Содержание к диссертации
Введение
Глава 1. Использование информационных технологий на правительственных сайтах федерального уровня и уровня штатов в Соединённых Штатах Америки 12
1.1 Методология исследования и обобщённые результаты 13
1.2 Обобщённые результаты исследования характеристик безопасности 15
1.3 Детализация результатов по отдельным штатам Америки 17
1.4 Детализация результатов по ветвям власти 22
1.5 Анализ сайтов правительств различных стран мира 24
1.6 Глобализация и прозрачность национальных экономик как основной элемент информационной безопасности 27
Глава 2. Информационная безопасность: концептуальные и методологические основы защиты информации 43
2.1 Понятие и составляющие информационной безопасности в Российской Федерации 43
2.2 Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации 58
2.3 Защита информации органов власти Российской Федерации как механизм реализации государственной политики в области обеспечения информационной безопасности России 66
Глава 3. Создание модели угроз системам защиты информации сайтов органов власти Российской Федерации 80
3.1 Обзор существующих методов и средств моделирования... 80
3.2 Определение, классификация, формализованное описание источников угроз системам защиты информации сайтов органов власти Российской Федерации 85
3.3 Модель угроз системам защиты информации сайтов органов власти Российской Федерации 89
3.4 Методика построения модели угроз системам защиты информации сайтов органов власти Российской Федерации... 95
Глава 4. Инструментально-моделирующий комплекс «Навига тор сканирования» и «Сканирование угроз» 100
4.1 Формирование области исследования 100
4.2 Инструментально-моделирующий комплекс «Навигатор Сканирования» 103
4.3 Инструментально-моделирующий комплекс «Сканирование угроз» 107
Глава 5. Экспериментально-расчетная часть 112,
5.1 Процедура и результаты анализа эффективности систем защиты информации сайтов органов власти Северо-Западного федерального округа 112
5.2 Выводы по экспериментально-расчетной части 119
Заключение 122
Список используемых источников
- Обобщённые результаты исследования характеристик безопасности
- Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации
- Определение, классификация, формализованное описание источников угроз системам защиты информации сайтов органов власти Российской Федерации
- Инструментально-моделирующий комплекс «Навигатор Сканирования»
Введение к работе
Актуальность выбора темы диссертационного исследования обусловлена необходимостью обеспечить сохранность информационных ресурсов, а также нарастанием угроз национальной безопасности РФ в информационной сфере за счёт получения несанкционированного доступа к информационным ресурсам и нарушения нормального функционирования информационных и телекоммуникационных систем. В связи с этим анализ эффективности систем защиты информации (СЗИ) сайтов органов власти становится обязательным этапом создания любой СЗИ сайтов.
Неотъемлемой частью разработки СЗИ сайтов органов власти является совершенствование нормативных правовых и нормативно-методических документов в области защиты информации, а также проведение экспертизы и контроля качества защиты открытой общедоступной информации, размещаемой на сайтах органов власти.
На региональном уровне, как показывает практика, органы власти, размещая открытую общедоступную информацию на сайтах в сети Интернет, в большинстве случаев не разрабатывают модели угроз и поведения «нарушителя», ввиду отсутствия методик и программных средств, позволяющих спрогнозировать их действия. Отсутствие должного уровня научной разработанности таких проблем препятствует широкому внедрению уже имеющихся исследований в практику. Учёт этого обстоятельства послужил основанием к выбору темы исследования. При этом, актуальность решения этой проблемы значительно повышается на уровне органов власти регионов.
Целью исследования является исследование и разработка методов, моделей и средств выявления, идентификации и классификации угроз нарушения СЗИ сайтов органов власти, расположенных в пределах Северо-Западного федерального округа (СЗФО), а также моделей и методов анализа эффективности их СЗИ.
В соответствии с целью в работе поставлены и решены следующие задачи:
на примере зарубежных стран: проанализирован аналогичный опыт создания СЗИ; проведена оценка сайтов правительств федерального уровня и уровня штатов Америки на предмет представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик их безопасности; выявлены различия между правительствами'обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации;
проведён анализ различий использования информационных технологий (ИТ) в разными ветвями* власти федерального правительства США; оценена роль таких элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ; проанализирована зависимость между глобализацией, состоянием демократических свобод и уровнем затенённости деятельности правительств; проведена качественная'и количественная оценка взаимосвязи между уровнем распространения ИТ и величиной непрозрачности экономики;
проанализирован опыт функционирования СЗИ органов власти СЗФО;
разработаны подходы к организации защиты информации (ЗИ), размещаемой на сайтах органов власти;
определена роль ЗИ в деятельности органов власти;
уточнены вопросы финансирования мероприятий, направленных на ЗИ огра-ничейного доступа в органах власти-субъектов РФ;
разработаны инструментально-моделирующие комплексы (ИМК) «Навигатор сканирования» и «Сканирование угроз»;
проведён анализ нормативных правовых и нормативно-методических документов в области защиты информации сайтов органов власти.
Решение- обозначенных задач имеет значение для научных и технических проблем специальности 05.13.19: Для народного хозяйства важность полученных результатов состоит в том, что разработаны новые и усовершенствованы имеющиеся методы и средства защиты информации.
Предметом настоящей диссертации является анализ эффективности СЗИ сайтов органов власти, а также разработка методов, моделей, программных и аппаратно-программных средств анализа эффективности СЗИ при ее обработке, передаче и хранении с использованием ИТ.
Особенность предмета исследования состоит в необходимости его изучения на примере создания СЗИ сайтов органов власти, что обуславливает как концептуально-теоретический подход к исследованию, так и набор методов исследования и направлений реализации его результатов, а также обусловлена межотраслевым характером информационных отношений.
Объектом исследования выступают методы и механизмы защиты информации, размещаемой на сайтах органов власти.
Область исследования. Содержание диссертации соответствует области исследования 05.13.19 «Методы и системы защиты информации, информационная безопасность» паспорта номенклатуры специальностей научных работников (технические науки).
Объектом наблюдения являются сайты органов власти СЗФО.
Теоретическая и методологическая основа исследования.
Теоретическая основа включает методологические положения и выводы, содержащиеся в трудах отечественных и зарубежных учёных, политических и государственных деятелей, материалы научных дискуссий в области обеспечения национальной и ИБ, а также положения философской, политологической наук о политике как социальном явлении, связанные с ИБ.
Исследование проведено на стыке ряда научных направлений, что. потребовало использование источников в области технических и юридических наук. Основу исследования на общетеоретическом уровне составили труды учёных В.П. Шерстюка, Р.Ф. Идрисова, Л.Г. Осовецкого, Ю.С. Уфимцева; М.В. Щедрина, В.И. Ярочкина в сфере информационных отношений таких ученых, как В.Г. Кулаков, В.В. Кульба, Н.А. Кузнецов, И.Л. Бачило, М.М. Рассолов, В.Н. Лопатин, М.В. Мирошниченко, А.А. Фатьянов.
Методологическую основу исследования составляют общенаучные и специальные методы познания. Их применение в сочетании с разработками философских, социологических и юридических проблем позволило установить первостепенные направления конкретной практической деятельности специали-стов законодательных органов при реализации задач обеспечения ИБ. Для сбора и изучения эмпирического материала применялись следующие основные методы: методы познания, различные сочетания эмпирических (наблюдение, экс-перимент и т.д.), логических методов, а также моделирование, математические и кибернетические методы. Из специальных методов широко применялись ме-тоды.графического отображения данных и экспертных оценок.
Информационная основа исследования. Существенную теоретическую и методологическую роль в расширении представления диссертанта при решении научных задач сыграли статистические исследования, материалы периодической печати, в том числе размещенные в сети Интернет, отражающие влияние информации, новых ИТ на состояние и процесс обеспечения национальной и ИБ РФ и её субъектов, материалы международных и отечественных выставок и конференций в области ИТ и средств её защиты, а также практический опыт работы автора в Управлении ФСТЭК России по СЗФО.
Нормативная правовая база исследования сформирована на основе использования официальной правовой информации.
Научная новизна диссертационного исследования состоит в следующем:
проведено новое исследование анализа эффективности СЗИ сайтов органов власти СЗФО, результаты которого привели к выводу о несоответствии применяемых методов ЗИ необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения;
выявлены причины несоответствия1 современным требованиям применяемых методов ЗИ сайтов правительственных организаций;
внесены коррективы в традиционно используемые понятия, относящиеся к предметной области «информационная безопасность», «безопасность информации», «защита информации»;
разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ;
создана модель угроз, направленная на обеспечение ЗИ, размещаемых органами власти в сети Интернет, отличающаяся введением механизма саморазви-4 тия, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угроз;
предложены научно обоснованные рекомендации, которые по сравнению с существующими позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти;
проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки на предмет качества представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик-безопасности, показавшие наличие нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивности;
оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения ИБ. Оценка позволила придти к выводу о том, что тенденция роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации;
проведена качественная и количественная оценка взаимосвязи между уровнем распространения ИТ и величиной непрозрачности экономики.
Объективность исследования достигается использованием автоматизированных методов проведения исследования с использованием инструментальных средств, снижающих вероятность случайной ошибки. Точность и достоверность полученных результатов оценивается (по возможности) применением
аппарата математической статистики и поддерживается инструментальными средствами.
Значимость полученных результатов для теории заключается в развитии теории и методологии изучения проблем ЗИ органов власти на региональном уровне.
Практическая значимость исследования состоит в создании модели и метода анализа эффективности СЗИ сайтов органов власти, а также механизма совершенствования обозначенных систем на примере СЗФО. Ряд положений могут быть включены в обоснование предложений по совершенствованию научно-технических методов эффективной защиты и создания СЗИ, российского законодательства в сфере информационных отношений и повышению его эффективности; в развитие научных представлений и понятий в области цикла общих профессиональных дисциплин специальности 075300 «Организация и технология защиты информации», на курсах повышения квалификации, подготовки и переподготовки, кадров по ЗИ; при проведении дальнейших научных исследований по данной проблематике.
Апробация результатов исследования.
Диссертация выполнена и обсуждена на заседании кафедры «БИТ» ГОУ ВПО «СПбГУ ИТМО». Теоретические положения и выводы использовались диссертантом в учебном процессе при изложении лекционного материала и проведении практических занятий в ГОУ ВПО «СПбГУ ИТМО», на курсах повышения квалификации ФГУП «ЗащитаИнфоТранс», НОУ ДПО «Северо-Западный центр комплексной защиты информации» и НОУ ДПО «Центр предпринимательских рисков». Авторские материалы научно-технического отчета «Исследование анализа защищённости официальных сайтов органов власти, находящихся в пределах СЗФО», подготовленные на кафедре «БИТ» в соответствии с договором между Управлением ФСТЭК России по СЗФО и ГОУ ВПО «СПбГУ ИТМО» «О сотрудничестве в научных исследованиях, подготовке, повышении квалификации, стажировке и профессиональной переподготовке специалистов в области обеспечения безопасности информации в системах инфор-
, 9
мационной телекоммуникационной' инфраструктуры» использованы для подготовки Межведомственного совета по защите информации при полномочном представителе Президента РФ в СЗФО, а также в ходе подготовки и проведения, мероприятий контроля? в органах власти; и организациях СЗФО (исх. №598 от 08.05.2007).
Результаты исследования также использовались в рамках совместного проекта ГОУ ВПО «СПбГУ ИТМО» и Управления ФСТЭК России по? СЗФО в ра-боте по идентификации ключевых систем информационной инфраструктуры, региона, в части разработки и совершенствования методов анализа защищённости сайтов органов власти РФ; а,также были применены в работе ООО)«ЩИТ-XXI» по анализу защищенности сайтов органов? власти и банковской сферы
СЗФО: .' ."
Основные положения и результаты диссертационного, исследования прошли апробацию на конференциях, проведённых ГОУ ВПО «СПбГУ ИТМО»: Ш межвузовская конференция*, молодых ученых, 28-31 марта 2005 г., ХХХЩ научная- и учебно-методическая ^ конференция, 2-4 февраля» 2005: г., III межвузовская конференция молодых ученых, 10-13 апреля 2006 г. .
Результаты работы реализованы, что подтверждается: научно-техническим отчетом «О состоянии защищённости официальных сайтов органов власти и организаций, находящихся в пределах СЗФО, российского сегмента Интернет по основным направлениям и видам деятельности», кафедры. «БИТ» ГОУ ВПО «СПбГУ ИТМО» по запросу Управления ФСТЭК России по СЗФО (исх. №101 от 30.01.2007); актами овнедрении: ФСТЭКРоссии; Управ-ления ФСТЭК России по СЗФО, Комитета по информатизации и связи администрации Санкт-Петербурга,.Агентства по информатизации.и связи правительства Камчатского края; ГОУ ВПО; «СПбГУ ИТМО», Санкт-Петербургского монетного двора филиала ФГУП «Госзнак», НОУ ДПО «СЗЦКЗИ», ЗАО «Эврика».
Основные положения, выносимые на защиту:
модель угроз СЗИ сайтов органов власти;
методика определения угроз СЗИ сайтов органов власти;
рекомендации, повышающие эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти;
результаты анализа сайтов правительств федерального уровня и уровня штатов Америки на предмет представления онлайновой информации и услуг, различия между правительствами обоих уровней на основе показателей, характеризующих степень соответствия потребностям граждан в доступе к необходимой им информации;
обобщённые результаты исследования характеристик безопасности сайтов правительств федерального уровня и уровня штатов Америки;
результаты оценки роли элементов (глобализация и прозрачность) в области развития национальных экономик для обеспечения эффективной ИБ.
Публикации. Результаты диссертационного исследования нашли своё отражение в 1 НИР, 7 статьях (общим объемом 3 п.л.), 5 из которых опубликованы в рецензируемых ВАК изданиях.
Структура и объем диссертации. Работа состоит из введения, пяти глав, заключения, списка используемых источников, приложения на 137 страницах машинописного текста, имеет 10 рисунков, 20 таблиц. Список используемых источников содержит 82 наименования.
Обобщённые результаты исследования характеристик безопасности
И правительства штатов, и федеральное правительство США на своих -сайтах разместили большее количество; информации, доступной населению в диалоговом режиме, а также приложили значительные усилия, чтобы увеличить разнообразие доступных диалоговых услуг. Одним из наиболее важных моментов является создание во многих штатах порталов онлайновых услуг, когда имеется единый сайт, на котором интегрированы все возможные предоставляемые услуги правительства и. всех его агентств. Подобные порталы создают большие преимущества для рядовых граждан, поскольку они уменьшают необходимость посещения большого числа сайтов различных правительственных агентств для получения нужной услуги или поиска информации. Вместо этого граждане могут ограничиться посещением универсального (one-stop) агентства и найти там все то, в чем они нуждаются.
Порталы представляют собой унифицированные проекты различных штатов Америки. Подобные порталы, обеспечивают для граждан лёгкий и удобный диалоговый доступ к информации различных правительственных организаций и услугам в режиме «одного окна», чем разобщённые сайты, каждый со своим собственным языком, навигационными системами и организационным стилем. Некоторые штаты, например, Пенсильвания, даже провели инновационные маркетинговые кампании при создании порталов. Результатом кампании стало включение в качестве одного из оснований для получения лицензии на осуществление определённого вида деятельности, наличие у лицензиата портала в сети Интернент.
Такой портал был также разработан и на федеральном уровне в форме Firstgov.gov. Он объединяет предоставление федеральных правительственных услуг США. Портал Firstgov.gov обеспечивает коммуникации между различными правительственными агентствами, такими, как законодательные, судебные и исполнительные ветви правительства. Кроме того, предусмотрены возможности иметь связи с правительствами штатов, а также и с иностранными правительствами.
Одновременно, признавая юридические риски диалоговой информации и предоставления онлайновых услуг, ряд правительственных сайтов отправили уведомления о том, что в условиях всеобщей сетевой связанности они не отвечают за информацию, содержащуюся на других сайтах. Например, штат Нью-Йорк, имея связи с другими правительственными агентствами и не правительственными организациями, предупреждает своих посетителей, что «наше признание существующих связей не подразумевает одобрения содержащихся на других сайтах сведений и данных и лишь гарантирует точность передачи сообщения и любой информации, представленной на любом из этих внешних сайтов». В то же время результаты исследования показывают, что значительное продвижение в области информационного обеспечения и предоставления услуг происходило на фоне нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития -интерактивности. По сравнению с различными коммерческими сайтами общественный и государственный сектор пока отстает по использованию потенциала технологической мощности Интернет для улучшения жизни граждан и повышения эффективности деятельности правительственных учреждений.
Детализация результатов по отдельным штатам Америки
В проанализированных 50 правительствах штатов, а также на уровне федерального правительства США отмечена большая разница в количестве сайтов, предоставляющих диалоговые услуги (см. Таблицу 1, список сокращенных наименований штатов, см. в Таблице 6). Так, на момент проведения- исследования на первом месте находился штат Калифорния (41 процент сайтов, обеспечивающих тот или типуслуг), затем следовали штат Пенсильвания (39 процентов), штат Индиана (38 процентов), штат Огайо (35 процентов), Аризона (35 процентов) и Мичиган (35 процентов). В число штатов, предлагающих наименьшее число онлайновых услуг, входят Вуоминг, Новый Хэмпшир и Род-Айленд. При этом важно напомнить, что согласно принятой методологии исследования в количество регистрируемых услуг отнесены только те услуги, которые полностью выполнимы в диалоговом режиме.
Фактически нерегулируемая деятельность Интернет побудила многих исследователей подвергнуть сомнению уровень поддержки секретности и безопасности правительственных сайтов. Более того, многочисленные опросы общественного мнения показывают, что эта проблема является наиболее беспокоящей граждан, когда они используют Интернет и ИТ для взаимодействия с правительственными организациями. Не удивительно, что в свете сложившейся ситуации возрастает число сайтов, предлагающих ту или иную политику в этой области. В частности, на момент проведения исследования 28% сайтов имели сформулированную структуру политики поддержки конфиденциальности и секретности на своих сайтах. В области поддержки безопасности сформированную политику имели 18% сайтов.
Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации
Как отмечалось, в системе национальной безопасности России особая роль принадлежит обеспечению ИБ, безопасности информации и защиты информации. По нашему мнению, их следует рассматривать как комплекс мер (правовых, организационных, технических), принимаемых федеральными орга- нами власти, органами власти субъектов РФ по выявлению, предупреждению и противодействию разноплановым угрозам. Ниже рассматриваются примеры, которые могут послужить введением в существо проблемы.
Информационные технологии в настоящее время используются во всех сферах жизнедеятельности общества. Без них практически невозможно создать продукт, оказать услугу и, тем более, обеспечить информационную безопасность, безопасность информации и защиту информации. Необходимо отметить, что особая роль в этом вопросе отводится органам власти, которые являются основными «производителями» информации в России. И, как справедливо от- , мечают некоторые авторы [1], «именно информация, идущая от них, представляет собой самый важный ресурс, необходимый для жизни каждого гражданина и для деятельности всех участников рынка», поэтому, продолжают они, «...органы исполнительной власти обязаны постоянно использовать новые технологии для распространения информации, необходимой обществу...», и, в частности, «...необходимо облегчить их доступ (общества — прим. Е.А.) в органы исполнительной власти через российский сегмент международной ассоциации сети Интернет», так как сайты обозначенных органов «...содержат всю общест венно значимую информацию об их структуре, задачах, функциях и текущей деятельности».
В федеральнойщелевой;программе «Электронная;Россия (2002 - 2010 годы)» [36] (ФЦП «Электронная; Россия»), которая рекомендованая реализации/, органам исполнительной; власти субъектов-РФ; отмечается, что по мере разви- . тия; и проникновения информационных и коммуникационных технологий во все сферы общественной жизни органы власти все чаще используют их дляор-ганизации эффективного управления своей деятельностью и повышениям качества предоставляемых.услуг населению. Использование таких технологий в современном- информационном обществе является необходимым условием:обеспечения, соответствия государственного управления ожиданиям и потребностям населения..
Вместе с тем, ФЦП: «Электронная Россия»- [36] преследует своей целью обеспечение защиты и безопасности данных, используемых, для- целей государ- ственного управления, правгграждашна защиту персональных данных-и реализацию их законных интересов: при информационном. взаимодействии с органами; власти, так. как не: сформирована инфраструктура; обеспечивающая ИБ электронных форм;взаимодействия органов власти между собой, с населением И организациями. И,, как, справедливо отмечает Мирошниченко М.В; [27], сегодня «система,обеспечения национальной безопасности России не справляется? с постоянным ростом источников опасностей, их качественным изменением, растущим разнообразием угроз: и их комбинаций-, а также с оценкой интегрального состояния безопасности и выработкой решений по блокированию угроз». Мы по-., лагаем, что данное высказывание можно отнести и к системе обеспечения-ИБ; так как она является неотъемлемой;частью национальной безопасности России.
На наш взгляд, следует также:согласиться с мнением; Идрисова РіФі [18] о том, что защита:информации;должна носить комплексный характер, поскольку при постоянно меняющейся международной обстановке «...деятельность технических разведок развитых иностранных государств по добыче...» информации «...не сокращается и эти государства продолжают принимать меры.по по вышению её эффективности», при этом «...значительный интерес для технических разведок стала представлять не только секретная, но и служебная информация, не относящаяся к категории секретной, но позволяющая путём анализа и сопоставления содержащихся в ней сведений получить важную информацию», порой информацию, содержащую сведения, составляющие государственную тайну. Здесь следует добавить, что такого рода деятельностью занимаются не только иностранные спецслужбы, но и террористические организации, юридические и физические лица (в том числе, государственные служащие), а также криминальные структуры.
Данная проблема особенно актуальна для органов власти субъектов РФ [41], так как по результатам деятельности Управления ФСТЭК России по СЗФО выявляются факты нарушения названными органами требований нормативных правовых актов, нормативно-методических и методических документов в области защиты информации, что предполагает потенциальную возможность утраты, нарушения целостности, доступности и утечки такой информации. Указание законодателя на необходимость неукоснительного соблюдения данных требований было продиктовано, по нашему мнению, тем, что в органах власти субъектов РФ в связи с активным использованием ИТ значительную часть бумажных информационных ресурсов стали конвертировать, хранить, обрабатывать, передавать с использованием информационных систем. Данные системы изначально строились и эволюционно развивались на условиях открытости, однако в процессе использования этих систем стали накапливаться огромные массивы общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информация ограниченного доступа), разглашение, утрата, нарушение целостности, достоверности которой могли нанести значительный ущерб.
Определение, классификация, формализованное описание источников угроз системам защиты информации сайтов органов власти Российской Федерации
Информационная безопасность становится важнейшей проблемой, определяющей темпы и будущее развитие информационного сообщества на платформе Интернет, как технического средства, обеспечивающего эффективный обмен и использование электронной информации для открытого («прозрачного») информирования населения о деятельности органов власти. Однако рекламируемая иностранными государствами «прозрачность» сайтов органов власти РФ в связи с возможным вступлением России в ВТО является отчасти навязываемой стратегией в целях легкого получения стратегически важной для России информации об её экономической и иной государственной деятельности [25].
Ввиду сложности реальной и объективной оценки защищенности сайтов в пределах данной работы были использованы отдельные, наиболее представительные показатели защищенности сайтов органов власти СЗФО и проведен сравнительный анализ их защищенности с сайтами других хозяйствующих субъектов и уровнем защищенности сайтов и показателей иностранных государств.
Посредством интернет-технологий управляются многие бизнес-процессы, используется удаленное управление путём современных Интренет-коммуникаций и иных средств связи. Обеспечение функционирования удаленных сетевых магазинов посредством Интернет-коммерции, Интернет-банкинга [71], [34], а также деятельность правительственных структур в области всемирной паутины заставляют говорить о том, что Интернет становится критической информационной технологией, от работоспособности которой зависит национальная безопасность страны и стабильность экономической системы.
Состояние информационной безопасности в Интернете является одним из важных факторов, определяющих развитие электронного правительства, которые рассматриваются как базовые составляющие информационного общества, переход к которому наблюдается в настоящее время в развитых странах. Следовательно, оцениваемый в работе уровень защищенности сайтов, характеризующий степень распространения безопасных информационных технологий на сайтах в Интернете, связан с показателями, отражающими продвижение стран мира к информационному обществу.
Решение вопросов относительно анализа и оценки защищенности сайтов сети Интернет позволяет говорить о стабильности и безопасности его функционирования [47]. Хосты в Интернете имеют средства защиты, в противном случае это привело бы к организационному и функциональному разрушению сетевой инфраструктуры. Также нельзя говорить об абсолютной защищенности, ввиду того, что Интернет представляет собой область, доступную для подключения всех желающих практически без ограничений. Не имея единого регламентирующего центра, Интернет контролируется некоторыми организациями, которые обеспечивают выполнение отдельных функций по контролю и наблюдению за сетью. В то же время частные и закрытые сети, как правило, включают в себя регламентированные механизмы контроля и управления [17].
Кроме того, в программном обеспечении сетевых платформ, в протоколах передачи данных априори существует большое количество уязвимостей, и не представляется вероятным, чтобы они могли быть ликвидированы в ближайшем будущем. Поэтому выходом из проблемы оценки защищенности может стать некий приемлемый уровень безопасности. Уровень в контексте оценки безопасности в Интернете может рассматриваться как приемлемый для пользователей, компаний, использующих Интернет-коммерцию, а также государственных организаций, обеспечивающих коммуникацию с контактной аудиторий посредством Интернет-технологий.
Основные подходы, принятые в пределах данной работы включают следующее:
1. «Прозрачность» и «открытость» органов власти, которые необходимы для развития общества на базе их информатизации. 2. Информатизация сайтов органов власти без необходимого и достаточного обоснованного уровня их защищенности пагубна и наносит вред и ущерб России в целом и всех входящих в неё структур, в частности, СЗФО. 3. Абсолютная защищенность недостижима, необоснованно требует огромных ресурсов и не нужна. Необходим конкурентоспособный, в сравнении с защищенностью других сайтов, уровень защищенности.
Работа по выявлению угроз СЗИ сайтов органов власти проводилась на базе исследования СЗИ сайтов органов власти СЗФО [32], по запросу Управления ФСТЭК России по СЗФО от 30 января 2007 №1/101. В связи со спецификой задачи предварительно была проведена классификация и формализованное описание подходов к выявлению источников угроз СЗИ сайтов органов власти.. На основании разработанных подходов были сформулированы принципы выявления источников угроз СЗИ сайтов органов власти.
Принципы выявления источников угроз СЗИ сайтов органов власти должны отвечать следующим требованиям:
1. В принципах выявления источников угроз СЗИ сайтов органов власти должны декларироваться научно-технические методы построения моделей, оценки актуального и объективного состояния эффективности СЗИ.
2. Принципы выявления источников угроз СЗИ сайтов органов власти должны обеспечивать следующие характеристики используемых методов: объективность, достоверность, точность результатов. Объективность исследования достигается использованием автоматизированных методов проведения исследования с использованием инструментальных средств, снижающих вероятность случайной ошибки. Точность и достоверность полученных результатов оценивается (по возможности) применением аппарата математической статистики и поддерживается инструментальными средствами.
Инструментально-моделирующий комплекс «Навигатор Сканирования»
В программный модуль ИМК «Сканирование угроз» заложены возможности по более тонкой настройке действий по проведению анализа. В частности, эти настройки предусматривают [3]:
Возможность ограничения времени на установления соединения с сайтом по протоколам HTTP/HTTPS;
Возможность ограничения числа исследуемых вложенных страниц первого и второго уровней вложенности для сокращения времени всего исследования;
Возможность установления соединения с Интернетом через прокси-сервер с заданными настройками.
Результаты практического использования ИМК «Навигатор Сканирования» и ИМК «Сканирование угроз» рассмотрены в 5 главе. Технологический раздел ИМК «Навигатор сканирования» и ИМК «Сканирования угроз» Отладка и тестирование Объектами тестирования является разработанные ИМК «Навигатор сканирования» и ИМК «Сканирование угроз»
Цель тестирования заключается в проверке корректности функционирования ИМК, обнаружении, локализации и устранении ошибок и некорректностей в работе комплекса.
Требования к объектам тестирования ИМК должны корректно реагировать на различные ошибочные ситуации, которые могут возникнуть в процессе их функционирования (по возможности не допуская их появления), а также обеспечивать: корректный вывод информации на экран; корректное функционирование во времени; корректное выполнение всех функций меню программ; корректное завершение своей работы. Средства отладки ИМК
ИМК были разработаны в программной среде CodeGear Delphi for Microsoft Windows from Borland. Помимо средств создания и редактирования исходных текстов программ и их компиляции, в данной среде существует мощный отладчик с широким набором функций, в том числе: пошаговое выполнение программы (трассировка); установка контрольных точек прерывания выполнения программы (breakpoints); просмотр и изменение содержимого переменных и отдельных блоков данных программы в ходе ее трассировки; просмотр стека вызовов процедур и функций и др.
В случае аварийного завершения работы ИМК (runtime error) отладчик сам указывает строку исходного текста программы, содержащую ошибочный оператор. Для облегчения контроля за синтаксическими ошибками используемые программные среды поддерживают режим проверки синтаксиса вместо полной трансляции программы. При внесении исправлений в какой-либо из модулей комплекса повторная трансляция производится только для этого модуля.
Тестирование ИМК
Нами было проведено тестирование работы всех элементов управления, функциональных модулей программы, их взаимодействие и работы ИМК в целом. В процессе проведения тестирования удалось выявить и устранить следующие проблемы: ошибка работы с буфером обмена Windows. Для устранения был пере смотрен формат файла проекта и написан корректный модуль, обраба тывающий работу с буфером обмена Windows; ошибки установления соединения с некоторыми удаленными хостами, прописанными в строке навигации. Была выявлена причина наруше ния работоспособности и проведена детализация кода программы, оптимизирующая взаимодействие между окном браузера и строкой навигации. В соответствии с техническим заданием ИМК состоит из исполняемых файлов, файлов проекта и файлов, содержащих данные. В процессе выполнения программы могут возникать ошибочные ситуации нескольких видов:
Ошибки в настройке операционной системы. Решение — проверить правильность путей и доступность всех необходимых библиотек. Проверены корректность настройки системы, а также наличие всех необходимых устройств в системе.
Ошибки в действиях пользователя. Решение - проверить наличие подключение к Интернет, загруженность Интернет канала, доступность запрашиваемого Интернет-ресурса.
Различные системные ошибки. Решение - обратиться в службу технической поддержки используемой операционной системы.
Опыт использования разработанных ИМК показал, что они позволяют решать поставленные в исследовании задачи. Важно, что комплекс имеет невысокие аппаратные и программные требования и удобный пользовательский интерфейс.
По результатам тестирования и практического использования можно сделать вывод о том, что ИМК обеспечивают выполнение всех предъявляемых к ним требований, корректно реагируют на ошибки и, что самое главное, не допускают ситуаций, влекущих их за собой.
