МОЛОДЕЖНЫЙ НАУЧНО-ТЕХНИЧЕСКИЙ ВЕСТНИК

Рассмотрены основные принципы управления рисками информационной безопасности и особенности их практического применения на предприятии. Приведено описание основных критериев риск-менеджмента информационной безопасности и необходимых для их установления набора данных. Определены особенности идентификации необходимых для анализа информационных рисков компонентов и элементов информационной системы организации. Представлен вариант алгоритма количественно-качественной методологии оценки информационных рисков с использованием экспертного опроса. Описаны способы обработки полученных рисков и условия их применения в различных ситуациях.

Есть две составляющие в модели связи: отправитель и получатель. Они сообщаются посредством секретного и открытого канала. Отправитель и получатель могут использовать симметричную или асимметричную криптосистемы. Один из видов симметричной криптосистемы – это поточные шифры. Метод формирования поточного шифра взят из схемы одноразового блокнота и используется при передаче, где требуются высокая скорость и непрерывность связи. Схема одноразового блокнота обладает абсолютной криптостойкостью, если ключ используется один раз. Для анализа поточного шифра используется система уравнений. Уравнения составлены для каждого известного элемента ключевого потока. Линеаризация и быстрые алгебраические атаки – методы ускорения атаки на поточный шифр. Первый метод сводит решение системы нелинейных уравнений к нахождению ядра матрицы коэффициентов системы уравнений. Быстрые алгебраические атаки уменьшают степень уравнений в системе. 

В работе описываются некоторых методы оценки рисков информационной безопасности. Выделяются основные их недостатки, и проводится сравнительный анализ. 

Настоящая работа посвящена разработке математической модели оценки риска информационной безопасности в сетях связи ограниченных пользователей на основе теории нечетких множеств. 

Данная статья посвящена изучению и анализу состояния безопасности облачной инфраструктуры на текущий момент времени, а также дальнейшему пути развития данной области. Отмечается актуальность рассматриваемой проблемы для компаний, представляющих средний и малый бизнес. Проанализированы основные причины, препятствующие повсеместному переходу от традиционных IT-инфраструктур к облачным.  Определены общие подходы к построению систем безопасности в облаках. Сделаны предположения о дальнейшем развитии ситуации на рынке облачных услуг.

В статье сделан краткий экскурс в историю возникновения теории хаоса, его современные прикладные области. Рассматриваются классические примеры генераторов хаоса. Уделяется особое внимание разности поведения математической модели реального физического источника хаоса, и его дискретному варианту (хаотическому отображению). Выделяются характеристики хаоса, позволяющие использовать его как объект, порождающий псевдослучайную последовательность, необходимую для реализации методов сокрытия статистических особенностей шифруемых данных, определенных К. Шенноном. Наглядно описана одна из реализаций генератора псевдослучайных последовательностей в виде битового потока. 

Настоящая работа посвящена оценке риска информационной безопасности в транспортной сети связи VANET с использованием теории нечетких множеств. Предложен механизм оценки риска на основе экспертных данных по вероятности реализации угрозы и ущерба.

Целью работы является изучение и исследование эффективности метода защиты аудио сигнала при передачи по открытому аналоговому каналу связи с использованием скремблирования, а также  программно-аппаратная реализация устройства аудиоскремблер с использованием программируемой логической интегральной схемы (ПЛИС) и язык описания аппаратуры интегральных схем VHDL.            В процессе выполнения работы был проведен цикл теоретических и экспериментальных исследований рациональных принципов построения, технических решений и параметров аппаратных и программных компонентов скремблера.

Описаны основные понятия относительно средств антивирусной защиты (САВЗ) – их определение, задачи, типы. Приведена наиболее общая методика проведения сертификационных испытаний САВЗ на основании новых нормативных требований ФСТЭК России. Предложен новый подход построения методики испытаний САВЗ как математической модели программного средства. Указаны общие сведения о типах компьютерных вирусов, этапы сертификации в зависимости от требований, предъявляемых к тому или иному типу САВЗ, а также наиболее общие аспекты проведения сертификационных испытаний. Указаны методы оптимизации методики тестирования САВЗ, позволяющие производить проверки с наименьшими затратами и трудоемкостью.

Рассмотрен метод анализа поточных шифров на основе решения системы алгебраических уравнений. Поточный шифр создается при комбинировании определенным образом ключевого потока с исходным сообщением. Ключевой поток представляет собой псевдослучайную последовательность бит, получаемую в результате работы ключевого генератора. Для осуществления анализа поточного шифра разработана программа, формирующая ключевой поток и систему уравнений при разных степенях функции выхода ключевого потока. Найдены максимальные параметры поточного шифра, анализ которого возможно осуществить программными средствами при известных нескольких первых элементах ключевого потока, разных степенях функциях выхода ключевого потока и изменения состояния памяти.  

Приводится анализ трех наиболее распространенных типов угроз информационной безопасности в виртуальных частных сетях VPN третьего уровня на базе сетей MPLS, созданных при их проектировании:·         угроза ИБ при неправильной конфигурации таблицы маршрутизации в граничном маршрутизаторе в результате установления нелегитимной команды;·         угроза ИБ в результате проектирования таблицы маршрутизации в граничном маршрутизаторе на чрезмерно большое количество маршрутов;·         угроза ИБ в топологии виртуальной частной сети из нескольких недоверенных зон разных провайдеров сети.Для каждого типа этих угроз в работе приводятся рекомендации по защите.Работа выполнена по результатам исследований автором статьи при проектировании им корпоративных VPN на высокопроизводительном сервисном IP/MPLS оборудовании фирмы Alcatel-Lucent серий SR7750 и SR7705.

Рассматриваются настройки испытательного стенда для проведения тестирования средств защиты информации с использованием средств виртуализации. На стенде реализованы две подсети, одна из которых является «внутренней», другая – «внешней». Подсети соединяются через два маршрутизатора. Тестируемая система располагается на одной из виртуальных машин во внутренней сети. Рассматриваемый испытательный стенд может быть использован для проведения удаленного исследования защитных механизмов операционных систем, установленных на виртуальных машинах, на наличие уязвимостей.

Рассматривается использование испытательного стенда на основе средств виртуализации для выполнения тестирующего воздействия и его обнаружения программным средством Snort. Испытательный стенд представляет собой две подсети, одна из которых считается атакующей, а другая – защищаемой. Сетевое взаимодействие между подсетями обеспечивается с помощью двух маршрутизаторов, на одном из которых функционирует система обнаружения вторжений Snort. Тестирующее атакующее воздействие имитируется в клиент‑серверном приложении, состоящем из передатчика файла с вредоносной программой для узла из атакующей сети и приемника – для узла из защищаемой сети. Snort фиксирует факт атаки и сохраняет соответствующий лог-файл с содержимым сетевых пакетов. Данный подход можно использовать для тестирования других средств обнаружения атак.

Статья посвящена прикладным вопросам проведения сертификации программного обеспечения по требованиям безопасности информации в Российской Федерации. Рассмотрены типовые организационные и технические ошибки со стороны вендоров продуктов и испытательных лабораторий. Приведены лучшие практики в области подготовки продукта к сертификации на всех этапах его жизненного цикла, а также продемонстрированы подходы к организации эффективной процедуры внешнего аудита кода продукта и его сборочных систем (toolchains). Статья рассказывает, как оптимально построить процесс сертификации своих продуктов в России и получить от этого максимальный эффект.

Рассмотрены основные принципы структурного анализа систем с использованием методологии IDEF0 и особенности её практического применения для анализа рисков информационной безопасности. Представлен вариант функциональной IDEF0-модели на примере информационной системы виртуального центра охраны здоровья населения. Приведено описание её бизнес-процессов и циркулирующих в ней информационных потоков на основе построенных диаграмм. Проанализированы возможности данной методики по выявлению информационных рисков. Предложены способы их удобного описания и грамотного графического оформления на диаграммах.

В статье рассмотрены  подходы, которые используются для предотвращения кражи злоумышленником особенностей реализации аппаратного обеспечения. Рассмотрены механизмы противодействия атакам данного рода, такие как механизмы обеспечения защищенности от несанкционированного вскрытия, механизмы предоставления доказательств о проведении взлома, механизмы, сигнализирующие о проведении взлома, механизмы обеспечения контрмер, принимаемых при обнаружении попытки взлома. Рассмотрен перспективный метод использования «исчезающей» электроники, который является примером механизма обеспечения защищенности от несанкционированного вскрытия. Такие электронные программируемые устройства способны быстро самоуничтожаться, в зависимости от заданных условий. Одним из наиболее значимых преимуществ «исчезающей» электроники является возможность при утилизации гораздо быстрее разлагаться по сравнению с традиционной электроникой и меньше засорять и загрязнять окружающую среду. Рассмотрено положение дел, касающееся данной темы, в России и США.

Целью работы является изучение симметричного и асимметричного шифрования, которые являются актуальными и криптографически гарантированными методами защиты информации, а также изучение методов и принципов работы шифрования. Разработка программного обеспечения по реализации алгоритмов симметричного и асимметричного шифрования с целью их сравнения. В процессе выполнения работы выполнен анализ известных данных о методах симметричного шифрования. Рассмотрен метод классического шифрования Шеннона, блочные шифры - американский шифр DES и отечественный шифр, определённый стандартом ГОСТ 28147-89, IDEA (International Data Encryption Algorithm), CAST, Шифр Skipjack, RC2 и RC4 и др. Кроме того, выполнена опытно-экспериментальная работа по разработке программного обеспечения по реализации алгоритма шифрования, основанного на гаммировании и схемы RSA, используя при этом язык объектно-ориентированного программирования Visual Basic

Целью работы является изучение и исследование эффективности метода сокрытия сообщений с использованием эхо-сигнала. Как известно, метод подразумевает под собой встраивание данных в аудио сигнал - контейнер путем введения в него эхо-сигнала. Данные скрываются изменением трех параметров эхо-сигнала: начальной амплитуды, скорости затухания сдвига. Отдельные теоретические аспекты рассмотрены в работе. Метод подразумевает под собой встраивание данных в аудио сигнал - контейнер путем введения в него эхо-сигнала. Данные скрываются изменением трех параметров эхо-сигнала: начальной амплитуды, скорости затухания.