Проблемы информационной безопасности

Федеральное агентство по образованию 
Ростовский государственный экономический университет «РИНХ» 
Факультет информатизации и управления 
Кафедра информационной безопасности 
Кафедра экономической информатики и автоматизации управления 
Кафедра информационных технологий 
 
Федеральное государственное унитарное предприятие  
«Научно-производственное предприятие «Гамма»  
 
Ростовский военный институт ракетных войск  
 
Евро-Азиатская Ассоциация «ЕВРААС» производителей товаров  
и услуг области безопасности  
 
Центр технических средств контроля «Кордон» 
 
Ростовский филиал Южно-Российского государственного технического университета 
(Новочеркасский политехнический институт)  
 
Ростовский-на-Дону государственный колледж связи и информатики 
 
 
 
 
 
ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 
 
 
 
 
Материалы второй всероссийской студенческой  
научно-практической интернет-конференции  
 
14–18 мая 2007 года 
 
 
 
 
 
 
 
 
 
 
Ростов-на-Дону 
2007 

УДК 378 
П 78 
 
 
П 78 
Проблемы информационной безопасности : материалы второй всероссийской 
студенческой 
научно-практической 
интернетконференции. 14–18 мая 2007 года / Ростовский государственный экономический университет «РИНХ». — Ростов н/Д, 2007. — 96 с.  
 
ISBN 978-5-7972-1143-3 
 
 
Сборник содержит материалы всероссийской научно-практической интернет-конференции «Проблемы информационной безопасности», проходившей на факультете информатизации и управления Ростовского государственного экономического университета «РИНХ» 14–18 мая 2007 года. 
Материалы интернет-конференции отражают актуальные проблемы информационной безопасности.  
 
 
УДК 378 
 
 
Редакционная коллегия: 
Е.Н. Тищенко (отв. редактор), Г.Н. Хубаев, Е.Н. Ефимов,  
О.А. Строкачева, Е.Ю.Федорова 
 
 
 
Утверждены в качестве материалов всероссийской научно-практической 
интернет-конференции редакционно-издательским советом РГЭУ «РИНХ» 
 
 
 
 
 
 
 
 
 
 
ISBN 978-5-7972-1143-3 
 
 
© Ростовский государственный 
экономический университет 
(«РИНХ»), 2007 

Содержание 
 
СЕКЦИЯ 1. ФУНДАМЕНТАЛЬНЫЕ ОСНОВЫ  
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ...................................................... 5 
Кочеткова А.С. 
Разработка системы обнаружения атак  
на распределенные информационные системы ..................................................... 5 
Никитин В.В., Минин И.В., Минин О.В. 
Методика защиты информации HTML-документов ............................................. 9 
Луненок В.С. 
Аспекты создания защищенных WEB-приложений с использованием  
языка PHP от атак на внедрение оператора SQL(SQL-injection)........................14 
Свидин Д.А. 
Организация защиты Wi-Fi-сетей  
в организациях широкого профиля деятельности ...............................................17 
 
СЕКЦИЯ 2. ИНЖЕНЕРНО-ТЕХНИЧЕСКИЕ АСПЕКТЫ  
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ....................................................25 
Игнатьева Н.Ю., Слободкин В.С. 
Разработка и исследование систем обнаружения  
и блокирования средств мобильной связи с кодовой разверткой......................25 
Тишин В.Р. 
Разработка проекта учебного стенда системы видеонаблюдения .....................27 
 
СЕКЦИЯ 3. ЭКОНОМИЧЕСКИЕ АСПЕКТЫ  
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ....................................................34 
Федорова Е.Ю. 
Анализ критериев выбора антивирусного программного обеспечения............34 
Филин А.А. 
Математическая модель оценки стоимости  
информационных ресурсов организации..............................................................37 
Фисенко О.Г. 
Разработка системы поддержки принятия решений  
при выборе варианта системы защиты информации на основе  
анализа стоимости в среде графического программирования LabVIEW..........41 
Деревяшко В.В. 
Компонентная модель старения информации  
в среде графического программирования LabVIEW...........................................45 
Сергеев Ю.А. 
Разработка модели защиты электронного архива  
в среде графического программирования LabVIEW...........................................50 
Строкань Д.А., Строкачева О.А.  
Правила регулирования систем электронной коммерции  
в Российской Федерации ........................................................................................53 
 

СЕКЦИЯ 4. ВОПРОСЫ КРИПТОГРАФИИ  
И ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ СВЯЗИ ................................59 
Герасимов Н.Е., Минин И.В., Минин О.В. 
Криптографические методы защиты документов................................................59 
Нис Э.М. 
Удостоверяющий центр как способ реализации  
электронно-цифровой подписи..............................................................................63 
 
СЕКЦИЯ 5. КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ  
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ....................................................67 
Бусыгин А.С. 
Основные принципы работы Rootkit и методы их обнаружения.......................67 
Герасимов Н.Е., Луненок В.С., Минин И.В., Минин О.В. 
Исследование защищенных PHP-приложений.....................................................70 
Степаненко С.И. 
Безопасность WEB-приложений на PHP ..............................................................74 
 
СПИСОК АВТОРОВ ............................................................................................95 

СЕКЦИЯ 1 
Фундаментальные основы информационной безопасности 
 
Кочеткова А.С. 
РАЗРАБОТКА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК  
НА РАСПРЕДЕЛЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ 
 
Большинство существующих систем обнаружения атак (СОА) требуют 
постоянного обновления баз данных (БД) сигнатур и правил. Если сигнатура 
атаки не совпадает с имеющейся в базе, то такая атака обнаружена не будет. В 
разработанной СОА эта проблема решается за счет применения метода обнаружения атак на основе нейронных сетей, поскольку нейросеть можно обучить 
для эффективного обнаружения как известных атак и их разновидностей, так и 
неизвестных атак.  
Широко распространенные СОА осуществляют мониторинг только на 
одном из уровней обнаружения атак — на сетевом или системном, в то время 
как разработанная СОА обнаруживает атаки на обоих уровнях, что повышает 
эффективность мониторинга.  
Многие СОА осуществляют мониторинг только того узла, на который 
они установлены, что осложняет централизованный мониторинг распределенных информационных систем (ИС). Разработанная СОА осуществляет централизованный мониторинг распределенной ИС. При запуске СОА на рабочей 
станции, она начинает работать в режиме клиента как сенсор (сетевой и системный). При этом информация от сетевого и системного сенсоров поступает в 
БД, расположенную на сервере, и СОА, функционирующая на сервере, выполняет анализ этой информации в реальном времени. Система, функционирующая 
как сенсор, отображает результаты анализа системы, функционирующей на 
сервере как менеджер. Общая схема функционирования системы мониторинга 
изображена на рис. 1. 

Рис. 1. Общая схема функционирования СОА 
 
Структура системы централизованного мониторинга распределенной ИС 
представлена на рис. 2. 
Модуль аутентификации предназначен для предотвращения несанкционированного доступа к СОА и информации, хранящейся в БД. 
Модуль централизованного мониторинга осуществляет мониторинг сетевых и системных событий в реальном времени. При запуске модуля в асинхронном режиме запускается программа Snort и модуль EventMonitoring. Программа Snort осуществляет вывод информации обо всех перехваченных пакетах 
в БД MS SQL Server. Модуль EventMonitoring запускает модуль анализа и записи в БД системных событий за промежуток времени. 

Система централизованного мониторинга распределенных ИС
Модуль аутентификации
Модуль 
централизованного 
мониторинга
Модуль управления 
программами, БД, 
пользователями
Модуль системного 
мониторинга в 
реальном времени -
EventMonitoring
Модуль анализа и 
записи в БД 
системных событий 
за промежуток 
времени
Модуль создания 
ярлыков
Snort
winpcap
dll
WMI
Модуль анализа 
системного 
мониторинга
Модуль анализа 
сетевого мониторинга
Модуль обучения и 
подключения 
нейросетей
БД MS SQL Server
Модуль 
взаимодействия с 
нейросетью
Нейросеть для 
анализа системных 
событий 
Нейросеть для 
анализа сетевых 
событий 
Statistica Neural Networks
Модуль справки по 
структуре БД
Модуль работы с БД
Модуль анализа 
эффективности 
нейросетевого 
мониторинга
Модуль общих  
процедур и 
переменных
Модуль 
«О программе»
Журнал безопасности 
Windows
нейросети
 
 
Рис. 2. Структура системы централизованного мониторинга 
 
Этот модуль каждые 3 секунды считывает информацию из журнала безопасности Windows о произошедших за это время событиях, оценивает их с точки зрения опасности и пересылает информацию о них в БД. В это время модуль 
централизованного мониторинга в синхронном режиме каждые 3 секунды извлекает данные по сетевым и системным событиям из БД и передает их модулю 
взаимодействия с нейросетью, который с помощью файлов нейросетей оценивает события на предмет опасности. Оценка нейросети по каждому событию 
так же записывается в БД. Затем информация о системных и сетевых событиях 
вместе с их оценкой извлекается запросом из БД модулем централизованного 
мониторинга и выводится в таблицы. 
Модуль анализа эффективности нейросетевого мониторинга предназначен для сравнения количества обнаруженных атак различной степени опасности СОА и программами snort и разработанной программой EventMonitoring.  

Входными данными для нейросети, осуществляющей мониторинг на сетевом уровне являются характеристики сетевых событий: IP адрес отправителя, 
получателя, вид протокола, время жизни пакета, время получения пакета, длина 
данных. Входными данными для нейросети, осуществляющей мониторинг на 
системном уровне являются характеристики системных событий: категория, 
код, тип, время регистрации события. 
Использование разработанной СОА позволяет обнаружить следующие 
атаки сетевого уровня и их разновидности: атаки DoS/DDos, сниффинг пакетов, 
IP- спуфинг, сетевая разведка, использовние эксплоитов, атаки на БД, использование Backdoors, Virus, Trojan, атаки на Web сервера, плохой трафик. СОА 
позволяет обнаружить следующие атаки системного уровня: сбой предварительной проверки подлинности, попытка регистрации с неправильным учетным 
именем или паролем, сбой при входе в систему, попытка входа с заблокированной учетной записи или ее блокировка, отказ в доступе к защищаемому объекту, очистка журнала безопасности, сбой аудита, невозможность записи события 
в журнал, удаление записи из журнала, сбой при входе в систему. 
Сравнительный анализ эффективности разработанной СОА по сравнению 
с программой snort, выполненный модулем анализа эффективности нейросетевого мониторинга, показал, что эффективность разработанной СОА выше при 
реализации атак, сигнатура которых отличается от находящейся в базе правил 
программы snort. Обеими программами было обнаружено одинаковое количество атак. Однако СОА классифицировала 32% сетевых событий как атаки первой степени (наиболее опасные), в отличие от Snort, который классифицировал 
лишь 23% событий как первой степени опасности и 9% как второй степени 
опасности (менее опасные) (рис. 3). 

Рис. 3. Анализ эффективности СОА 
 
Т.о. разработанная СОА осуществляет мониторинг распределенных ИС 
на сетевом и системном уровне и для обнаружения атак использует нейросетевой метод. 
 
 
Никитин В.В., Минин И.В., Минин О.В. 
МЕТОДИКА ЗАЩИТЫ ИНФОРМАЦИИ HTML-ДОКУМЕНТОВ 
 
Проблемы защиты информации в Web-документах 
В пятницу, 16 марта, Государственная Дума Российской Федерации приняла в окончательном, третьем чтении закон «О внесении изменений в статьи 
146 и 180 Уголовного кодекса РФ», по которому нарушение авторских и смежных прав теперь считается тяжким преступлением [1]. Отсюда следует, что 
проблемы защиты авторского права вообще и HTML-документов в частности 
становятся весьма актуальными и их необходимо выделить из всего спектра 
вопросов защиты информации в Web-документов. 

Помимо данной проблемы существует другая, более глобальная — это 
защита электронных документов (в нашем случае HTML-документов) от искажения, представленной в них информации, т.е. обеспечение целостности таких 
документов. В данной работе эти вопросы рассматриваются с позиций контроля 
(контроль целостности Web-документов). 
Способы защиты информации в Web-документах 
При решении проблемы защиты авторского права, можно применить достаточно нетривиальный подход.  
Если проанализировать огромное количество публикаций, посвященное 
языку HTML, а также особенностям отображения некоторых символов данного 
языка в Интернет-браузерах (таких как, Internet Explorer, Mozilla, Opera и т.д.), 
то можно прийти к достаточно интересным выводам. Так, ряд спецсимволов 
просто игнорируются обозревателями, а несколько идущих рядом некоторых 
символов, отображаются в виде одного единственного (за исключением правила отображения символов в теге «PRE»). 
Основываясь на вышесказанном, реквизиты автора можно закодировать с 
помощью подобных спецсимволов (с использованием таблицы замен) и спрятать в Web-страницу по определенному алгоритму. Таким образом, не меняя 
внешний вид документа, при его отображении через браузер, мы сможем в любой момент извлечь эти данные, выполнив операцию обратную добавлению, и 
подтвердить или опровергнуть авторство. Объем информации об авторстве регламентируется соответствующим законодательством [2].  
Подобный алгоритм для решения вопросов контроля целостности Webдокумента не эффективен. Поэтому оптимальным является вариант совокупного использования алгоритма «внедрения спецсимволов» и достаточно стойкого 
алгоритма подсчета контрольной суммы, например SHA (Secure Hash 
Algorithm).