CC BY
10УДК 669.713.7
С. С. Бычков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
СИСТЕМА МОНИТОРИНГА КЛИЕНТСКИХ ПРИЛОЖЕНИЙ В РАМКАХ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
При использовании средств криптографической защиты данных, в частности средств электронной цифровой подписи (ЭЦП), возникает проблема агентурного проникновения и использования ЭЦП в преступных целях. Удостоверяющий центр (УЦ) как ответственное лицо, в обязанности которого входит разрешение вопросов, связанных с неправомерным использованием средств ЭЦП, должен иметь максимальное количество средств обнаружения возможных атак и систему, обеспечивающую постоянный контроль за «поведением» клиентских приложений.
Задачами системы мониторинга клиентских приложений являются своевременное обнаружение попыток несанкционированного использования средств ЭЦП, в частности попыток агентурного проникновения и использования средств ЭЦП клиента, а также обеспечение исполнения российского законодательства в рамках использования средств ЭЦП со стороны удостоверяющего центра [1—4].
Система удаленно отслеживает ряд параметров и на основании полученных данных производит различные действия, в том числе повышение/понижение класса «доверия» клиента; собирает информацию, косвенно определяющую местоположение клиента (MAC- и IP-адрес машины, с которой производился процесс подписания документа с использованием средств электронной подписи). Это необходимо для того, чтобы максимально уменьшить проблемы при арбитраже. Также система содержит модули, которые в автоматическом режиме оповещают клиента о всех проблемах, связанных с его сертификатом электронной подписи, ведет реестр сертификатов электронных подписей, в том числе сертификатов, срок действия которых уже закончился.
Главным объектом наблюдения является клиентское приложение. Для контроля были отобраны следующие его параметры:
- IP-адрес компьютера, на котором производился процесс подписания документа;
- MAC-адрес компьютера, на котором производился процесс подписания документа;
- сведения о неудачных попытках входа в систему;
- базы данных, содержащие сведения о клиенте и его сертификатах электронных подписей.
Эти параметры способны при малых затратах обеспечить должный контроль за «поведением» клиентских приложений.
Система мониторинга включает в себя клиентское приложение, базу данных удостоверяющего центра, приложения оператора удостоверяющего центра.
Клиентское приложение при передаче служебной информации должно формировать пакеты малой величины для максимально быстрой передачи по сети Интернет. Для этого должна быть функция определения MAC- и IP-адресов машины, функция формирования служебного сообщения, функция подтверждения факта наличия связи с серверной частью удосто-
веряющего центра, функция проверки доставки служебного сообщения в удостоверяющий центр.
Базы данных должны быть способны обрабатывать и контролировать большие объемы информации, обладать простым языком запросов, легко развертываться на различном виде оборудования. Должна реа-лизовываться возможность написания собственных классов для обработки информации. База данных должна иметь возможность поддержки множества запросов.
Приложение оператора удостоверяющего центра должно содержать все справочники, необходимые для работы (клиенты, ошибки, классификаторы), иметь возможность управления автоматическими процессами в ручном режиме. Все это необходимо для проведения консультации при возникновении различных потенциально опасных ситуаций при использовании клиентом средств электронной подписи. Необходим также функциональный блок по отправке в автоматическом режиме «тревожных» сообщений как на клиентское приложение, так и на специальный контактный электронный адрес.
Каждая часть системы должна иметь систему аутентификации с возможностью замены данного модуля на другой либо аналогичный.
Библиографический список
1. Об электронной подписи [Электронный ресурс] : федер. закон : [от 06.04.2011 г. ФЗ № 631. URL: www.consultant.ru (дата обращения: 11.09.2011).
2. ГОСТ Р 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования [Электронный ресурс]. URL: www.gost4yuo.ru (дата обращения: 11.09.2011).
3. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма [Электронный ресурс]. URL: www.gost4yuo.ru (дата обращения: 11.09.2011).
4. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи [Электронный ресурс]. URL: www.gost4yuo.ru (дата обращения: 11.09.2011).
Решетневскце чтения
S. S. Bychkov
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
MONITORING SYSTEM CLIENT APPLICATIONS IN USAGE OF ELECTRONIC DIGITAL SIGNATURE
When we use cryptographic protection of data, including means of digital signature (hereinafter - EDS), there appears a problem of agent penetration and use of EDS _ for criminal purposes. Certification Authority - a responsible person who must resolve the issues associated with the misuse of EDS, should be the maximum number of detection of possible attacks on digital signature and systems to reduce the risk of clandestine use of electronic signatures. The second problem CA can have a system that provides constant control over the «behavior» of client applications. According to this system of specialists automated certification authority may apply measures to increase/decrease control over the specific client application to the possible revocation or suspension of certificate of EDS.
© ELhKOB C. C., 2011
УДК 004.056
А. И. Верхорубов, В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О РЕШЕНИИ ЗАДАЧИ КЛАСТЕРНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается применение самоорганизующихся карт Кохонена в задаче кластерного анализа инцидентов информационной безопасности.
Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой информационной безопасности) или неприемлемое событие, которое совершается в информационной системе.
Небезопасные события, происходящие внутри информационной системы, фиксируются на уровне приложений или программно-аппаратных средств, и их обнаружение и внесение в единый реестр инцидентов информационной безопасности является на сегодняшний день отлаженной технической процедурой.
Занесение информации о событии в реестр (журнал) информационной безопасности осуществляется в соответствии с регламентом и предполагает хранение исходных данных об инциденте, позволяющих расследовать причины его возникновения. На основе сведений об инциденте осуществляется его категоризация; также инциденту присваивается уровень приоритета, соответствующий значимости события и его возможному влиянию на состояние информационной безопасности.
После обнаружения и регистрации каждый инцидент должен быть подвергнут процедуре анализа. Процедура анализа данных включает анализ файлов протоколов работы, конфигурационных файлов, сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и т. д. Необходимо провести анализ программного обеспечения, поиск по ключевым словам, проверить дату и время регистрации инцидента. Про-
цедура анализа также может включать анализ на «низком» уровне - поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).
При анализе большого количества инцидентов и их совокупности очень трудно быстро выделить аномальные факторы и определить наличие скрытых закономерностей. Организовать многомерные наблюдаемые данные в наглядные структуры возможно с помощью методов кластерного анализа.
Под кластерным анализом понимается задача разбиения исходных данных на поддающиеся интерпретации группы таким образом, чтобы элементы, входящие в одну группу, были максимально «схожи» (по какому-то заранее определенному критерию), а элементы из разных групп были максимально «отличными». При этом число групп может быть заранее неизвестно, также может отсутствовать информация о структуре этих групп.
Для кластерного анализа многомерных данных об инцидентах информационной безопасности предлагается использовать самоорганизующиеся карты Кохо-нена - нейросетевой алгоритм, предполагающий обучение «без учителя». В нейросетевых алгоритмах, предполагающих обучение «с учителем», для нахождения соотношения между данными требуется, чтобы один или более выходов были точно заданы вместе с одним или более входами. Карта, напротив, отображает данные большей размерности на карте меньшей
