в настоящей статье более подробно рассматриваются вопросы построения обобщенной модели ИУС, необходимых условий существования и классификации СК. Иллюстрация предлагаемого подхода производится для некоторых его основных этапов на примере информационно-управляющей системы, содержащей беспроводные сегменты и защищенной в соответствии с требованиями ГОСТ Р 53113-2008. Показано успешное существование в такой системе скрытого канала одной из неучтенных разновидностей.
Обобщенная модель ИУС
В рамках построения обобщенной модели ИУС необходимо отметить, что она представляет собой сложную многоуровневую информационную систему, в которой можно выделить несколько основных информаци-
онных процессов (сбора, распределения, передачи, обработки и отображения информации). Каждый из этих процессов характеризуется своими источниками, получателями, механизмами и иными особенностями информационного обмена. Поэтому обеспечение ИБ в целом и анализ вопросов, связанных со скрытыми каналами, в частности для любого из процессов является задачей, требующей отдельных исследований
Для сетевых ИУС процесс передачи информации является системообразующим. Нарушения в работе процесса передачи сказываются на функционировании всех компонентов ИУС. Сложность транспортной инфраструктуры современных ИУС существенно увеличивает вероятность реализации угроз ИБ. Поэтому здесь и далее будет рассматриваться проблема скрытых каналов применительно именно к процессу передачи информации.
В статье приводится шестиуровневая обобщенная модель транспортной инфраструктуры современных ИУС, фрагмент которой показан на рисунке. Этот фрагмент отражает особенности как верхних (инфоком-муникационных, ^2-^5), так и нижних (^^^^ уровней. Реальным примером подобной информационно-управляющей сис-
темы может служить информационная система интеллектуального здания.
Приведенный фрагмент инфраструктуры представляет собой на нижнем уровне массив неинтеллектуальных датчиков и исполнительных механизмов (^0), локально подключенных к беспроводным контроллерам с интерфейсом WiFi(802.11x). Верхний уровень представляет собой проводную ЛВС общего назначения и включает в себя инженерный терминал, сервера журналирования и управления, а также интерфейс оператора. Взаимодействие нижнего и верхнего уровней
осуществляется при помощи беспроводной точки доступа.
Выделение точек уязвимости
С использованием предлагаемой методики оценки ключевых операций в статье производится выделение точек уязвимости и соответствующих им цепочек информационного обмена.
Классификация скрытых каналов
В статье приводится классификация скрытых каналов по виду недоиспользован-ности информационного ресурса, состоящая из следующих классов:
A. Недоиспользование ресурса информационной структуры.
B. Недоиспользование ресурса времени.
C. Недоиспользование ресурса упорядоченности.
D. Недоиспользование ресурса параметров транспортного сигнала.
E. Недоиспользование различных видов избыточности ресурса.
При помощи предлагаемой классификации выбирается и детально рассматривается один из вариантов недоиспользованности: недоиспользование различных видов избыточности ресурса.
Этот вид существует в информационном потоке в случаях, когда при передаче информации используется один из видов избыточности (введенной для повышения помехоустойчивости, достоверности, надежности либо иных параметров). Так, передача информации может осуществляться путем воздействия на информационный поток специальным образом сформированной помехи. Неразрушаемость легальных данных в этом случае может обеспечиваться за счет корректирующей способности кодов.
Проверка условий существования СК. Пример СК в беспроводной ИУС
Проанализируем стандарт 802.11^ на предмет выполнимости приведенного условия с учетом выбранного ранее вида недоис-пользованности.
В рамках стандарта 802.11^ одним из недоиспользованных ресурсов, относящимся к классу Е приведенной классификации, является информационный ресурс, возникающий благодаря возможности динамического изменения скорости передачи данных. Стандарт поддерживает линейку скоростей передачи, включающую обязательные скорости:
1, 2, 5.5, 6, 11, 12, 24Мбит/с и возможные -
33, 36, 48 и 54 Мбит/с. По умолчанию передача данных осуществляется на максимально возможной скорости. При ухудшении условий приема скорость динамически понижается до тех пор, пока уровень ошибок не опустится до требуемых величин. Данный процесс происходит прозрачно для пользователя.
В случае, когда предоставляемый канал загружен не полностью, возникает избыточность, связанная с тем, что изменение максимально возможной скорости передачи данных в определенном диапазоне приведенной линейки не оказывает влияния на скорость или иные параметры передаваемой информации.
Таким образом, злоумышленник, принимая во внимание эту особенность, может осуществлять воздействие при помощи специально сгенерированной помехи, ослабляя или усиливая ее воздействие с целью преднамеренного изменения максимальной скорости передачи.
Учитывая тот факт, что информация о скорости соединения является открытой, постоянно доступной и предоставляется стандартными средствами соответствующего стека драйверов, можно говорить о принципиальной возможности передачи скрытой информации с использованием описанного принципа.
Для описания основных принципов функционирования канала представим его в виде дискретного канала связи (ДКС) и сформируем приемный и передающий алфавиты для скрытого канала, функционирующего согласно описанному принципу. Будем считать, что злоумышленник, используя описанный ранее недоиспользованный ресурс, осуществляет преднамеренное воздействие при помощи специально сгенерированной помехи, ослабляя или усиливая ее воздействие с целью преднамеренного изменения максимальной скорости передачи. В этом случае приемный и передающий алфавиты будут иметь следующий вид:
приемный алфавит Е] = (Ь1 .. Ьт} = {1,
2, 5.5, 6, 11 .. 54}, где m - размер линейки возможных скоростей;
передающий алфавит А = {а1 .. ак} =
^1, P2 .. Pk}, где k = m - мощность индуцированной злоумышленником помехи, достаточной для перехода на соответствующую скорость из линейки скоростей.
При этом в качестве варианта, оказы-
вающего минимальное воздействие на скорость передаваемой в ИС информации, можно выделить вариант, в котором приемный и передающий алфавиты включают в себя только два наибольших варианта скоростей (m, m - 1).
В общем случае для успешного функционирования канала связи между парами участников информационного обмена каждой паре таких участников г — у должна быть сопоставлена ненулевая матрица перехода между передающим и приемным алфавитом. Простейшим вариантом такой матрицы является матрица, описывающая двоичный (бинарный) симметричный канал, имеющая следующий вид:
ЗДу) = (ра1~Ь1 ра1~Ь2\
\*а2—Ь1 га2-Ь2/
где Ру(х\у) - вероятность приема символа Ву при передаче символа Ах от участника г к участнику у, вероятность успешной передачи Ра1-ы = Ра2-Ь2= Р, вероятность ошибки Ра1-Ь2 = Ра2-Ы = 1 ~ Р-
Пропускная способность бинарного симметричного канала связи в общем виде оценивается следующим выражением:
С = 1 + Р • 1од2Р + (1 - Р)1од2(1 - Р), где вероятность успешной передачи Ра1-ы = Ра2-Ь2= Р, вероятность ошибки Ра1-Ь2 = Ра2-ы = 1 ~ Р-
С учетом принятого допущения об отсутствии ошибок при передаче информации по скрытому каналу матрица перехода принимает следующий вид:
\^0 1
где Ру(х\у) - вероятность приема символа Ву при передаче символа Ах от участника г к участнику у.
Оценка характеристик полученного скрытого канала
В этом случае, согласно приведенной выше формуле для вычисления пропускной способности бинарного канала, пропускная способность анализируемого скрытого канала будет составлять С = 1 бит на одно изменение состояния. Учитывая особенности технологий, применяемых стандартом 802.11^, минимальная задержка между сменой скоростей составляет приблизительно 4 секунды. Соответственно, максимально возможная скорость передачи информации по скрытому каналу, представляющему собой бинарный канал и имеющему симметричный приемопередающий алфавит, содержащий 2 симво-
ла, в условиях отсутствия ошибок составляет V = 0.25 бит/с.
При этом для обеспечения невлияния скрытого канала на скорость передачи информации по открытому каналу связи, скорость передачи данных в открытом канале не должна превышать величины в 36 Мбит/с. Приведенная скорость передачи пользовательских данных, равная 36 Мбит/с, соответствует физической скорости 48 Мбит/с в канале связи.
Таким образом, показано, что с использованием ресурса, выявленного в предыдущем пункте, действительно возможно построение скрытого канала, обладающего ненулевой пропускной способностью.
Следует отметить, что описываемый скрытый канал не противоречит ни одной из ПИБ, описанных в соответствующих стандартах, и не может быть выявлен или уничтожен в течение сколь угодно долгого времени без внесения соответствующих изменений в политику безопасности.
Тем не менее выбранная модель ИУС накладывает иные дополнительные ограничения, которые сами по себе могут препятствовать реализации скрытого канала. В качестве примера рассмотрим ниже одно из таких ограничений - ограничение на аппаратные ресурсы. С этой точки зрения узлом, обладающим наименьшими аппаратными ресурсами, является беспроводной контроллер.
Как показал проведенный авторами анализ, требуемый закладкой объем памяти является весьма существенным по меркам используемых аппаратных платформ. Так, код закладки занимает от 3% до 6% от всего объема предоставляемой памяти программ, а в процессе работы закладки от 6% до 12% всей имеющейся оперативной памяти. Такая ситуация позволяет говорить о существенном влиянии скрытого канала на аппаратные ресурсы открытой системы. Возможны случаи, когда свободных ресурсов будет недостаточно как для внедрения кода закладки в память приложений, так и для нормального функционирования алгоритма закладки в оперативной памяти. В таких случаях существование скрытого канала становится невозможным, несмотря на отсутствие ограничений со стороны ПИБ.
Таким образом, в статье предложен новый, комплексный подход к анализу скрытых каналов, описаны основные его этапы. В рамках предложенного подхода построена обобщенная модель современных многоуровневых ИУС. Сформулированы необхо-
димые условия существования скрытого канала. Приведен пример скрытого канала, использующего новый, ранее не упоминавшийся принцип скрытой передачи информации и успешно существующего в информационно-управляющей системе, содержащей беспроводные сегменты и защищенной в соответствии с максимальными рекомендациями ГОСТ Р 53113-2008. Предложено использо-
вать модель дискретного канала связи для описания скрытых каналов. С использованием предложенной модели произведена оценка пропускной способности скрытого канала. Показана важность учета дополнительных ограничений, не относящихся к политике информационной безопасности при оценке возможности существования скрытых каналов.
Литература
1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ ФСТЭК РФ от 30.03.1992.
2. National Institute of Standarts and Technology. NIST800-82. Guide to Industrial Control Systems Security. src.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf.
3. Безукладников И. И., Кон Е. Л. Скрытые каналы в распределенных автоматизированных системах // Вестник УГАТУ, 2010. - Уфа: УГАТУ, 2010.
4. Безукладников И. И., Кон Е. Л. Проблема скрытых каналов в промышленных информационно-управляющих и инфокоммуникационных сетях // Промышленные АСУ и контроллеры, 2011. № 7.
5. Schelman N. Timing and Storage Channels in vitro. src.nist.gov/publications/231006covert.pdf.
6. Тимонина Е. Е. Анализ угроз скрытых каналов и метода построения гарантированно защищенных распределенных автоматизированных систем: Дисс. ... докт. тех. наук. - М., 2004.
УДК 004.021
МЕТОДИКА ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ РЕСТРУКТУРИЗАЦИИ АДМИНИСТРАТИВНОТЕРРИТОРИАЛЬНОГО ДЕЛЕНИЯ
А. М. Бершадский, д. т. н., проф., зав. кафедрой Тел.: (8412) 36-48-84, e-mail: bam@pnzgu.ru А. С. Бождай, д. т. н., профессор Тел.: (8412) 36-82-47, e-mail: bozhday@yandex.ru
Е. М. Подмарькова, аспирант Тел.: (8412) 36-84-48, e-mail: alpha-and-amega@yandex.ru Кафедра САПР Пензенский государственный университет http:// www.pnzgu.ru
The authors solve the problem of formalization of the method and principles of algorithmic and information support of decision-making on the example of restructuring of administrative-territorial division of the regions. It is implemented in the form of analytical software system aimed at consolidation and evaluation of specific options for restructuring.
В статье решается задача формализации методики и принципов алгоритмической и информационной поддержки принятия решений на примере реструктуризации административнотерриториального деления регионов. Реализуется в виде аналитической программной системы для задачи укрупнения и оценки результатов конкретных вариантов реструктуризации.
Keywords: cognitive maps, graph topology, coverage, support for decision making.
Ключевые слова: когнитивные карты, граф, топология, покрытие, поддержка принятия решений.
