Файл: Системы управления, связи и безопасности 4. 2018 Systems of Control, Communication and Security.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 95
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
152
Показатели и критерии.
Комплексный показатель безопасности k
x∑
для каждого x-го узла структу- ры сети маскирующего обмена вычисляют путем суммирования, или перемно- жения, или как среднее арифметическое значение его параметров безопас- ности b
xy
Средний показатель безопасности маршрута ср
ij
k
для каждого из N
ij
воз- можных маршрутов связи вычисляют как среднее арифметическое комплекс- ных показателей безопасности
n
x
k
узлов сети, входящих в n-ый маршрут свя- зи.
В качестве безопасного маршрута связи доп
ij
N
выбирают маршрут с наибольшим значением его среднего показателя безопасности: ср max
ijn
k
Допустимые маршруты доп
ij
N
со значениями средних показателей без- опасности ср доп
ij
ij
k
k
, используемые для передачи по ним конструктивных со- общений.
Маскирующие маршруты маск
ij
N
со значениями средних показателей без- опасности ср доп
ij
ij
k
k
, используемые для передачи по ним маскирующих (лож- ных) сообщений с целью введения нарушителей в заблуждение относительно структуры сети связи.
Количество L возможных допустимых маршрутов связи между каждой парой абонентов сети.
Количество G маскирующих маршрутов связи между каждой парой або- нентов сети.
Теоретической основой методики является теория графов, теория алго- ритмов и теория матроидов.
Для достижения цели методики осуществляют последовательность дей- ствий, представленную блок-схемой на рис. 7. В общем случае ИСС ВН строят для соединения абонентов посредством ССОП (например, Интернет), представ- ляющей собой совокупность физических линий (каналов) связи, соединяющих собой X узлов сети в единую инфраструктуру.
Различные серверы цифровых систем связи могут быть доступны или вы- деленной совокупности абонентов, как например, сервер безопасности, или представлять собой общедоступные серверы ССОП (например, Интернет).
Целесообразно рассматривать случаи, когда количество узлов сети X больше двух.
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
153
НАЧАЛО
9
Да
Задают
{IP},{ID},IP
СБ
,
ID
а
, IP
а
, k
доп
ij
, b
xy
,
x=1,2..X, y=1,2..Y
{M
ij
MTU
}
1
k
ср
ij
≥
k
доп
ij
4
Формируют
N
ij
возможных маршрутов для ij пары абонентов
9 8
26 17 16
Да
MTU
УТ
<
MTU
Тр
25
Нет
25
Нет
13
Вычисляют
k
x
∑
, где x=1,2,...X
2
Формируют матрицу смежности вершин графа сети
3
Вычисляют
k
ср
ij
для каждого из
N
ij
маршрутов
5
Выбирают безопасные маршруты N
б
ij
с махk
ср
ij
6
Запоминают безопасные маршруты N
б
ij
7
Сравнивают значения средних показателей безопасности маршрутов с допустимым значением
8
Запоминают допустимые маршруты
N
доп
ij
10
Формируют
L допустимых маршрутов
11
Запоминают
L маршрутов
12
Запоминают маскирующие маршруты
N
маск
ij
13
Вычисляют значения MTU каждого узла маршрута N
маск
ij
14
Запоминают значения MTU в массиве памяти
{M
ij
MTU
}
15
Формируют карту сети связи со значениями MTU каждого узла
16
Формируют
G маскирующих маршрутов
17
Запоминают
G маскирующих маршрутов
18
Выбирают для каждого G узел- терминатор сообщения G
T
19
Считывают значение MTU узла- терминатора сообщения
G
T
20
Запоминают для каждого G узел- терминатор сообщения G
T
21
Сравнивают значение MTU узла- терминатора и значения
MTU всехтранзитных узлов
22 23
Задают необходимое значение MTU по TCP
MSS
24
Рис. 7. Блок-схема алгоритма методики реализации маскирующего обмена
(начало)
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
154
Да
l
g
≤
MTU
Тр
33 32 40 39 4
Нет
32 24
Да
l
g
>
MTU
Тр
Нет
33
Да
Есть новый абонент?
Нет
КОНЕЦ
Запоминают значение MTU узла- терминатора сообщения
G
T
25
Формируют сообщения с L и G
маршрутами, и MTU узла- терминатора сообщения
G
T
26
Формируют сообщения:
{N
б
ij
}
27
Отправляют сообщения
{N
б
ij
}
абонентам
28
Отправляют сообщения с L и G
маршрутами, и MTU узла- терминатора сообщения G
T
всем i-м абонентам по
N
б
ij
29
Принимают сообщения всеми i-ми абонентами
30
Формируют маскирующие сообщения
31
Фрагментируют маскирующие сообщения на g фрагментов
32
Сравнивают длину g фрагментов маскирующих сообщений с MTU
транзитных узлов
33 34
Сравнивают длину g фрагментов маскирующих сообщений с MTU узла- терминатора
35 36
Дефрагментируют маскирующее сообщение
37
Запрещают последующую фрагментацию IP-пакета сообщений
38
Передают маскирующие сообщения по G маскирующим маршрутам
39
Фрагментируют сообщение на L
фрагментов
40
Передают фрагменты по L
маршрутам
41 42
Формируют сообщение о новом абоненте с указанием его
IP
УС
, IP
а
, ID
а
43
Отправляют сообщение на СБ
44
Запоминают в СБ
IP
а
→ {IP}
ID
а
→ {ID}
45
Рис. 7. Блок-схема алгоритма методики реализации маскирующего обмена
(окончание)
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
155
Все элементы инфраструктуры определяются идентификаторами, в каче- стве которых в наиболее распространенном семействе протоколов TCP/IP ис- пользуют сетевые адреса (IP- и MAC-адреса). При необходимости распреде- ленной обработки информации и (или) ее передачи абоненты осуществляют подключение к ССОП. Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. При передаче пакетов сообщений по ССОП к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые зна- чения показателей безопасности элементов сети связи.
Рассмотрим для примера схему (граф) совокупности альтернативных маршрутов связи между парой абонентов УС ПУ (u, v) ϵ T
M
, содержащую
(рис. 8) транзитные узлы ССОП.
А i
А j
1 2
УС 3
УС (ПУ)
1, СБ
УС (ПУ)
11
УС 4
УС 7
УС 6
УС 8
УС 5
УС 9
УС 2
УС 10
Рис. 8. Схема (граф) совокупности альтернативных маршрутов связи между парой абонентов ИСС ВН
Передача маскирующих сообщений, с помощью которых добиваются ис- кажения структуры ИСС (алгоритмов функционирования) при ее реконструк- ции злоумышленником, может осуществляться между абонентами А
i
и А
j
. Воз- можен также вариант организации маскирующего обмена между абонентами А
i
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
156 или А
j
и ложными абонентами А
f
. Структура ССОП динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасно- сти, формирования маршрутов и обслуживания запросов абонентов о допусти- мых маршрутах связи целесообразно возлагать на выделенный сервер безопас- ности.
На начальном этапе в сервере безопасности задают исходные данные, включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IP
СБ
, идентификаторы ID
а
и адреса IP
а
абонентов, под- ключенных к сети связи, массив памяти
MTU
ij
M
для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети, принадлежащими маски- рующему маршруту маск
ij
N
. Для каждого x-го узла связи между парой абонентов
(u, v)
ϵ T
M
, где x = 1, 2, …, Х, задают Y ≥ 2 параметров безопасности и их значе- ния b
xy
, где y = 1, 2, …, Y.
Параметры безопасности узлов ССОП определяют, например, в соответ- ствии с ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения без- опасности. Критерии оценки безопасности информационных технологий».
Значения b
x1
параметра y = 1 безопасности узлов сети определяют, напри- мер, по характеристикам производителей оборудования узлов сети, информа- цию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например
00:10:5а:3F:D4:E1, где первые три значения определяют производителя
(00:01:е3 – Siemens, 00:10:5а – 3Com, 00:03:ba – Sun).
Также параметром безопасности узлов связи может являться местополо- жение и условия эксплуатации. Узлы связи могут находиться как в государ- ственной организации или на объекте, на котором обрабатывают информацию, составляющую государственную тайну (то есть соблюдены требования по ре- жиму секретности и противодействию техническим средствам разведки), или в частной организации, где соответствующие требования не выполняются.
В качестве остальных параметров безопасности узла ССОП можно рас- сматривать тип его оборудования, версию установленного на нем программно- го обеспечения, принадлежность узла государственной или частной организа- ции и другие известные сведения.
Для каждого x-го узла связи между парой абонентов (u, v) ϵ T
M
по значе- ниям b
xy
его параметров безопасности вычисляют комплексный показатель без- опасности k
x∑
Комплексный показатель безопасности k
x∑
для каждого x-го узла сети вы- числяют путем суммирования:
1
Y
xy
x
y
k
b
,
(7) или перемножения:
1
Y
xy
x
y
k
b
,
(8)
1 2 3 4 5 6
Системы управления, связи и безопасности
№4. 2018
Systems of Control, Communication and Security
sccs.intelgr.com
URL: http://sccs.intelgr.com/archive/2018-04/08-Sherstobitov.pdf
157 или как среднее арифметическое значение:
1
Y
xy
x
y
k
b
Y
(9) его параметров безопасности b
xy
Принципиально способ вычисления k
x∑ не влияет на результат выбора безопасного маршрута.
Кроме этого возможен утилитарный подход к определению комплексных показателей безопасности k
x∑
для каждого x-го узла сети, когда их задают би- нарно-опасный узел, либо безопасный узел, в последнем случае полагая, что его безопасность доказана, но количественные значения показателей безопас- ности недоступны лицам, принимающим решение на выбор маршрута.
Пример расчета комплексных показателей безопасности узлов связи в со- ответствии с предложенной ранее структурой сети связи представлен в табли- це 2.
Таблица 2 – Пример расчета комплексных показателей безопасности узлов связи
Узлы сети
Х = 11
Параметры безопасности узлов сети Y = 3
Комплексный показатель безопасности x-ого узла k
x∑
y = 1
y = 2
y = 3
∑ bxy
∏ bxy
(∑ bxy ) ∕Y
x = 1 0,8 0,9 0,7 2,4 0,50 0,8
x = 2 0,6 0,5 0,2 1,3 0,06 0,4
x = 3 0,2 0,3 0,2 0,7 0,01 0,2
x = 4 0,2 0,4 0,3 0,9 0,02 0,3
x = 5 0,7 0,8 0,7 2,2 0,39 0,7
x = 6 0,4 0,3 0,6 1,3 0,07 0,4
x = 7 0,3 0,3 0,5 1,1 0,05 0,4
x = 8 0,5 0,4 0,3 1,2 0,06 0,4
x = 9 0,5 0,3 0,5 1,3 0,08 0,4
x = 10 0,3 0,4 0,2 0,9 0,02 0,3
x = 11 0,8 0,8 0,7 2,3 0,45 0,8
Далее формируют матрицу смежности вершин графа сети [33], для чего запоминают в структурном массиве адреса узлов сети IP
УС
и адреса абонентов
IP
а
сети, а также информацию о наличии связи между узлами и абонентами се- ти.
После этого в идентификационном массиве запоминают идентификаторы
ID
а
, ID
СБ
и соответствующие им адреса IP
а
, IP
СБ
абонентов сети и сервера без- опасности.
Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами ИСС ВН в виде N
ij
деревьев графа сети связи. Каждое n-ое, где
n = 1, 2, …, N
ij
, дерево графа состоит из z
n
вершин, соответствующих количе- ству узлов сети информационного направления между