Научная статья на тему 'Модель разграничения прав доступа для информационной системы специального назначения'

Модель разграничения прав доступа для информационной системы специального назначения Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
646
57
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ СИСТЕМА СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ / МЕТКА БЕЗОПАСНОСТИ / ОПТИЧЕСКОЕ МУЛЬТИПЛЕКСИРОВАНИЕ С РАЗДЕЛЕНИЕМ ПО ДЛИНЕ ВОЛНЫ / ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕ ИЗЛУЧЕНИЯ И НАВОДКИ / РАЗГРАНИЧЕНИЕ ПРАВ ДОСТУПА / ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Куракин Александр Сергеевич, Костырева Александра Андреевна

Современный этап развития общества характеризуется широким использованием информационных систем специального назначения, предназначенных для решения различных задач, например, задач государственного управления, управления войсками и оружием, экологически опасными и экономически важными производствами. В связи с важностью данных систем существует острая необходимость обеспечения их информационной безопасности, одним из главных аспектов которой является защита от несанкционированного доступа. В качестве меры защиты от несанкционированного доступа осуществляется разграничение доступа к информации разной степени конфиденциальности, при реализации которого не учитываются последствия от угроз утечки информации по техническим каналам вследствие побочных электромагнитных излучений и наводок. В целях нейтрализации упомянутых угроз безопасности предложена модель разграничения прав доступа на основе технологии «wavelength division multiplexing» и меток безопасности «basic security option». Показано, что использование меток безопасности позволяет проверять легитимность передачи информации через сетевые соединения, а также позволяет подтверждать, что маршрут передачи дейтаграммы защищён в соответствии со степенью конфиденциальности (секретности) передаваемых данных. Описан алгоритм защищенной передачи файла по информационной системе специального назначения. Приведен сценарий защищенного голосового вызова между оконечными устройствами, находящимися в разных сетевых сегментах информационной системы специального назначения. Предложенная модель разграничения прав доступа обеспечивает разграничение доступа к информации разной степени конфиденциальности в части решения задачи защиты информации от несанкционированного доступа с учетом исключения побочных электромагнитных излучений и наводок при ее передаче по оптическим каналам связи.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Куракин Александр Сергеевич, Костырева Александра Андреевна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Model of limitation of rights of access for special purpose information system

The current stage in the development of society is characterized by the extensive use of special-purpose information systems designed for solving various tasks, for example, the tasks of state administration, command and control of troops and weapons, and ecologically dangerous and economically important industries. Due to the importance of these systems, there is an urgent need to ensure their information security, one of the main aspects of which is protection against unauthorized access. As a protection measure against unauthorized access, access to information of different confidentiality is differentiated, the implementation of which does not take into account the consequences of the threat of information leakage through technical channels due to spurious electromagnetic emissions and interference. In order to neutralize the mentioned security threats, a model of access rights distinction based on the technology “Wavelength Division Multiplexing” and security labels “Basic Security option” has been proposed. It is shown that the use of security labels allows you to verify the legitimacy of information transmission over network connections, and also allows you to confirm that the route of the datagram is protected in accordance with the degree of secrecy of the transmitted data. An algorithm for secure file transfer using a special-purpose information system is described. The scenario of a secure voice call between end devices located in different network segments of a special-purpose information system is given. The proposed model of access rights delineation provides for delineating access to information of varying degrees of confidentiality in terms of solving the problem of protecting information from unauthorized access, taking into account the exclusion of spurious electromagnetic radiation and interference during its transmission via optical communication channels.

Текст научной работы на тему «Модель разграничения прав доступа для информационной системы специального назначения»

Е ТЕХНОЛОГИИ В КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т 11 № 2-2019 АТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

doi: 10.24411/2409-5419-2018-10262

МОДЕЛЬ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА ДЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ

КУРАКИН

Александр Сергеевич1

КОСТЫРЕВА Александра Андреевна2

Сведения об авторах:

1

к.т.н., заместитель директора по технической защите информации общества с ограниченной ответственностью «Специальный технологический центр», г. Санкт-Петербург, Россия, [email protected]

2 1 инженер-исследователь 2 категории

акционерного общества «Технологии

радиоконтроля», г. Санкт-Петербург, Россия,

[email protected]

АННОТАЦИЯ

Современный этап развития общества характеризуется широким использованием информационных систем специального назначения, предназначенных для решения различных задач, например, задач государственного управления, управления войсками и оружием, экологически опасными и экономически важными производствами. В связи с важностью данных систем существует острая необходимость обеспечения их информационной безопасности, одним из главных аспектов которой является защита от несанкционированного доступа. В качестве меры защиты от несанкционированного доступа осуществляется разграничение доступа к информации разной степени конфиденциальности, при реализации которого не учитываются последствия от угроз утечки информации по техническим каналам вследствие побочных электромагнитных излучений и наводок. В целях нейтрализации упомянутых угроз безопасности предложена модель разграничения прав доступа на основе технологии «wavelength division multiplexing» и меток безопасности «basic security option». Показано, что использование меток безопасности позволяет проверять легитимность передачи информации через сетевые соединения, а также позволяет подтверждать, что маршрут передачи дейтаграммы защищён в соответствии со степенью конфиденциальности (секретности) передаваемых данных. Описан алгоритм защищенной передачи файла по информационной системе специального назначения. Приведен сценарий защищенного голосового вызова между оконечными устройствами, находящимися в разных сетевых сегментах информационной системы специального назначения. Предложенная модель разграничения прав доступа обеспечивает разграничение доступа к информации разной степени конфиденциальности в части решения задачи защиты информации от несанкционированного доступа с учетом исключения побочных электромагнитных излучений и наводок при ее передаче по оптическим каналам связи.

КЛЮЧЕВЫЕ СЛОВА: информационная система специального назначения; метка безопасности; оптическое мультиплексирование с разделением по длине волны; побочные электромагнитные излучения и наводки; разграничение прав доступа; защита от несанкционированного доступа.

Для цитирования: Куракин А. С., Костырева А. А. Модель разграничения прав доступа для информационной системы специального назначения // Наукоемкие технологии в космических исследованиях Земли. 2019. Т. 11. № 2. С. 82-89. Со1: 10.24411/2409-5419-2018-10262

В настоящее время в силу существующих тенденций развития геополитической обстановки резко возрастает актуальность задач обеспечения информационной безопасности информационных систем специального назначения согласно изложенным в руководящих документах требованиям. Одним из ключевых вопросов обеспечения информационной безопасности указанных информационных систем является разграничение доступа к информации разной степени конфиденциальности в рамках защиты от несанкционированного доступа (НСД), которое реализуется без учета вероятных последствий в отношении угроз утечки информации по техническим каналам вследствие побочных электромагнитных излучений и наводок (ПЭМИН). В качестве оптимального решения задачи противодействия ПЭМИН на этапе проектирования системы защиты информации от НСД предлагается предварительное моделирование системы разграничения прав доступа, учитывающее угрозы, как несанкционированного доступа, так и угрозы утечки информации по техническим каналам. Таким образом, проектирование системы защиты информации на базе построенной модели разграничения прав доступа позволит исключить или значительно снизить вероятность угроз информационной безопасности.

1. Особенности информационных систем

специального назначения

Основной особенностью информационных систем специального назначения является сложная структура, образованная взаимодействием функциональных подсистем обеспечения жизнедеятельности объекта размещения — являющихся отдельно поставляемыми изделиями (комплексами) или информационными системами в целом. Составные компоненты указанной информационной системы предназначены, как правило, для выполнения определённых функций, например, синхронизация в системе единого времени, мониторинг исправности технических средств, внутриобъектовая связь, автоматическая телефонная связь, передача информации и т. д. Взаимодействие функциональных подсистем строится по протоколам информационно-технического взаимодействия между ними,

¿¿к

/■''/ /ТУ/

Vol 11 N0 2-2019, H&ES РЕБЕАРС INFORMATICS, COMPUTER ENGINEERING AND СО^,

\\\\ у \\\\ '

разрабатываемым на этапе проектирования информационной системы. В качестве связующего звена в данном случае выступает объектовая информационная сеть, которая ограничена контролируемой зоной объекта. При этом при проектировании следует учитывать наличие каналов утечки информации за счет ПЭМИН, возникающих в процессе передачи информации между различными информационными системами, имеющими различный класс защиты по требованиям информационной безопасности [2].

Техническим каналом утечки информации (ТКУИ) называют электропроводную цепь или среду, по которой возможна утечка сведений, обрабатываемых техническими средствами передачи информации (ТСПИ) или обсуждаемых в акустической речевой форме. Невзирая на многообразие видов технических каналов утечки информации, для них характерно наличие ряда общих элементов. Это позволило сформировать, в интересах защиты информации, некоторую обобщенную модель ТКУИ и использовать ее для определения общих основ и принципов защиты. [3] Вариант такой модели показан на рис. 1.

Как видно, ключевыми элементами ТКУИ являются:

- одиночное ТСПИ или их совокупность как источники опасного сигнала (ОС). Опасным принято называть сигнал любой физической природы, несущий информацию, подлежащую защите. Физически носителями опасного сигнала могут быть: акустические колебания; протекающие по любым проводящим коммуникациям токи; наводимая на посторонние цепи электродвижущая сила (ЭДС);

- распространяющиеся в окружающем пространстве электромагнитные поля различных диапазонов. Этим определяется и многообразие вариантов, с физической точки зрения, среды распространения ОС. [4]

Среда распространения ОС — это некоторая материальная субстанция между ТСПИ как источником опасного сигнала и местом возможной установки аппаратуры перехвата информации. В качестве среды распространения ОС могут выступать: кабели связи, сигнализации и электропитания; шины и провода системы заземления; трубы систем вентиляции, тепло- и водоснабжения; окружающее пространство.

Рис. 1. Модель технического канала утечки информации за счет ПЭМИН

! КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т 11 № 2-2019 ЮРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

Аппаратура перехвата информации (АПИ) представлена одиночными или комплексированными средствами разведки ПЭМИН, обеспечивающими прием и регистрацию звуковых сигналов, электромагнитных излучений и наводок ТСПИ. Конструктивно АПИ является портативной, исполняемой в возимом, носимом и автоматическом автономном вариантах, аппаратурой. Во всех случаях основным принципом применения АПИ является ее максимально достижимое приближение к объекту разведки.

Помехи различной физической природы и различного происхождения объективно имеют место в любых условиях функционирования и размещения АПИ и защищаемых ТСПИ. Они воздействуют непосредственно на вход аппаратуры перехвата и существенно влияют на качество приема опасных сигналов. Реально на входе приемника АПИ существует не чистый ОС, а некоторое отношение сигнал/помеха.

Его текущее значение ведет к возникновению любой ситуации в пределах от гарантированной возможности до полной невозможности перехвата информации. Естественно, что наилучшим условиям перехвата соответствует взаимное положение ТСПИ и АПИ, как говорят, «вплотную», при котором отношение сигнал/помеха максимально. Наихудшим условием — такое пространственное разнесение ТСПИ и АПИ, при котором чувствительность и избирательность аппаратуры перехвата не обеспечивают выделения опасного сигнала на фоне помех. Отсюда вытекают и две взаимопротивоположные задачи. С позиций ведения разведки — максимально приблизить АПИ к объекту. С позиций защиты—создать условия, когда АПИ можно было бы установить только на таком удалении от объекта, на котором исключается возможность приема и регистрации опасных сигналов. Последнее, обеспечивается организационно за счет введения контролируемой зоны объекта защиты.

Контролируемой зоной (КЗ) называют территорию, на которой исключено несанкционированное и неконтролируемое пребывание лиц и транспортных средств — потенциальных носителей АПИ. С изложенных выше позиций, контролируемая зона должна иметь определенные размеры, а положение ее границы на местности должно соответствовать условиям, исключающим возможность приема и регистрации опасных сигналов средствами АПИ.

С учетом сказанного выше, наиболее эффективным решением проблемы утечки за счет ПЭМИН является применение гальванической развязки на стыке интерфейсов различных подсистем изделия и последующей передачи информации между ними по оптическим линиям связи. Условия размещения информационной системы на объекте как правило позволяют применять многомодовое оптическое волокно для обеспечения максимальной степени интеграции в счет снижения временных потерь при пере-

даче информации между удаленными друг от друга компонентами информационной сети. В данном случае, для разграничения передаваемой информации целесообразно использование технологии WDM.

2 Применение технологии WDM для меток безопасности BSO

Оптическое мультиплексирование с разделением по длине волны (Wavelength Division Multiplexing, WDM) — это технология передачи нескольких длин волн по одному волокну [5-6], что позволяет многократно увеличить пропускную способность волокна и исключить взаимодействие излучений различных длин волн между собой (рис. 2).

Рис. 2. Основной принцип технологии WDM

Department of Defense Basic Security option (DoD BSO, метка безопасности BSO) [7-8] является опцией безопасности, предназначенной для маркировки IP-пакетов в соответствии с классификациями безопасности.

Внедрение в IP-пакеты меток безопасности используется для контроля информации в распределённых многоуровневых информационных системах. Использование меток безопасности позволяет проверять легитимность передачи информации через сетевые соединения и подтверждать, что маршрут передачи дейтаграммы защищён в соответствии со степенью конфиденциальности (секретности) передаваемых данных.

Поле опций пакета IPv4 при передаче меток безопасности представлено в табл. 1.

Таблица 1

Поле опций IPv4 при передаче меток безопасности

Тип опции Размер опции Аргументы опции

130 8 бит Метка безопасности

Формат опции DoD Basic Security представлен в таблице 2.

Таблица 2

Формат метки безопасности BSO

TYPE = 130 LENGTH CLASSIFICATION LEVEL PROTECTION AUTHORITY FLAGS

10000010 xxxxxxxx ssssssss AAAAAAA [1|0] AAAAAAA0

В табл. 2 в поле «CLASSIFICATION LEVEL» указывает степень конфиденциальности (секретности), в соответствии с которой должен быть защищён IP-пакет и содержащаяся в нём информация.

Таким образом, интерфейсная плата оконечного устройства должна проводить анализ значения поля «CLASSIFICATION LEVEL» из табл. 2 для определения длины волны формируемого оптического сигнала.

3. Модель разграничения прав доступа

На основании предложенного способа применения меток безопасности BSO для технологии WDM рассмотрим модель разграничения прав доступа типовой информационной системы специального назначения (рис. 3).

¡и /¡н

Vol. 11. No. 2-2019, H&ES RESE.

INFORMATICS, COMPUTER ENGINEERING AND CONT

Модель разграничения прав доступа для типовой информационной системы специального назначения заключается в применении мандатного управления доступом на каждом уровне обработки информации (см. рис. 3), при этом разделение информации разной степени конфиденциальности, передаваемой по оптическим линиям связи достигается за счет разной длины волны информационного сигнала.

В качестве примера реализации предлагаемой модели разграничения прав доступа рассмотрим передачу файла по информационной объектовой сети типовой информационной системы специального назначения (рис. 4).

Перед началом работы оператор оконечного устройства (ОУ) проходит процедуру идентификации с помощью персонального устройства контактной памяти. Считанные идентификационные данные (ИД) по протоколу КегЬею [9] передаются на сервер безопасности и авторизации (СБ), предоставляющий возможности аутентификации, авторизации и учета. Сервер безопасности и авторизации проводит проверку идентификационных данных оператора на их наличие в собственной базе данных (БД), производит аутентификацию оператора в системе и авторизацию, наделяя оконечное устройство возможностями доступа к тем услугам и сервисам (режимами работы), которые соответствуют уровню допуска оператора. В противном случае — при несоответствии переданных идентификационных данных

Рис. 3. Графическая интерпретация модели разграничения прав доступа для типовой информационной системы специального назначения

-.....X-i\S

--ex v.\.

НАУКОЕМКИЕ ТЕХНОЛОГИИ В КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т 11 № 2-2019 ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

Рис. 4. Алгоритм передачи файла в типовой информационной сети

и данных в БД, сервер безопасности отказывает в аутентификации и возвращает на ОУ сообщение об ошибке. Все передаваемые оконечным устройством данные будут упакованы в 1Р-пакеты, поле опций которых будет содержать мандатную метку. Уровень секретности меток передаваемых пакетов должен быть не выше уровня секретности меток, допустимых для отправителя и получателя. Интерфейсная плата ОУ проводит анализ поля 1Р-пакета, содержащего мандатную метку, и по его результату формирует информационный оптический сигнал соответствующей длины волны X.. Сигнал посредством кабельной сети поступает на узел сети — межсетевой экран. Межсетевой экран (МЭ) — это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него пакетов данных. Основной задачей МЭ является защита сети и отдельных её сегментов от несанкционированного доступа и утечки информации. Для анализа пакетов интерфейс МЭ преобразует оптический сигнал, передаваемый по линиям связи, обратно в электрический сигнал. Далее процессорная плата МЭ согласно установленным правилам фильтрации обрабатывает полученные пакеты данных — анализирует поля заголовка 1Р-пакета. В части проводимого процессорной платой анализа выполняется проверка соответствия степени конфиденциальности информации

уровню доступа адресата, в том числе режиму работы оконечного устройства адресата, на основании указанных в заголовке IP-пакета адреса получателя, адреса отправителя и мандатной метки. Исходя из полученного результата выполненного анализа, межсетевой экран пропускает информационный пакет или отклоняет его, генерируя сообщение об ошибке. [10-11]

В качестве другого примера рассмотрим сценарий голосового вызова между ОУ, находящихся в разных сетевых сегментах информационной системы (рис. 5).

Для установления соединения ОУ формирует запрос в IP-АТС [12-13] по стандартам протокола SIP с заданной мандатной меткой. Запрос проходит через МЭ, который проверяет мандатную метку пакета аналогично процедуре, описанной выше. Уровень секретности метки безопасности передаваемого пакета должен быть не выше уровня секретности меток безопасности допустимых для вызывающего и вызываемого абонентов. Анализируя метку безопасности, МЭ передает запрос в сеть, в которой зарегистрирован вызываемый абонент, или отклоняет его и генерирует сообщение об ошибке. При получении запроса IP-АТС определяет местоположение вызываемого абонента и определяет возможность соединения с заданным уровнем секретности. Если соединение может быть установлено, IP-АТС

Рис. 5. Сценарий голосового вызова

формирует запрос по стандартам протокола SIP с мандатной меткой вызывающего абонента, в противном случае — с кодом отказа. ОУ вызываемого абонента при получении запроса проверяет метку безопасности. Если ОУ разрешен обмен информацией с данной меткой безопасности, то на входящий запрос ОУ возвращает подтверждение начала передачи данных, в противном случае запрос отклоняется. В процессе передачи данных каждое ОУ проверяет, что входящие сообщения имеют ту же метку безопасности, что и исходящие. При несовпадении меток ОУ которое обнаружило несоответствие, прекращает прием и передачу дан-

ных, разрывает соединение по стандартам протокола SIP [14-15] с кодом отказа и генерирует соответствующее сообщение об ошибке.

Заключение

Предложенная модель разграничения прав доступа на основе технологии WDM и меток безопасности BSO для типовой информационной системы специального назначения обеспечивает разграничение доступа к информации разной степени конфиденциальности в части решения задачи защиты информации от несанкционированного до-

! КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т 11 № 2-2019 ЮРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

ступа с учетом исключения ПЭМИН при ее передаче по оптическим каналам связи.

Практическое применение представленной в статье модели должно учитывать такие ограничения как:

- наличие и особенности реализации меток безопасности BSO в применяемой операционной системе на оконечном устройстве;

- территориальную удаленность узлов информационной системы, так как технология WDM применима только для многомодовой оптики, не применяемой для удаленных на более 200 метров друг от друга узлов связи в силу затухания информационного сигнала.

Литература:

1. Холопов А. А. Информационные системы управления специального назначения // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и Технические науки. 2017. № 2. С. 51-54.

2. Носов Л. С. Оценка защищенности СВТ путем моделирования канала ПЭМИН // Математические структуры и моделирование. 2014. № 4 (32). С. 254-257.

3. Бузов Г. А. Защита информации ограниченного доступа от утечки по техническим каналам. М.: Горячая линия — Телеком, 2017. 586 c.

4. Артамошин С.А. Защита информации от утечки по каналу побочных электромагнитных излучений // Правовая информатика. 2016. № 3. С. 4-12.

5. Antwiwaa A., Kumar A., JaiswalA. K. Source based Security Issues in WDM Systems // International Journal of Electrical and Computer Engineering (IJECE). 2017. Vol. 7. No. 4. Pp. 2101-2108.

6. Слепов Н. Н. Современные технологии цифровых оптоволоконных сетей связи. 2-е изд. М.: Радио и связь, 2003. 468 c.

7. Kent S. U. S. Department of Defense: Security Options for the Internet Protocol. RFC1038. 1991. 16 p.

8. GontF. Recommendations on Filtering of IPv4 Packets Containing IPv4 Options. BCP 186 / RFC7126. 2014. 17 p.

9. Narwal A., Tomar S. Keiberos Protocol: A Review // International Journal of Engineering Research & Technology (IJERT). 2015. Vol. 4. No. 4. Pp. 750-752.

10. Imran M. M., AhmadB. Role of firewall Technology in Network Security // International Journal of Innovations & Advancement in Computer Science. 2015. Vol. 4. No. 12. Pp. 3-6.

11. Лапонина О. Р. Основы сетевой безопасности. Ч. 1: Межсетевые экраны. М.: НОУ «ИНТУИТ», 2014. 378 с.

12. Mr. Sonaskar S. R., Dr. Khanapurkar M. M. Design & Implementation of IP-PBX for Small Business Organization // International Journal of Engineering Innovation & Research. 2012. Vol. 1. No. 4. P. 288.

13. Shirasawa S., Kurahashi M., Noda O., Ogami K. IP-Telephony Technology and Solution Families Covering One Box Startup to Carrier Grade Services // NEC Journal of Advanced Technology. 2004. Pp. 133-142.

14. JaberA. N., Tan Chen-Wei. Session Initiation Protocol Security: A Brief Review // Journal of Computer Science. 2012. Pp. 348-357.

15. Sawda S.E., Urien P., SawdaR. E. A trust communication with SIP protocol // Proceedings of the International Conference on Computer Systems andApplications (Hammamet, Tunisia, 16-19 May 2010). IEEE Xplore Press, 2010. Pp. 1-6 А.

MODEL OF LIMITATION OF RIGHTS OF ACCESS FOR SPECIAL PURPOSE INFORMATION SYSTEM

ALEKSANDER S. KURAKIN KEYWORDS: wavelength division multiplexing; basic security option;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

St. Petersburg, Russia, [email protected] differentiation of access rights; protection against unauthorized ac-

cess; special purpose information system.

ALEKSANDRA A. KOSTYREVA

St. Petersburg, Russia, [email protected]

ABSTRACT

The current stage in the development of society is characterized by the extensive use of special-purpose information systems designed for solving various tasks, for example, the tasks of state administration, command and control of troops and weapons, and ecologically

dangerous and economically important industries. Due to the importance of these systems, there is an urgent need to ensure their information security, one of the main aspects of which is protection against unauthorized access. As a protection measure against un-

S/ZK

un iff,

¡•¡I ////

Vol 11 No 2-2019, H&ES RESEARC INFORMATICS, COMPUTER ENGINEERING AND CONT

V\\\ v \\\\ '

authorized access, access to information of different confidentiality is differentiated, the implementation of which does not take into account the consequences of the threat of information leakage through technical channels due to spurious electromagnetic emissions and interference. In order to neutralize the mentioned security threats, a model of access rights distinction based on the technology "Wavelength Division Multiplexing" and security labels "Basic Security option" has been proposed. It is shown that the use of security labels allows you to verify the legitimacy of information transmission over network connections, and also allows you to confirm that the route of the datagram is protected in accordance with the degree of secrecy of the transmitted data. An algorithm for secure file transfer using a special-purpose information system is described. The scenario of a secure voice call between end devices located in different network segments of a special-purpose information system is given. The proposed model of access rights delineation provides for delineating access to information of varying degrees of confidentiality in terms of solving the problem of protecting information from unauthorized access, taking into account the exclusion of spurious electromagnetic radiation and interference during its transmission via optical communication channels.

REFERENCES

1. Holopov A. A. Information management system of special purpose. Modern Science: Actual Problems of Theory and Practice. Series Natural and technical sciences. 2017. No. 2. Pp. 51-54. (In Russian)

2. Nosov L. S. Estimation of security by modeling the TEMPEST channel of computer. Mathematical structures and modeling. 2014. No. 4(32). Pp. 254-257. (In Russian)

3. Buzov G. A. Zaschita informacii ogranichennogo dostupa ot utech-kipo tehnicheskim kanalam [Protection of restricted access information from leaks through technical channels]. Moscow: Goryachaya liniya - Telecom, 2017. 586 p. (In Russian)

4. Artamoshin S. A. Zashchita informatsii ot utechki po kanalu pob-ochnykh jelektromagnitnykh izluchenij [Protection of information against leakage through the side electromagnetic radiation channel]. Pravovaya informatica [Legal informatics]. 2016. No. 3. Pp. 4-12. (In Russian)

5. Antwiwaa A., Kumar A., Jaiswal A. K. Source based Security Issues in WDM Systems. International Journal of Electrical and Computer Engineering (IJECE). 2017. Vol. 7. No. 4. Pp. 2101-2108.

6. Slepov N. N. Sovremennye tehnologii cifrovyh optovolokonnyh setey svyazi [Modern technologies of digital fiber-optic communication networks]. Moscow: Radio i svyaz, 2003. 468 p. (In Russian)

7. Kent S. U. S. Department of Defense: Security Options for the Internet Protocol. RFC1038. 1991. 16 p.

8. Gont F. Recommendations on Filtering of IPv4 Packets Containing IPv4 Options. BCP 186 / RFC7126. 2014. 17 p.

9. Narwal A., Tomar S. Kerberos Protocol: A Review. International Journal of Engineering Research & Technology (IJERT). 2015. Vol. 4. No. 4. Pp. 750-752.

10. Imran M.M., Ahmad B. Role of firewall Technology in Network Security. International Journal of Innovations & Advancement in Computer Science. 2015. Vol. 4. No. 12. Pp. 3-6.

11. Laponina O. R. Osnovy setevoy bezopasnosti. Chast 1. Mezhsete-vye ekrany [Basic of network security. Part 1. Firewalls]. Moscow: NOU «INTUIT» Publ., 2014. 378 p. (In Russian)

12. Mr. Sonaskar S. R., Dr. Khanapurkar M. M. Design & Implementation of IP-PBX for Small Business Organization. International Journal of Engineering Innovation & Research. 2012. Vol. 1. No. 4. P. 288.

13. Shirasawa S., Kurahashi M., Noda O., Ogami K. IP-Telephony Technology and Solution Families Covering One Box Startup to Carrier Grade Services. NEC Journal of Advanced Technology. 2004. Pp. 133-142.

14. Jaber A.N., Tan Chen-Wei. Session Initiation Protocol Security: A Brief Review. Journal of Computer Science. 2012. Pp. 348-357.

15. Sawda, S.E., Urien P., Sawda R. E. A trust communication with SIP protocol. Proceedings of the International Conference on Computer Systems and Applications - AICCSA 2010 (Hammamet, Tunisia, 1619 May 2010). IEEE Xplore Press, 2010. Pp. 1-6A.

INFORMATION ABOUT AUTHORS:

Kurakin A.S., PhD, Deputy Director for Technical Protection of Information of the OOO "Special Technology Center"; Kostyreva A.A., research engineer second category of the AO "Tehnologii Radiokontrolya".

For citation: Kurakin A.S., Kostyreva A.A. Model of limitation of rights of access for special purpose information system. H&ES Research. 2019. Vol. 11. No. 2. Pp. 82-89. doi: 10.24411/2409-5419-2018-10262 (In Russian)

i Надоели баннеры? Вы всегда можете отключить рекламу.