Средства защиты информации в компьютерных и телекоммуникационных сетях

1. Криптографическое обеспечение процедур сетевой аутентификации избирателей и электронного голосования
2. Задачи совершенствования правовых норм в сфере предоставления информационных услуг
3. О создании экспериментального веб-портала «Контроль обращения документов»
4. Моделирование угроз безопасности информации
5. Моделирование объектов защиты
6. Новые методы стеганографической защиты информации
7. Алгоритм сокрытия данных в пространственной области на основе свойств системы зрительного восприятия
8. Алгоритм многоуровневого сокрытия данных без потерь для медицинских изображений
9. Прогрессивная криптографическая защита видеоданных при сжатии с использованием блочно-сегментной компенсации движения
10. Система упорядочения ортогональных функций Уолша-Трахтмана
11. Метод повышения точности интерполяции функции, заданной на отрезке
12. Комплексирование программных средств для интеграции цифровых водяных знаков в учебный видеоконтент
13. Аналого-цифровая система фазовой синхронизации
14. Методология оценки информационных рисков аналитико- иерархическим методом
15. Квантовая система формирования ключевых последовательностей в условиях прослушивания
16. Электронная цифровая подпись на основе схемы Шнорра
17. Обеспечение безопасности информационного обмена в виртуальных частных сетях на основе решения StrongSwan
18. Анализ защищенности информационных систем

Криптографическое обеспечение процедур сетевой аутентификации избирателей и электронного голосования 

В ряде докладов авторы представляли результаты разработок ОИПИ НАН Беларуси по тематике электронного голосования (ЭГ). При этом основное внимание уделялось системам off-line голосования с использованием размещаемых на избирательных участках комплектов специального оборудования.

Были разработаны и апробированы обслуживаемые персоналом микропроцессорные комплексы полуавтоматической аутентификации и регистрации избирателей, а также набор кабин голосования, оснащенных специальными пультами. В конце дня голосования локальные результаты по участку автоматически подсчитывались, отображались и отправлялись в электронном виде на сервер системы мониторинга электоральных мероприятий «Гарант».

Как известно, в ряде стран (например, в Эстонии, Швейцарии, Австрии и др.) успешно применяются технологии Интернет-голосования.

Проблемы обеспечения достоверности удаленной аутентификации респондента и устранения возможности связать личность избирателя и результаты его волеизьявления решаются с помощью специальных криптографических методов, которые частично перенесены из более ранних разработок по системам off-line голосования.

Более высокой степени доверия к Интернет-голосованию авторы рассчитывают достичь за счет приемов, которые дают избирателю возможность проверить, каким образом в итоговых результатах выборов (референдума) было учтено его персональное участие (неучастие). Кроме того, избиратель может скрытно проверить, в актив какому кандидату, партии, ответу на вопрос референдума был зачтен его голос.

Задачи совершенствования правовых норм в сфере предоставления информационных услуг 

В рамках программы «Электронная Беларусь» была создана и передана в эксплуатацию Общегосударственная автоматизированная информационная система (ОАИС), являющаяся базой Единого портала государственных электронных услуг.

Известен опыт Республики Казахстан, где создана и работает сеть региональных Центров обслуживания населения (ЦОН), в которых граждане могут получить удостоверенные бумажные документы всех ведомств. Аналогичные многофункциональные центры создаются и в России.

«Закон Республики Беларусь об электронном документе и электронной цифровой подписи», от 28 декабря 2009 г. не содержит четко прописанной процедуры, с помощью которой уполномоченный специалист подобного межведомственного центра мог бы на основании ведомственного ЭД изготовить и заверить бумажный документ, относящийся к сфере ведения конкретного ведомства (ЗАГС, Госкомимущество, ГАИ и др.).

В ст. 20 говорится лишь о «деятельности по удостоверению формы внешнего представления электронного документа на бумажном носителе на основании специального разрешения (лицензии)». Юристам и ИТ-специалистам, возможно, следует проанализировать данную коллизию с целью разработки предложений по уточнению правовых норм.

Эффект от интеграция в ОАИС ведомственных ЭД будет более высоким, если выданный гражданину в подобном ЦОН бумажный документ с мануальной подписью руководителя ЦОН, печатью и выходными реквизитами ЦОН в юридическом смысле был бы равноценен бумажному документу, полученному в офисе конкретного ведомства.

О создании экспериментального веб-портала «Контроль обращения документов» 

Назначение создаваемого в ОИПИ НАН Беларуси в рамках ГКПНИ «Информатика и космос» экспериментального Веб-портала «Контроль обращения документов (КОД)» заключается в предоставлении субъектам документооборота принципиально нового вида информационных услуг, использование которых призвано обеспечить улучшение показателей защищенности документальных данных и снижение потерь от экономических преступлений, включая коррупционные.

Подобные преступления в ряде случаев совершаются с использованием фальсифицированных документов и паспортов (этикеток) товаров, изготовленных незаконно или распространяемых без уплаты акцизных сборов.

Новизна подхода заключается в том, что достоверность предъявляемой к проверке бумажной версии документа, может быть установлена в любое время и в любом месте путем отправки по сети уникального идентификатора документа на адрес рассматриваемого Веб-сервиса. При этом предполагается, что испытуемый документ был создан с использованием технологии КОД, что должно подтверждаться наличием идентификационного маркера системы КОД (например, в виде специального штрихового кода).

В случае подтверждении проверяющим более высокого уровня полномочий, ему предоставляется сетевой доступ к электронному оригиналу документа, который был принят средствами Веб-сервиса на доверенное хранение одновременно с формированием отправляемого организации-эмитенту задания на принтерную печать маркированной бумажной версии документа.

Моделирование угроз безопасности информации 

Моделирование угроз безопасности информации предусматривает выявление угроз и их анализ с целью оценки возможного ущерба в случае их реализации.

Моделирование угроз безопасности информации завершается их ранжированием. На каждый потенциальный способ проникновения злоумышленника к источнику информации и канал утечки информации целесообразно завести карточку, в которую заносятся в табличной форме характеристики моделей канала.

Структурная, пространственная, функциональная и информационная модели являются приложениями к комплексной модели канала утечки. На этапе разработки способов и средств предотвращения проникновения злоумышленника и утечки информации по рассматриваемому каналу к карточке добавляется приложение с перечнем мер по защите и оценками затрат на нее.

Более удобным вариантом является представление моделей на основе машинных баз данных, математическое обеспечение которых позволяет учесть связи между разными моделями, быстро корректировать данные в них и систематизировать каналы по различным признакам, например по виду, положению в пространстве, способам и средствам защиты, угрозам.

Моделирование объектов защиты 

Исходные данные для моделирования объектов защиты содержатся в перечнях сведений, содержащих семантическую и признаковую информацию и составляющих государственную или коммерческую тайну. В коммерческих структурах перечень сведений, составляющих коммерческую тайну, определяется руководством организации. Перечни защищаемых демаскирующих признаков продукции разрабатываются при ее создании.

Источники защищаемой информации определяются путем ее структурирования. Структурирование информации представляет собой многоуровневый процесс детализации и конкретизации тематических вопросов перечней сведений. Одни и те же источники могут содержать информацию разных тематических вопросов, а информация разных источников по некоторым тематическим вопросам может пересекаться.

Знание места расположения источника позволяет описать (смоделировать) условия обеспечения защиты информации. Задача моделирования источников информации состоит в объективном описании источников конфиденциальной информации в рамках существующей системы защиты.

Моделирование проводится на основе моделей контролируемых зон с указанием мест расположения источников защищаемой информации — планов помещений, этажей зданий, территории в целом.

Новые методы стеганографической защиты информации 

Разработанная система стеганографической защиты информации использует аудиофайлы в качестве контейнеров.

Цифровые аудио записи представляют из себя матрицу амплитуд.

Младший значащий бит аудио несет в себе меньше всего информации. Известно, что человек обычно не способен заметить изменение в этом бите. Фактически, он является шумом. Поэтому его можно использовать для встраивания информации. Таким образом, для звука объем встраиваемых данных может составлять 1/16 объема контейнера. Если модифицировать два младших бита (что также почти незаметно), то можно скрытно передать вдвое больший объем данных.

В разрабатываемом программном средстве в качестве контейнеров используются файлы медиа-форматов wav, ogg vorbis. В общем случае с помощью программного средства производится преобразование защищаемого файла в массив байтов, после чего он после анализа значений амплитуд звукового файла встраивается в wav/ogg-файл.

Внедрение массива байтов, полученного из защищаемого файла, в массив байт, полученный из медиа файлов типов wav, ogg осуществляется путем последовательной замены значений младших битов слов массива, полученного из аудио-файла, значениями массива, полученного из защищаемого файла.

Для реализации битовых операций, не поддерживаемых в Java непосредственно, используется операция XOR и восемь байтовых «масок», содержащих нули во всех позициях, кроме одной. Таким образом, получается запись аналогичная «BigEndian».

Алгоритм сокрытия данных в пространственной области на основе свойств системы зрительного восприятия 

Технологии сокрытия данных применяются для решения широкого ряда задач: скрытая связь, подтверждение авторских прав; обеспечение целостности данных; контроль копирования и распространения. Основными критериями эффективности методов сокрытия данных являются емкость вложения, невидимость, устойчивость, безопасность, сложность внедрения. Приложения сокрытия данных могут предъявлять как высокие, так и низкие требования к параметрам стеганографических методов.

Целью работы является разработка эффективного алгоритма сокрытия данных в пространственной области на основе свойств системы зрительного восприятия едва различимой разницы с целью управления соотношением качество стегоизображения/емкость вложения.

Предложенный алгоритм основан на преобразование   секретного сообщения в битовую последовательность, классификации пикселей исходного изображения по степени визуальной значимости (малой, средней и высокой) в понятиях едва различимой разницы, внедрения 4-х, 3-х и 2-х бит в зависимости от класса пикселя и улучшение качества стегоизображения посредством инвертировании определенного бита текущего пикселя и локальной диффузии искажений, обусловленных внедрением, в окрестности текущего пикселя.

Предложенный алгоритм обеспечивает сокрытие большого объема (2,41 бит/пиксель) секретной информации за счет использования минимального детектируемого человеком значения разности яркости объекта и фона. при сохранении высокого качества стегоизображения (39,46 дБ) и отсутствии артефактов ложных контуров за счет использования операций инвертирования и локальной диффузии.

Для оценки эффективности характеристик предложенного алгоритма использовались как стандартные, так и новые разработанные объективные метрики качества стегоизображения: PSNR, расстояние Кульбака-Лейблера, PSNR3, SSIM3 и RFSIM3.

Алгоритм многоуровневого сокрытия данных без потерь для медицинских изображений 

Развитие и совершенствование мультимедийных информационных технологий способствовало появлению новых способов хранения, доступа и обмена медицинскими изображениями в цифровой форме. Это приводит к возникновению новых угроз, связанных с недопустимым использованием медицинской информации.

В связи с этим важной задачей является предотвращение фальсификации медицинских изображений посредством обнаружения поддельных частей. Одним из основных методов защиты цифровых изображений является аутентификация диагностической информации с целью контроля ее подлинности. Однако процедура вложения кодов аутентификации искажает изображение.

Данное искажение может изменить медицинское изображение таким образом, что оно станет непригодным для дальнейшего диагностического использования. В связи с этим целью работы является разработка алгоритма многоуровневого сокрытия данных, обеспечивающего возможность восстановления оригинальной диагностической информации после извлечения кодов аутентификации.

Предложенный алгоритм основан на модификации исходного изображения-контейнера посредством обработки его гистограммы, вычислении гистограмм изображений ошибки предсказания для четных и нечетных строк модифицированного изображения-контейнера, вычислении пороговых значений с целью внедрения секретного сообщения в изображение-контейнер на основе гистограмм ошибки предсказания.

Кроме того, формируется строка, присоединяемая к стегоизображению и содержащая следующую информацию: координаты пикселей с минимальными значениями уровня серого на двух заданных интервалах гистограммы и 80 наименее значащих бит пикселей последнего столбца изображения. Данный алгоритм позволяет осуществить многократное вложение секретной информации, поскольку исходное изображение может быть восстановлено без потерь.

В качестве критериев эффективности предложенного алгоритма использовались емкость внедрения и пиковое отношение сигнал-шум. Установлено, что емкость внедрения зависит от числа уровней сокрытия и порога разбиения гистограммы исходного изображения на два диапазона при высоком качестве стегоизображения (порядка 40–48 дБ).

Прогрессивная криптографическая защита видеоданных при сжатии с использованием блочно-сегментной компенсации движения 

Предлагается метод прогрессивной криптографической защиты видеоданных, сжатых с использованием блочно-сегментной компенсации движения. Метод основан на шифровании отдельных структурных частей видео-потока с различным уровнем криптостойкости, повышающимся с ростом уровня значимости этих частей.

Преимуществом данного метода является небольшой объем шифруемой информации по сравнению со всем объемом передаваемой информации. В результате достигается уменьшение вычислительной сложности и сокращение времени шифрования видеоданных.

Метод ориентирован на шифрование видеоданных в реальном масштабе времени в составе различных систем и приложений. Наиболее эффективно использование данного метода в системах сетевого видеонаблюдения и беспилотных летательных комплексах.

Система упорядочения ортогональных функций Уолша-Трахтмана 

В отличие от других систем ортогональных функций (например, синусоидальных и косинусоидальных) в базисе функций Уолша используются четыре системы упорядочения: Уолша-Адамара, Уолша-Пэли, Уолша-Качмажа и Уолша- Трахтмана.

В докладе рассматривается система упорядочения функций Уолша- Трахтмана, которая является наименее изученной. Для построения матриц Уолша-Трахтмана приводится мнемоническое правило и рекуррентная формула, а также уравнение в показательной форме для получения элементов матрицы.

Уравнение в показательной форме для определения элементов матрицы Уолша-Трахтмана позволяет выводить алгоритмы быстрых преобразований в данной системе упорядочения. Примечательным является то, что среди этих алгоритмов два имеют вид «бабочек» подобные известным алгоритмам быстрых преобразований Кули-Таки и Сэнди.

Метод повышения точности интерполяции функции, заданной на отрезке 

Известен ряд методов решения задачи интерполяции.

Лучшим является алгоритм обеспечивающий хорошую точность при достаточно небольшом объеме информации. Последнее особенно важно, если сигнал задан на отрезке сравнительно небольшим числом узловых точек, скажем, 200–300. Предлагается способ повышения точности интерполяции сигнала с помощью модифицированного ряда Котельникова, когда членам ряда присваивается дополнительный весовой множитель.

Ряд Котельникова очевидно представляет собой условно сходящийся знакопеременный ряд. Его частичные суммы служат оценками сигнала в выбранной точке, не совпадающей с узловой, с погрешностями разных знаков.

Среднее арифметическое последовательности частичных сумм дает оценку сигнала в выбранной точке с меньшей погрешностью, чем самый длинный из усредняемых отрезков ряда. В простейшем идеализированном случае, когда рассматриваемый ряд является знакочередующимся, строго доказана высокая эффективность метода получения оценки суммы ряда путем нахождения среднего арифметического двух смежных частичных сумм ряда.

Причем, чем медленнее ряд сходится, тем выше эффективность этого приема. Для знакопеременного ряда, каким и является ряд Котельникова, предлагается усреднять большее количество частичных сумм. Их количество зависит от интервала корреляции сигнала. Расчеты показали существенное повышение точности восстановления сигнала по этой методике для различных типов сигналов, представимых в виде ряда Котельникова.

Комплексирование программных средств для интеграции цифровых водяных знаков в учебный видеоконтент 

В настоящее время существует множество программных пакетов видеозахвата и редактирования, позволяющих создавать качественный учебный видеоконтент (Adobe Premier, Pinnacle Studio, Camtasia Studio и др.). Недостатком данных пакетов является ограниченные возможности по интеграции цифровых водяных знаков (ЦВЗ) для защиты авторских прав.

В этой связи актуальной является разработка простой технологии обеспечения защиты авторских прав, позволяющей легко комплексировать существующие пакеты видеозахвата, редактирования и интеграции ЦВЗ.

Предлагается подход к интеграции ЦВЗ в учебный видеоконтент, основанный на бесконфликтном комплексировании видеоредактора и программных средств встраивания ЦВЗ. Суть подхода состоит во внедрении ЦВЗ в электронную презентацию, используемую в процессе лекции (файлы с расширениями .jpg, .png, .doc, .ppt и другие, поддерживаемые видеоредактором) с последующим созданием и редактированием видеоконтента с помощью пакетов видеозахвата и редактирования.

Для этого предлагается использовать любые стандартные средства создания копии экрана с последующим сохранением в стандартном графическом формате (.jpg, .png, .bmp и т.д.), совместимом с программными средствами встраивания ЦВЗ.

При формировании ЦВЗ предлагается учитывать специфику учебного видеоконтента, состоящую в использовании части экрана для вывода видеоизображения лектора (создание эффекта присутствия), за счет внесения избыточности в ЦВЗ.

Подход позволяет сократить затраты на создание защищенного учебного видеоконтента за счет использования готовых стандартных программных средств обработки и защиты видеоинформации. Подход эффективен для защиты учебного видеоконтента, содержащего большое количество презентационного материала по отношению к видеоизображению лектора.

Аналого-цифровая система фазовой синхронизации 

Аналоговая и аналого-цифровая система с использованием управляемого напряжением генератора (ГУН) не имеют отмеченного недостатка, но при этом не обеспечивают одновременно высокую стабильность частоты и требуемый диапазон перестройки.

В докладе предлагается схема ЦСФС с управляемым генератором, выполненным на основе аналоговой системы ФАПЧ, включенной в основной контур ЦСФС и обеспечивающей формирование опорного сигнала. Эталонный сигнал для ФАПЧ формируется высокостабильным задающим генератором.

Коррекция фазы опорного сигнала, формируемого управляемым генератором, производится по сигналу эталонного генератора и сигналу фазового рассогласования в основном контуре. Фильтрующие свойства ЦСФС обеспечиваются основным контуром слежения.

Приводятся результаты анализа квазинепрерывной модели по основным показателям качества и результаты аналитического и имитационного моделирования. Определены требования к параметрам контуров слежения с целью обеспечения заданных показателей устойчивости, точности и быстродействия.

Методология оценки информационных рисков аналитико- иерархическим методом 

В современном мире эффективное и комплексное решение задач защиты информации в организации является ключевым фактором развития бизнеса. Согласно общепринятой международной практике защиты информации ключевое значение в процессе обеспечения информационной безопасности (ИБ) занимает анализ информационных рисков.

Нормативно-правовая база по ИБ, на данный момент, находится на этапе формирования, где есть определенный ряд руководящих актов, документов, стандартов, но вопросы анализа информационных рисков остаются нерегламентированными. Именно поэтому организации собственноручно должны выбирать средства анализа информационных рисков для комплексного обеспечения режима ИБ.

В докладе рассматривается технология анализа информационных рисков, которая учитывает ключевые требования к процессу анализа рисков в организациях. Проанализировав существующие средства анализа рисков можно выделить ряд этапов для технологии, которая предлагается. В первом этапе определяются эксперты, которые будут участвовать в процессе оценки и определении коэффициентов для обобщения данных нескольких экспертов.

Второй этап — получение информации об инфраструктуре. Эксперт определяет компоненты инфраструктуры организации. Третий этап — экспертная оценка угроз. Необходимо определить вероятность и ущерб от реализации каждой из угроз для всех служб, ресурсов.

С учетом задачи разработки данной технологии получение данных о возможностях будет происходить не прямым методом оценки вероятности, а будет использоваться аналитико-иерархический метод для определения утверждений эксперта о значении вероятности одной угрозы относительно другой.

Четвертый этап — генерирование рекомендаций и отчетов. На данном этапе подсчитываются результаты оценки угроз и определяются необходимые меры защиты. После расчетов значений рисков для компонентов системы эксперт получает информацию, которая свидетельствует об общем риске для компонента, рисках отдельных угроз и градации компонентов по степени уязвимости согласно этому значению.

Поскольку вопросы анализа информационных рисков остаются нерегламентированными, предложенная методология может являться актуальным средством анализа информационных рисков для комплексного обеспечения режима ИБ на предприятии.

Квантовая система формирования ключевых последовательностей в условиях прослушивания 

Информация сегодня — самый ценный товар, поэтому обеспечение ее конфиденциальности, целостности и доступности чрезвычайно актуально. Для достижения вышеуказанной цели применяются методы криптографии. В отличие от традиционной криптографии, квантовая криптография использует явления квантовой физики.

Квантовая физика угрожает раскрытием классических шифров, переведя экспоненциальные задачи в разряд задач, решаемых за полиномиальное время. Однако она позволяет создавать принципиально новые криптографические системы.

Известные протоколы формирования криптографического ключа с помощью квантового канала отменяют сеансы формирования при прослушивании квантового канала криптоаналитиком из-за большого процента ошибок, а также того, что криптоаналитик сможет сформировать свою последовательность, в которой 62% бит совпадет с формируемым ключом. В докладе предлагается протокол использования квантового канала, позволяющий формировать ключ в условиях прослушивания.

Ошибки в дальнейшем устраняются по методу согласования слабосовпадающих бинарных последовательностей, а уровень конфиденциальности восстанавливается путем известной процедуры повышения секретности.

Дальнейшие исследования, проведенные с помощью имитационной модели согласования ключевой информации в условиях прослушивания, показали, что процент оглашаемых базисов не оказывает решающее влияние на количество известных злоумышленнику бит.

Минимальный процент известных злоумышленнику бит во многом определяется характером расположения скомпрометированных бит в переданном ключе. Однако использование процедуры усиления секретности обеспечивает случайность местоположения скомпрометированных бит, поэтому ключи, передаваемые с помощью разработанного алгоритма, целесообразно использовать при блочном шифровании.

Электронная цифровая подпись на основе схемы Шнорра 

В настоящее время основу обеспечения безопасности электронного документооборота составляют системы электронной цифровой подписи (ЭЦП). Системы ЭЦП основаны на криптографических алгоритмах. Одним из таких алгоритмов является алгоритм К. Шнорра. Его надежность основана на практической неразрешимости определенного частного случая задачи вычисления дискретного логарифма.

Современные методы решения этой задачи имеют приблизительно ту же эффективность, что и методы решения задачи факторизации; в связи с этим предлагается использовать ключи длиной от 512 до 1024 бит. Большая часть вычислений, нужных для генерации подписи и независящих от подписываемого сообщения, может быть выполнена на стадии предварительных вычислений. Эти вычисления могут быть выполнены во время простоя и не влияют на скорость подписания.

Следует заметить, что при одинаковом уровне безопасности длина подписей для схемы Шнорра короче, чем для схем RSA и Эль Гамаля. Из практических соображений длина параметров системы, используемых в алгоритме аутентификации, может быть уменьшена: вскрытие за несколько секунд невозможно. Схема Шнорра является одной из наиболее эффективных и теоретически обоснованных схем ЭЦП. На ее основе построен стандарт Республики Беларусь СТБ 1176.2-99, южнокорейские стандарты KCDSA и EC- KCDSA.

Поставленной целью была разработка программного модуля аутентификации пользователей и электронной цифровой подписи на основе алгоритма Шнорра. Для этого были использованы алгоритмы генерации больших псевдопростых чисел с заданной длиной »2160 и »21024, возведения в степень по модулю, формирования параметров схемы аутентификации, формирования параметров схемы ЭЦП для файла, проверки аутентичности пользователя, проверки ЭЦП файла.

На основании алгоритмов был разработан программный продукт с использованием среды Microsoft Visual Studio 2010 и языка программирования C#.

Обеспечение безопасности информационного обмена в виртуальных частных сетях на основе решения StrongSwan 

Протокол IP не имеет стандартного механизма безопасности, и IP-пакеты легко перехватывать, просматривать, изменять, пересылать повторно и фальсифицировать. Без защиты и открытые, и частные сети подвержены несанкционированному доступу. Основанное на паролях управление доступом пользователей не обеспечивает безопасности данных, пересылаемых по сети.

Этот факт и послужил причиной создания IPSec — набора протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяющего осуществлять подтверждение подлинности и/или шифрование IP-пакетов. Предлагается подход по обеспечению информационного обмена в виртуальных частных сетях на основе OpenSource решения StrongSwan 4.5.

Для реализации подключения пользовательских терминалов (VPN клиентов) рекомендуется использовать Shrew Soft VPN Client (Windows\Linux) или KVpnc (Linux). Подход эффективен при выполнении задач быстрого развѐртывания и масштабирования VPN сетей, добавление доступа к различным услугам. Уровень безопасности IPSec гораздо выше уровня безопасности, предлагаемого протоколом SSL/TLS.

Анализ защищенности информационных систем 

Зачастую системы защиты информации задействуют в себе функции безопасности несертифицированных средств — операционных систем, систем управления базами данных и т.д. В связи с этим возникает необходимость проверки вышеперечисленных средств не только с точки зрения безопасности, но и с точки зрения корректной настройки, обновлений. Данная, актуальная в наше время задача, решается использованием средств анализа защищенности — так называемых сканеров безопасности.

Они проверяют все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами. Однако при использовании сканеров уязвимостей возникает ряд проблем. Во-первых, существующие на рынке сертифицированные решения поставляются с лицензиями не просто на определенное количество хостов, но и на конкретные сетевые адреса.

В случае, если локальная сеть состоит из большого числа хостов, приобретенный сканер уязвимостей попросту не охватит все хосты. В данном случае требуется сканер уязвимостей с лицензией на большое число хостов, что не дешево. К тому же, если в сети используется нестандартная адресация, то приобретенный сканер уязвимостей с лицензией даже на большое число хостов не будет работать с данной сетью, так как в него внесены стандартные ip-адреса.

Второй проблемой является распределенность информационных систем, которые, например, могут включать до нескольких тысяч хостов, находящихся в пределах нескольких сотен локальных сетей различных ведомств. Для того, чтобы просканировать все хосты информационной системы даже удаленно, необходимы огромные временные и материальные ресурсы.

Выходом из данной ситуации может быть корректировка законодательства в области защиты информации, где аттестации будут подвергаться не системы защиты информации, а автоматизированные системы вместе с помещениями, в которых они располагаются, которые принадлежат одной организации и объединены общими функциональных задачами автоматизации.