Содержание к диссертации
Введение
1 Анализ условий функционирования сети передачи данных оперативно технологического назначения ОАО «РЖД» 15
1.1 Роль и место сети передачи данных оперативно-технологического назначения ОАО «РЖД» в решении задач управления перевозочным процессом 15
1.1.1 Сети передачи данных на железной дороге 15
1.1.2 Архитектура локально вычислительных сетей поверх сети передачи данных транспортного уровня 18
1.2 Анализ требований к сети передачи данных оперативно технологического назначения 25
1.3 Анализ основных угроз безопасности и целостности сетей передачи
данных оперативно-технологического назначения. Основные проблемы
обеспечения безопасности сетей передачи данных оперативно технологического назначения 30
1.3.1 Классификация угроз информационной безопасности сетей передачи данных 31
1.3.2 Краткий обзор материалов по информационному воздействию на сети передачи данных оперативно-технологического назначения критически важных объектов 37
1.4. Постановка научной задачи и частных задач исследования. Структурно логическая схема исследования 42
1.5 Выводы по разделу 1 45
2 Методика маскирования сети передачи данных оперативно технологического назначения ОАО «РЖД» от вскрытия технической компьютерной разведкой организованного нарушителя в ходе целевой атаки 48
2.1 Вербальная модель целевой атаки на сеть передачи данных оперативно технологического назначения ОАО «РЖД» при помощи средств технической компьютерной разведкой организованного нарушителя 48
2.1.1 Организация, цели, задачи и возможности технической компьютерной разведки 48
2.1.2 Вербальная модель целевой атаки на сеть передачи данных оперативно-технологического назначения ОАО «РЖД» 51
2.2 Методика оценки структурной скрытности сети передачи данных оперативно-технологического назначения ОАО «РЖД» от вскрытия технической компьютерной разведки организованного нарушителя в ходе целевой атаки 55
2.2.1 Частная модель расчета вероятности и времени реализации угрозы «Перехват и анализ сетевого трафика» организованным нарушителем 57
2.2.2 Частная модель процесса передачи сообщений по IP-сети и функции распределения времени передачи сообщений 63
2.2.3 Частная модель процесса обнаружения информационных сообщений при сканировании IP-сети. 72
2.3 Частная модель распознавания соответствия информационного портрета
и структуры подграфа сети. Расчет структурной скрытности. 75
2.3.1. Частная модель распознавания изоморфности графов с учетом циклов и путей 78
2.3.2. Этапы оценки структурной скрытности сети передачи данных оперативно-технологического назначения 81
2.4 Оценка структурной скрытности фрагмента сети передачи данных оперативно-технологического назначения 85
2.5 Методика маскирования сети передачи данных оперативно технологического назначения ОАО «РЖД» в условиях ведения организованным нарушителем технической компьютерной разведки 90
2.5.1 Частная модель формирования типовых портретов IP - сети для распознавания деятельности органов управления технологическим процессом на основе генетических алгоритмов 92
2.5.2 Частная модель формирования типовых портретов IP-сети на основе биологических алгоритмов 95
2.6 Оценка маскирования сети передачи данных оперативно технологического назначения на основе сбора и анализа информационных структур 98
2.7 Выводы по разделу 2 100
3. Научно-технические предложения по обеспечению защищенности структуры сети передачи данных оперативно-технологического назначения от вскрытия технической компьютерной разведкой нарушителя 105
3.1 Краткий обзор известных способов обеспечения информационной безопасности СПД 105
3.2 Предложения по формированию структуры сети передачи данных оперативно-технологического назначения, соответствующей требованиям по защищенности от технической компьютерной разведки 109
организованного нарушителя 109
3.2.1 Способ организации ложного информационного обмена на сети передачи данных оперативно-технологического назначения 111
3.2.2 Способ распределения потока данных в сети передачи данных оперативно-технологического назначения 117
3.3 Способ обнаружения деструктивных программных воздействий на сеть
передачи данных оперативно-технологического назначения 120
3.4 Рекомендации по маскированию сети передачи данных оперативно-технологического назначения и дезинформации технической компьютерной разведки на сетевом уровне 122
3.5 Результаты оценки структурной скрытности сети передачи данных оперативно-технологического назначения ОАО «РЖД» при реализации разработанных научно-технических предложений 124
3.6 Выводы по разделу 3 126
Заключение 128
Список литературы 131
- Архитектура локально вычислительных сетей поверх сети передачи данных транспортного уровня
- Организация, цели, задачи и возможности технической компьютерной разведки
- Частная модель расчета вероятности и времени реализации угрозы «Перехват и анализ сетевого трафика» организованным нарушителем
- Способ распределения потока данных в сети передачи данных оперативно-технологического назначения
Введение к работе
Актуальность темы исследования. Условия функционирования сети передачи
данных оперативно технологического назначения (СПД ОТН), обеспечивающей целостность
основного технологического процесса, реализуемого при перевозках по железной дороге,
существенно изменились. Это связано с тем, что, с одной стороны, произошло усложнение
уровня автоматизации выполняемых процедур (внедрение информационных и
информационно управляющих систем), а с другой стороны, сама телекоммуникационная сеть стала большой автоматизированной информационной системой.
Поэтому, с целью нанесения экономического ущерба и/или политического давления на органы государственного управления, организованный нарушитель, предусматривает оказание деструктивных кибервоздействий на автоматизированные системы критически важных объектов (КВО) народного хозяйства РФ. Одним из таких КВО является инфраструктура ОАО «РЖД».
В свою очередь, целостность КВО определяется защищенностью СПД от
кибервоздействий со стороны организованного нарушителя, осуществляемых с
использованием средств технической компьютерной разведки (ТКР). Это актуализирует задачу повышения защищенности СПД ОТН ОАО «РЖД» от вскрытия ТКР организованного нарушителя.
Подобные задачи широко обсуждались в научно-технической литературе с подробным описанием методов защиты информационных ресурсов на прикладном уровне ЭМВОС, производился анализ частных угроз информационной безопасности (ИБ), а также предлагались методы их нейтрализации.
Однако известные подходы к решению проблемы обеспечения ИБ СПД различного назначения в условиях проведения APT-атак (advanced persistent threat — «сложная протяженная угроза») показывают недостаточную эффективность.
Такие атаки обозначают как таргетированные, целенаправленные, скрытые или целевые. Они характеризуются многомерностью с технической точки зрения, продолжительностью во времени и содержат ряд этапов. Основными из них являются такие как, исследование КВО, закрепление в системе и при необходимости уничтожение следов присутствия. Следовательно, организованный нарушитель в ходе проведения целевой атаки тщательным образом собирает и анализирует данные, с целью выбора вида информационного воздействия, момента времени и наиболее ответственного этапа технологического процесса для осуществления деструктивных воздействий на КВО. То есть, АРТ-атака реализуется на основании данных, добываемых ТКР.
Таким образом, решая задачу защиты СПД ОТН от ТКР организованного нарушителя, необходимо затруднить ему выбор цели (места и времени) для воздействия на КВО. Поскольку при взаимодействии организованного нарушителя и КВО проявляются эмерджентные свойства систем, то сопоставление этапа технологического процесса и информационного обмена, отображаемого в структуре СПД, позволит организованному нарушителю установить вид деятельности должностных лиц и осуществить обоснованный выбор времени и способа реализации деструктивных кибервоздействий. Анализ показывает, что для успешного осуществления АРТ-атаки организованному нарушителю достаточно знать интенсивность обмена по информационным направлениям взаимодействия должностных лиц, пространство IP-адресов и местоположения источников информации.
Поэтому актуализируется задача разработки нового подхода к оценке структурной скрытности и маскированию СПД ОТН ОАО «РЖД» с целью повышения защищенности и выработки рациональных мероприятий, реализация которых позволит сформировать организационно-технические мероприятия, обеспечивающие маскирование СПД ОТН и повышение ее защищенности от ТКР организованного нарушителя.
Степень разработанности темы. Работы Корниенко А.А., Попова П.В., Ададурова С.Е., Яковлева В.В., Кулишкина В.А., Ярочкина В.И., Хорева А.А. и др. посвящены
4 вопросам противодействия угрозам ИБ, исследованию атак, совершенствованию механизмов защиты информации. Оценка длительности цикла управления ТКС в нестационарных условиях, а также моделирование компьютерных атак нарушителя исследовались в работах А.П. Вандича, А.А. Привалова, А.Н. Буренина, О.С. Лаута, Н.В. Евглевской, М.В. Степашкина, Р.Н. Акиншина, В.Н. Бабиков, Ю. И. Стародубцева, М.А. Коцыняка, В.А. Липатникова и др. Однако анализ известных работ в предметной области показывает, что сведения, добываемые ТКР и варианты добывания информации через пространственную, временную и адресную структуру СПД ОТН практически не рассматриваются. Кроме того, вопросы, связанные с обеспечением структурной скрытности сети и маскированием информационного обмена СПД ОТН не были проанализированы.
Основным противоречием, выявленным в результате анализа условий
функционирования СПД ОТН ОАО «РЖД», выступает конфликт между характеристиками, проявляющимися в ходе информационного обмена должностных лиц в СПД ОТН и ТКР организованного нарушителя, реализующего целевую атаку.
Необходимость разрешения указанного выше противоречия определяет актуальность темы и научной задачи диссертационной работы.
Цели и задачи. Целью исследования является повышение защищенности сети передачи данных оперативно-технологического назначения от вскрытия технической компьютерной разведки организованного нарушителя.
Для достижения поставленной цели решены следующие задачи:
-
Проведен анализ условий функционирования СПД ОТН ОАО «РЖД»;
-
Проведен анализ угроз безопасности и целостности СПД ОТН ОАО «РЖД»;
-
Разработана вербальная модель целевой атаки, проводимая ТКР организованного нарушителя;
-
Разработаны модели процессов реализации угрозы «Перехват и анализ сетевого трафика», передачи сообщений в IP-сети, обнаружения источников передачи информации при сканировании и распознавании пространственной, временной и адресной структуры СПД;
5. Разработана методика оценки структурной скрытности СПД ОТН ОАО «РЖД» от средств ТКР организованного нарушителя в ходе целевой атаки;
6. Разработан способ преобразования структур информационного обмена IP-сети СПД ОТН в типовые «информационные портреты» на основе биологических и генетических алгоритмов, для распознавания деятельности должностных лиц, ответственных за технологический процесс.
6. Разработана методика маскирования СПД ОТН ОАО «РЖД» в условиях ведения
нарушителем ТКР.
7. Разработаны научно-технические предложения по обеспечению защищенности
структуры СПД ОТН от вскрытия ТКР, включающие способы организации ложного
информационного обмена, распределения потока данных в СПД ОТН и обнаружения
деструктивных программных воздействий. Сформулированы рекомендации к системам
маскирования СПД ОТН и дезинформации ТКР на сетевом уровне.
Объектом исследования является сеть передачи данных оперативно-технологического назначения ОАО «РЖД».
Предметом исследования являются модели, методики и закономерности защиты структуры сети передачи данных оперативно-технологического назначения от технической компьютерной разведки организованного нарушителя.
Научная задача: разработка методики оценки структурной скрытности СПД ОТН ОАО «РЖД», а также организационно-технических мероприятий, реализация которых позволит обеспечить маскирование информационного обмена в СПД ОТН и повысить её защищенность от ТКР организованного нарушителя.
Научная новизна диссертации заключается в следующем:
1. Методика оценки структурной скрытности СПД ОТН ОАО «РЖД», отличающаяся
5 тем, что учитывает взаимосвязь пространственной, временной и адресной структур информационного обмена в СПД ОТН с деятельностью должностных лиц в рамках заданного этапа технологического процесса. Методика позволяет комплексно оценивать возможности организованного нарушителя по вскрытию структуры СПД ОТН с целью выбора времени, места и вида деструктивного воздействия. Кроме того, с помощью методики можно производить сопоставительный анализ и количественную оценку структурной скрытности современных систем связи, реализующих различные технологии передачи данных.
2. Методика маскирования СПД ОТН ОАО «РЖД» в условиях ведения нарушителем
ТКР, отличающаяся тем, что учитывает совокупность демаскирующих признаков
функционирующей сети и использованием для формирования «информационных портретов»
генетических и биологических алгоритмов. Методика основана на осуществлении
маскирующего информационного обмена между автоматизированными рабочими местами
должностных лиц, при этом корреспондирующие пары определяются из «информационных
портретов», соответствующих другим этапам технологического процесса. Это затрудняет
распознавание организованным нарушителем вида деятельности должностных лиц и
обоснованный выбор времени, места и вида деструктивного воздействия.
3. Научно-технические предложения по повышению защищенности СПД ОТН,
функционирующей в условиях реализации организованным нарушителем целевых атак,
отличаются тем, что реализуют оригинальные способы: организации ложного
информационного обмена, согласующегося с реально действующими процессами в СПД
ОТН; обнаружения деструктивных программных воздействий на СПД ОТН, в рамках
которого выявляются как технологический отказ, так и предупреждение о событии
безопасности, а также разработкой конкретных требований к системам маскирования СПД
ОТН и методам дезинформации ТКР на сетевом уровне.
Теоретическая значимость работы состоит в расширении научно-методической базы по оценке защищенности и структурной скрытности СПД ОТН, функционирующей в условиях реализации организованным нарушителем целевых атак. Разработан научно-технический аппарат, позволяющий количественно оценить структурную скрытность СПД ОТН.
Практическая значимость работы заключается в том, что созданы предпосылки для разработки взаимоувязанной системы управления информационной безопасностью на основе предложенных в работе механизмов, систем и средств обеспечения структурной скрытности СПД ОТН. Методика оценки структурной скрытности может быть использована проектно-конструкторскими организациями при разработке защищенных СПД ОТН на КВО транспортной инфраструктуры РФ. В свою очередь, использование результатов оценки структурной скрытности СПД ОТН и способов обнаружения деструктивных воздействий в деятельности дирекций связи ОАО «РЖД» позволит производить оперативный анализ защищенности СПД ОТН от кибервоздействий организованного нарушителя.
Методология и методы исследования.
В диссертационной работе использованы теоретические и экспериментальные методы исследования.
Теоретические методы исследования основаны на теории систем и системного анализа, теории сетей и графов, теории вероятностей, теории распознавания образов.
Экспериментальные методы исследования включают метод топологического преобразования стохастических сетей (ТПСС), метод изоморфизма графов, методы решения задач оптимизации, а также генетический и биологический алгоритмы.
Основные положения, выносимые на защиту:
1. Методика оценки структурной скрытности сети передачи данных оперативно-технологического назначения ОАО «РЖД».
2. Методика маскирования сети передачи данных оперативно-технологического
6 назначения ОАО «РЖД» в условиях ведения нарушителем технической компьютерной разведки.
3. Научно-технические предложения по повышению защищенности сети передачи
данных оперативно-технологического назначения, функционирующей в условиях
реализации организованным нарушителем целевых атак.
Личный вклад. Все результаты, излагаемые в диссертационной работе, получены автором самостоятельно. Личный вклад автора состоит в проведении анализа и обзора проблем по выбранной тематике; в сборе исходных данных о процессе функционирования СПД ОТН; в разработке блок-схем, моделей, и методик, их программной реализации с помощью программных продуктов Mathcad, MatLab, Maple, языка программирования C-Sharp; в подготовке публикаций и докладов на конференциях.
Реализация и внедрение работы. Результаты диссертационной работы, включая модели, методики и научно-технические предложения, используются при проведении научно-исследовательских и проектных работ в Санкт-Петербургском филиале ФГУП ЦНИИС – ЛО ЦНИИС, в ПАО «ЗащитаИнфоТранс», а также в учебном процессе ФГБОУ ВО ПГУПС.
Степень достоверности полученных результатов. Достоверность полученных в диссертационной работе результатов обеспечивается применением апробированного математического аппарата, обоснованным выбором и полнотой исходных данных, корректностью вводимых ограничений и допущений, непротиворечивостью полученных теоретических результатов, адекватностью разработанных математических моделей процессу функционирования СПД в условиях реализации организованным нарушителем целевых атак, согласованностью частных результатов моделирования с данными предшествующих исследований.
Достоверность полученных результатов подтверждается положительными отзывами и одобрениями, полученными при апробации новых научных результатов на научно-технических и научно-практических конференциях и семинарах.
Апробация работы. Основные результаты и положения диссертационной работы
обсуждались на научных конференциях и семинарах: IV международной научно-
технической и научно-методической конференции «Актуальные проблемы
инфотелекоммуникаций в науке и образовании» (г. Санкт-Петербург, СПбГУТ им. проф.
М.А. Бонч-Бруевича, 3 – 4 марта 2015 г.); VIII Международный симпозиум
«Электрификация, развитие электроэнергетической инфраструктуры и электрического
подвижного состава скоростного и высокоскоростного железнодорожного транспорта»
(Элтранс-2015) (г. Санкт-Петербург, 7 – 9 октября 2015 г.); Юбилейная XV Санкт-
Петербургская международная конференция «Региональная информатика (РИ-2016)» (г.
Санкт-Петербург, 26-28 октября 2016 г.); 70, 71, 72 всероссийские научно-технические
конференции, посвященные Дню Радио (г. Санкт-Петербург, СПбНТОРЭС, 17 – 25 апреля
2015 г., 20-28 апреля 2016 г., 27-29 апреля 2017 г.).
Публикации. Всего по теме диссертации опубликовано 15 печатных работ, в том числе пять – в рецензируемых изданиях, включенных в перечень ВАК Министерства образования и науки Российской Федерации.
Структура и объем диссертации. Диссертационная работа состоит из введения, трех глав, заключения, списка литературы из 100 наименований, изложена на 141 странице, содержит 11 таблиц и 38 рисунков.
Архитектура локально вычислительных сетей поверх сети передачи данных транспортного уровня
Например, информационные потоки, взаимодействующие с АСУОП и со схемой их прохождения на сортировочной станции выглядят так: АРМ ДСП принимает из АСОУП сообщение о подходе поездов, а из АРМ СТЦ сообщение о поезде с краткими сведениями, далее в АСОУП передаются сообщения об операциях с поездом и локомотивом, и сообщение об изменении номера (индекса) поезда. АРМ оператора СТЦ принимает сообщение 02 из АСОУП, о занятии пути из АРМ ДСП, о погруженных вагонах из АРМ ТВК, об убранных вагонах клиента из АРМ ПС, о сформированном составе от АРМ ДСЦ; затем сообщение о прибывших под выгрузку вагонах отправляется в АРМ ТВК. С указанных АРМов все сообщения передаются на сервер АСОУП [25].
Потребителями ресурсов СПД ОТН рассматриваются ОР, которые используют средства связи для выполнения задач в соответствии с технологическим процессом на железнодорожном транспорте, включающих перевозочный процесс. ОР объединяются в группы по признакам решаемых задач и согласно структуре управления железнодорожным транспортом. Логические схемы взаимодействия ОР, составленные в виде графа можно совместить с архитектурой СПД ОТН, т.е. представить в виде «информационного портрета». Эти схемы изменяются во времени при переходе от одной функции к другой, и в конечном итоге это может привести к преобразованию структуры взаимодействия. В свою очередь это позволит выявить зависимости выполняемого технологического процесса, определить род и вид деятельности ОР, и решаемые задачи по «информационному портрету», в том числе время и место передвижения состава. Эти данные могут быть использованы организованным нарушителем.
Таким образом, СПД ОТН относится к критически важному объекту (КВО), отвечающему за безопасность движения поездов. Из этого следует, что необходимо провести анализ требований, предъявляемых к показателям сети и оценить возможные угрозы информационной безопасности.
Переход к созданию единой сети СПД ОТН на основе пакетно-ориентированных технологий для трафика систем оперативно-технологического характера должен позволить и обеспечить сохранение ключевых принципов передачи данных - независимость, безопасность, достоверность и своевременность [74].
Потребители ресурсов СПД ОТН в основном это информационно-управляющие системы. Поэтому к сети передачи данных предъявляются повышенные требования по показателям оперативности, достоверности и надежности, и необходимо обеспечивать передачу данных в реальном масштабе времени. К данным сетям СПД ОТН относятся: сеть передачи данных системы технического диагностирования и мониторинга (СПД СТДМ) устройств автоматики и телемеханики, эксплуатируемых региональными подразделениями Управления автоматики и телемеханики Центральной дирекции инфраструктуры - филиала ОАО «РЖД»; сеть передачи данных системы мониторинга и диагностики устройств электроснабжения (СПД СМД-Э), эксплуатируемых региональными подразделениями Управления электрификации и электроснабжения Центральной дирекции инфраструктуры - филиала ОАО «РЖД»; сеть передачи данных единой системы мониторинга и администрирования оборудования систем связи технологического сегмента (СПД ЕСМА), эксплуатируемого региональными подразделениями Центральной станции связи - филиала ОАО «РЖД» (ЦСС).
По функциональной и эксплуатационной принадлежности СПД ОТН находится в зоне ответственности Центральной станции связи - филиала ОАО «РЖД», а также её структурных подразделений - Дорожных дирекций связи и Региональных центров связи [74].
СПД ОТН обеспечивает передачу данных между узлами сети по каналам технологического сегмента первичной цифровой сети связи РЖД и организацию доступа оконечного оборудования, и ЛВС автоматизированных систем ОТН к каналам первичной сети связи [71]. Основные требования, предъявляемые к СПД ОТН Оперативность передачи данных. Сеть должна функционировать как система реального времени, обеспечивать время доведения информационного сообщения от источника к потребителю данных от момента начала передачи до отображения не более установленного значения.
Информационные сообщения управляющих систем, циркулирующие в СПД ОТН, подразделяются на две категории срочности (КС) в зависимости от максимального объема и приоритета обработки: при 1 КС - обеспечиваются гарантированные, согласованные, скоростные характеристики доставки трафика и гарантированная величина максимальной задержки информационного сообщения; при 2 КС - обеспечиваются гарантированные согласованные скоростные характеристики доставки трафика данных. Достоверность передаваемых данных. Качество обслуживания определяется как «суммарный эффект рабочих характеристик обслуживания, который определяет степень удовлетворенности пользователя службой» в рекомендации ITU Е.800.
В IP-сетях качество доставки базируется на принципе «Best effort», т.е. "лучшей попытки". Это значит, что пользователи определенным образом разделяют доступные сетевые ресурсы, трафик передается со скоростью, максимально возможной в данных условиях загрузки ресурсов сети, но при этом не гарантируется обеспечение любого предварительно определенного уровня качества обслуживания.
В Рекомендациях Y.1540, Y.1541 [99, 100] рассматриваются следующие сетевые характеристики, по степени влияния на сквозное качество обслуживания (от источника до получателя), оцениваемое пользователем (таблица 1.2):
Организация, цели, задачи и возможности технической компьютерной разведки
Кибернетическое пространство (киберпространство) понимается как глобальная область информационной среды, состоящая из взаимосвязанного набора информационных структур, включая телекоммуникационные сети и СПД, компьютерные системы, процессоры и контроллеры, встроенные в аппаратное обеспечение [65].
Под технической компьютерной разведкой (ТКР) понимают форму деятельность, которая заранее подготовлена и скоординирована во времени с целью организации доступа, перехвата и анализа данных, обрабатываемых в СПД, включая отдельные АРМы.
Проведение ТКР в отношении информационных технологий и ресурсов (ИР) в значительной степени способствует использование средств сетевого, телекоммуникационного оборудования и ПО, а также программ для систем ИБ, изготовленных или импортируемых по стандартам и лицензиям иностранных компаний.
Как правило, ТКР ведется в автоматизированных системах, содержащих информацию ограниченного доступа, инфокоммуникационных сетях, в том числе и в СПД ОТН.
В качестве технической базы для ведения ТКР применяются наиболее совершенные программные и технические системы и средства (аппаратура). Задачей ТКР является добывание разведывательной информации, содержащей сведения: – об научно-техническом и экономическом потенциале, о объекте и его расположении, а также видах деятельности должностных лиц. Данные сведения используются нарушителем для выявления уязвимостей КВО; – о структуре, составе, и содержании циркулирующей информации и других данных, необходимых для планирования задач ТКР при проведении целевых атак; – о структуре, составе, характеристиках и настройках программно-технических средств информационных объектов с целью разработки способов и средств ТКР, для ее проведения.
Источниками информации ТКР являются: – информационные ресурсы ИУС и ИС; – потоки данных в СПД; – характеристики ИУС и ИС, систем связи, в том числе программных средств для сбора и хранения информации, параметры и принципы организации ИБ как СПД, так и АРМов; – IP и MAC адреса и другие индивидуальные признаки должностных лиц ИУС и ИС. Объектами ТКР являются: – информационно-телекоммуникационная система и ее технические и программные средства; – базы данных, хранящие пользовательскую и технологическую информацию; – средства и системы, обеспечивающие ИБ.
Применяемые средства ТКР позволяют вскрывать и анализировать информацию с целью нахождения соответствующих ДМП: – содержание документов электронного вида; – статистические характеристика потока данных ИТКС; – характеристики объектов информационной инфраструктуры по функциональным и техническим признакам; – характеристики АРМов и ИТКС по аппаратным, программно-аппаратным и программным средствам; – информация о должностных лицах ИТКС, включая местоположение времени их работы, характере выполняемых задач, MAC и IP адресах, взаимодействия с другими должностными лицами и др. Техническая компьютерная разведка ведется в информационно телекоммуникационной системе, обрабатывающей информацию, предназначенную для распространения среди неограниченного круга лиц, а также информацию ограниченного доступа. Необходимо учитывать тот факт, что ТКР ведется с помощью средств, расположенных не только на территории России, что позволяет производить целенаправленный поиск и регистрацию потоков информации, циркулирующей по линиям связи в КВО, не имеющих определенных географических границ.
Средства ТКР могут размещаться: – на узлах информационно-телекоммуникационной системы; – в местах расположения операторов связи на территории России и за рубежом; – в местах расположения рабочих станций ТКР, в том числе с использованием домашних ЭВМ физических лиц и средств доступа к ТКС. Осуществляемый информационный обмен по линиям беспроводной связи представляет особую опасность, так как средства ТКР, могут подключиться через каналы беспроводного доступа.
В связи с тем, что информационно-телекоммуникационной системы строятся по многоуровневую логическому принципу, то появляются возможности формирования разных видов логико-алгоритмических (виртуальных) каналов утечки информации при комбинировании следующих компонентов: – объектов сбора и анализа источников информации; – сред передачи данных; – средств и методов ТКР. Так как, работа СПД ОТН ОАО «РЖД» обеспечивает выполнение процесса управление перевозками. Однако обеспечения штатной работы СПД ОТН затруднена с учетом реализации ряда целенаправленных атак организованным нарушителем с целью затруднения осуществления процесса перевозок, а также получения материальной выгоды.
Таким образом, ресурсы, используемые организованным нарушителем, содержат лучшие программные, технические системы и средства.
Обзор характеристик ТКР по реализации ДПВ показывает, что возможности организованного нарушителя по сбору, анализу и воздействию на элементы СПД постоянно совершенствуется и модернизируется.
С целью проведения оценки структурной скрытности СПД ОТН ОАО "РЖД" необходимо сформировать модель целевой атаки, проводимой средствами ТКР организованного нарушителя.
Частная модель расчета вероятности и времени реализации угрозы «Перехват и анализ сетевого трафика» организованным нарушителем
Решение о порядке и способах выполнения технологического процесса отображается в документообороте и соответствует календарному плану или графику выполнения мероприятий, таблице взаимодействия оперативных работников, должностными инструкциями, а также другим нормативным документам.
Пространственная и временная структура отображаются на различных уровнях, связанных с порядком и способами выполнения поставленных задач службами, отделами и оперативными работниками АСУОП.
Оперативное взаимодействие должностных лиц в рамках этапа технологического процесса определяется пространственной структурой.
Основы взаимодействия и организация управления определяются по информационной структуре. Кроме того, из информационной структуры определяется организация технологического процесса.
Подставляя конкретные характеристики действий оперативных работников и определенные свойства отношений при выполнении технологического процесса вместо абстрактных взаимодействий, можно получить различные системные срезы, аспекты представления систем.
Таким образом, от определения системы S в самом общем виде, как множества элементов А и отношений между ними R, т.е. S = (A, R), можно перейти к описанию систем оперативного управления перевозками, решающих определенные задачи. Присваивая конкретным свойствам объектов и отношений различные значения, можно получить либо изоморфные классы систем, либо конкретные системы с конкретными характеристиками их различных свойств. Виды деятельности оперативных работников при решении и выполнении задач управления адекватно описываются с точностью до элементов, с помощью выделения элементов управления, задействованных в технологическом процессе, и отношений, определяющих временную, пространственную и информационную структуры.
Следует отметить, что используются не только названные отношения, но и их комбинации, а также свойства элементов системы.
Так, пространственная структура изменяется во времени в зависимости от этапа решения задачи. Аналогичным образом может изменяться информационная структура. То есть при выделении элементов временной структуры это означает, что элемент системы Ai должен находиться в заданном месте, выполнять определенные для этого места и времени функции, т.е. проявлять определенные свойства, соотносящиеся с информационной структурой и аналогичными свойствами других элементов, выполняющими аналогичную функцию.
Подсистема системы управления – система связи, однозначно определяемая информационной структурой, точнее часть системы связи (сеть связи), изоморфная информационной структуре.
Информационная структура не является независимой от вида деятельности должностных лиц. В общем случае, она позволяет определить корреспондирующие пары, множество используемых IP-адресов и, как следствие, установить места размещения абонентов, с кем и когда они взаимодействуют в рамках выполнения технологического процесса, в интересах какого этапа цикла управления перевозочным процессом осуществляется информационный обмен, какова его интенсивность и как это соотносится с реализуемым процессом перевозки. То есть, по информационной структуре можно определить основные элементы и этапы технологического процесса.
Таким образом, информационная структура представляет наиболее информативный системный демаскирующий признак.
Интенсивность потоков определяется, исходя из перечня и характера задач, решаемых оперативными работниками в данный отрезок времени. При этом следует учитывать, что прежде, чем выполняется технологическая задача, она должна быть решена (обеспечена) информационно.
Это в свою очередь означает, что проявление информационной структуры предшествует решаемой задаче, которой эта структура соответствует.
Наблюдение за сетью передачи данных оперативно-технологического назначения (СПД ОТН) позволяет определить такие моменты времени, когда реализуется наиболее ответственный этап управления перевозками, и когда целевая атака на СПД ОТН нанесет, в том числе и значительный экономический ущерб.
Для формализованного представления (описания) системы, исходя из ее определения, необходимо уметь задавать объекты, отношения, а также свойства объектов и отношений. В наибольшей степени для этих целей подходят методы теории графов. Осуществляемые в ходе целевой атаки вскрытия структур обеспечиваются представлением элементов телекоммуникационной сети в виде вершин графа, а информационные связи между ними в виде ветвей, в которых содержатся все существенные свойства объектов и их количественные и качественные характеристики.
Предложенный метод формального представления деятельности оперативных работников позволяет: - описывать их с точностью до этапа решения и плана взаимодействия в зависимости от требуемой детализации; - представлять различные аспекты этапов технологического процесса заданного состава с помощью временных, пространственных и информационных структур (отношений); - декомпозировать деятельность служб по этапам технологического процесса, по соответствующим элементам информационной структуры; - использовать для этих целей хорошо разработанный аппарат теории графов, в том числе понятие изоморфизма графов, отражающего свойства идентичности структур; - определить информационную структуру как наиболее информативно отображающую деятельность служб и определить такие моменты времени, когда реализуется наиболее ответственный этап управления перевозками.
Способ распределения потока данных в сети передачи данных оперативно-технологического назначения
СПД ОТН содержит ряд демаскирующих признаков, которые характеризуют принадлежность к звену управления, характеру и виду технологического процесса, возможной структуре и составу систем управления перевозочным процессом.
Для анализа информационной безопасности и определения возможных уязвимостей проверяются места в сети, которые могут быть подвержены целевым атакам. Оцениваются оборудование СПД ОТН, сервера, АРМы и линии связи, а также операционные системы, базы данных и приложения. Для проведения анализа ИБ и сетевого контроля необходимо осуществить ряд этапов. На первом этапе определяются цели и задачи способов сетевого контроля. Анализируются программно-аппаратных средства, которые в состоянии выполнить функции и задачи программы контроля ИБ. Для подсистемы сетевого контроля разработать способы на основании математических моделей, которые позволят определить набор средств контроля и их место расположения на СПД ОТН.
На втором этапе на основании проведенного анализа и данных, полученных в результате первого этапа. Предлагается разработать механизмы контроля за СПД ОТН и порядка его функционирования.
Основная задача системы сетевого контроля за СПД ОТН – выявление и измерение демаскирующих признаков сети, позволяющих ТКР организованного нарушителя с некоторой вероятностью определить этап выполняемого технологического процесса.
К основным функциям системы сетевого контроля за СПД ОТН относятся: визуализация структуры и состава сети, обнаружение и классификация деструктивных воздействий, сбор и обработка потока информационного обмена на элементах сети и мониторинг состояния элементов СПД ОТН, поиск уязвимостей, оценка защищенности ИБ и структурной скрытности СПД.
Возможности реализации необходимых функций будут определяться составом ПО, используемого для сетевого контроля СПД ОТН.
Существует несколько основных механизмов анализа уязвимостей в тестируемой сети, которые относятся к двум основным классам: пассивному и активному тестированию, иначе называемые сканирование и зондирование.
Проверка заголовков – указанный механизм, используемый сетевыми системами анализа защищенности, представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Например, узнать версию ПО и, на основе этой информации, выявить наличие в них уязвимости.
Минимально необходимыми функциями сетевого контроля являются: визуализация состава и структуры сети; обнаружение и классификация несанкционированных воздействий; сбор и обработка данных о потоках на элементах сети; мониторинг состояния элементов СПД: проверка активных (открытых) портов и контроль реализованных маршрутов передачи данных, поиск уязвимостей, идентификация элементов СПД, оценка защищенности и структурной скрытности.
Существует ряд программных средств как зарубежного, так и отечественного производства с реализацией функций сетевого контроля, таких как: Network Monitor, Extreme Networks PurView, Internet Scanner, анализатор сетевого трафика «Астра 1.0», сетевой сканер «Ревизор сети» (версия 3.0) и др.
Следует отметить, что системы маскирования и дезинформации имеют ряд уязвимых мест, например:
1. Предварительный анализ трафика позволяет злоумышленнику понять, какие из обнаруженных портов фиктивные.
2. Моделирование атак на стенде и сравнивание результатов с тем, что выдается в реальной атакуемой системе, позволяет обнаружить использование средств маскирования.
3. Неправильная конфигурация систем маскирования и дезинформации приводит к тому, что организованный нарушитель сможет обнаружить факт слежки за ним и прекратить свою несанкционированную деятельность.
По этой причине необходимо организовать ложный информационный обмен на СПД ОТН таким образом, чтобы организованный нарушитель не мог различить маскирующий и оперативный трафик, а также создать препятствия в предоставлении услуг заданного качества должностным лицам в рамках этапа выполняемого технологического процесса.