О БСУЖДЕНИЕ Р ЕЗУЛЬТАТОВ

Описанное расширение интегрированной среды разра- ботки упрощает работу с уже написанным кодом. Про- граммист может легко преобразовывать именно те кон- струкции, от которых он хочет избавиться. При этом у него остается возможность оставить какую-то часть шаблонного кода неизмененной.

Плагин может существенно упростить процесс преоб- разования шаблонного кода в Lombok аннотации. Теперь пользователь не должен сам искать шаблонный код, а может просто пользоваться подсказками, которые пре- доставляет ему плагин.

Так же стоит отметить ещѐ одно возможное использо- вание расширения. Его можно использовать в обучаю- щих целях. Программист может писать обычный код на java, а плагин будет подсказывать ему, в каких местах он может использовать Lombok-аннотации. Позже пользо- ватель плагина сможет начать сам применять аннотации вместо написания шаблонного кода, увеличив скорость написания программ.

В

ЫВОДЫИ

З

АКЛЮЧЕНИЕ

Результатом работы является плагин для интегриро- ванной среды разработки Intellij IDEA, который содер- жит набор инспекций. Инспекции могут находить шаб- лонный java-код и автоматически конвертировать его в Lombok-аннотации.

В дальнейшем планируется расширить список инспек- ций для обнаружения других конструкций языка java, которые можно заменить на аннотации библиотеки Lombok. Разработанный плагин планируется выложить в свободный доступ на GitHub [13] и добавить в магазин плагинов Intellij IDEA [14].

Так же будет проведена работа по популяризации пла- гина путем публикации статей в научных журналах и тематических ресурсах, например, на хабре [15].

С

ПИСОК

Л

ИТЕРАТУРЫ

[1] Java [Electronic resources]// URL:

https://docs.oracle.com/javase/specs/, (accessed 22.04.2018).

[2] Boilerplate code [Electronic resources]// URL:

https://en.wikipedia.org/wiki/Boilerplate_code, (accessed 22.04.2018).

[3] Lombok [Electronic resource]// URL: https://projectlombok.org, (ac- cessed 02.05.2018).

[4] Java annotations [Electronic resources]// URL:

https://docs.oracle.com/javase/tutorial/java/annotations/, (accessed 22.04.2018).

[5] Intellij IDEA [Electronic resources] // URL:

https://www.jetbrains.com/idea, (accessed 08/04/2018).

[6] Unit Testion [Electronic resources]// URL:

https://en.wikipedia.org/wiki/Unit_testing, (accessed 2704.2018) [7] Code Inspections [Electronic resources]// URL:

https://www.jetbrains.com/help/idea/code-inspection.html, (accessed 22.04.2018)

[8] Intellij IDEA Quick-fixes [Electronic resources]// URL:

https://www.jetbrains.com/help/resharper/Code_Analysis__Quick- Fixes.html, (accessed 21.04.2018).

[9] Running Inspections [Electronic resources]// URL:

https://jetbrains.com/help/idea/running-inspections.html, (accessed 26.05.2018).

[10] Сode refactoring [Electronic resources]// URL:

https://en.wikipedia.org/wiki/Code_refactoring, (accessed 08/04/2018).

[11] Getter and setters [Electronic resources]// URL:

http://www.codejava.net/coding/java-getter-and-setter-tutorial-from- basics-to-best-practices, (accessed 22.04.2018).

[12] @Getter and @Setter [Electronic resources]// URL:

https://projectlombok.org/features/GetterSetter, (accessed 22.04.2018).

[13] GitHub [Electronic resources]// URL: https://github.com/, (accessed 21.04.2018).

[14] IntelliJ IDEA Plugins [Electronic resources]// URL:

https://plugins.jetbrains.com/idea, (accessed 08.04.2018).

[15] Habr [Электронный ресурс]//URL: https://habr.com/, (дата обраще- ния: 06.05.2018).

МалявкоАлександр Антонович – доцент кафедры вычислительной техники НГТУ, доцент, кандидат технических наук.

E-mail a.malyavko@corp.nstu.ru

Индикеев Дмитрий Юрьевич – студент ка- федры вычислительной техники НГТУ.

E-mail d.indikeev@ya.ru

137 978-1-5386-7054-5/18/$31.00 ©2018 IEEE

Модель для методики оценки безопасности ин- формационных систем,

использующих виртуализацию

Кирилл В. Курносов, Тамара М. Пестунова

Новосибирский государственный университет экономики и управления, Новосибирск, Россия

Аннотация – В статье проанализированы существующие методики оценки безопасности информационных систем.

Выявлены сильные и слабые стороны этих методик. Пред- ложена модель, на основе которой будет построена новая методика оценки безопасности для информационных сис- тем, построенных с использованием технологий виртуали- зации.

Ключевые слова – информационная безопасность, информа- ционные системы, виртуализация.

I.

В

ВЕДЕНИЕ

ИРТУАЛИЗАЦИЯ является одной из самых быстро растущих областей ИТ-рынка России – по оценкам компании IDC объем рынка облачных услуг в 2016 году вырос на 20% относительно 2015 года, а в 2017 еще на 11% [1]. По оценкам компании Veeam, мировой рынок виртуализации продолжает развиваться очень быстрыми темпами. Уровень прироста капитала составляет 30% в год, однако, в зависимости от региона, показатели силь- но различаются. Для нашей страны этот рост приближа- ется к 80% в год [2]. Согласно отчѐту Global Cloud Security Software Market, в 2014 году общий объем при- влеченных средств составил 150-155 млрд. долларов, а в период с 2010 по 2014 год среднегодовой рост мирового рынка защиты облачных сред, куда входят частные и публичные облака, составил 41,4% и продолжает расти [3]. Объем капиталооборота в этой области к концу 2015 году должен достигнуть миллиарда долларов. С 2010 по 2014 год доля мирового рынка защиты виртуализации в общем рынке программных защитных средств выросла с 2 до 5% [4].

Причинами такого активного роста рынка защиты вир- туальных средств выступает следующий ряд факторов:

Применение технологий виртуализации и облачных сервисов для принципиально новых задач, которые не могли быть решены с использованием прежних техноло- гий. Ярким примером таких задач является предоставле- ние виртуальных рабочих мест.

Активный переход государственных структур и учре- ждений на использование виртуальных компонентов в своих информационных системах.

Рост мобильности сотрудников предприятии в связи с внедрением в корпоративную инфраструктуру совре- менных портативных устройств.

Увеличение объема совокупного числа атак на специ- фические узлы и сервисы, присущие исключительно виртуальным инфраструктурам [2].

В программе «Цифровая экономика Российской Феде- рации» информационная безопасность отнесена к числу базовых направлений развития цифровой экономики, при этом в качестве одного из основных препятствий указаны нерешенные проблемы при обеспечении ин- формационной безопасности в сложных иерархичных информационно-телекоммуникационных системах, ши- роко использующих виртуализацию [5]. В соответствии с дорожной картой этой программы важной задачей яв- ляется разработка методик оценки показателей инфор- мационной безопасности в информационных системах, в том числе, построенных с использованием технологий виртуализации.

II.

П

ОСТАНОВКА

З

АДАЧИ

Потребность в обеспечении безопасности систем ис- пользующих технологии виртуализации является одной из первоочередных для ИТ-индустрии. Отправной точ- кой для осуществления данного процесса является по- строение модели угроз безопасности.

Целью данной статьи является представление модели, на основе которой будет разработана методика оценки безопасности информационных систем, построенных на базе виртуальной инфраструктуры, качественно отли- чающаяся от существующих на данный момент.

III.

Т

ЕОРИЯ

Анализ текущего состояния нормативно- методического обеспечения в сфере безопасности вирту- альных инфраструктур позволяет выделить следующие проблемы, связанные с нормативно-методической базой и стандартизацией.

По результатам анализа существующих Российских и международных методик по определению угроз и оценке безопасности в информационных системах разного на- значения [6-16], были сделаны следующие выводы.

1. Существующие методики позволяют получить статическую оценку системы в определенный момент времени и не учитывают изменения в инфраструктуре и (или) внешней среде. Данная оценка не может считаться актуальной после даже незначительных изменений,

В

XIV Международная научно-техническая конференция АПЭП – 2018

138

примерами которых являются установка обновлений, замена программного обеспечения, публикация информации о новых методах атак, изменение уровня важности защищаемой информации. Пересчет показателей при подобных изменениях выполняется вручную, являясь достаточно трудоѐмким даже для высококвалифицированных специалистов.

2. Компоненты системы в данных методиках рассматриваются как отдельные элементы. Не учитывается специфическая связь между объектами, присущая виртуальным инфраструктурам, и влияние реализации одних угроз на возможность реализации других. Например, компрометация гипервизора практически всегда будет нести за собой компрометацию виртуальных машин, управляемых им.

3. Основным критерием оценки угроз является субъективная оценка экспертов. Такой подход к оценке рассматривает угрозу как отдельную сущность, а не взаимосвязанный набор компонентов, из которых она сформирована, что ограничивает возможность формализации и математических обоснований [7].

В данной работе сформулированы требования, кото- рым должна отвечать методика оценки безопасности информационных систем, функционирующих на базе технологий виртуализации.

A. Пространство Понятий

Не редко встречается ситуация, когда методики опери- руют понятиями, которые в разных документах интер- претируются по-разному. Примером может являться подход к понятию «угроза безопасности информации», которое имеет различные толкования. В методическом документе «Меры защиты информации в ГИС» [6] ком- понентами угрозы являются: возможности нарушителя, уязвимость информационной системы, способ реализа- ции и последствия от реализации. В проекте методики определения угроз безопасности ФСТЭК [7], помимо вышеперечисленных компонентов, появляется еще один:

объект воздействия. Несмотря на то, что определение этого понятия стало более полным и точным, это идет в разрез с классической терминологией, данной в ГОСТ Р 50922-2006 [17]. Существуют и другие подходы к опре- делению понятия «угроза» [18].

Соответственно, для корректного применения данных методик, необходимо изначально определить границы соответствия терминологии некому подходу или стан- дарту.

B. Формализация

Методика должна оперировать понятиями, поддающи- мися математической формализации и состоящими из простых элементов, допускающих количественные оцен- ки или имеющие качественные характеристики, пред- ставленные конечными списками возможных состояний.

Итоговые оценки должны присваиваться путем матема- тических расчетов по представленным формулам и на основе конкретно определенных исходных данных. Ко-

личество исходных параметров, основанных на эксперт- ных оценках, должно быть сведено к минимуму.

C. Спецификация

Методика оценки безопасности информационных сис- тем, построенных на базе виртуальных инфраструктурах, должна учитывать их специфику. Виртуализация имеет принципиальные отличия от технологий, работающих на физических объектах. Многие особенности, такие как наличие гипервизора, моментальных снимков (снапшо- тов) или эталонных образов, не имеют аналогов в обыч- ных информационных системах, поэтому некорректно оценивать их безопасность по общим методикам.

D. Взаимосвязанность

При использовании технологий виртуализации многие компоненты взаимосвязаны гораздо теснее, чем компо- ненты обычных информационных систем. Такие компо- ненты, как гипервизор, виртуальная машина, виртуаль- ная сеть, невозможно рассматривать изолированно ввиду их технологической реализации. Любые угрозы, на- стройки и изменения в одном из компонентов имеют значительное влияние на смежные компоненты. Важной особенностью является то, что одни самостоятельные объекты являются просто данными для других, являю- щихся их носителями [20].

E. Динамичность

Информационная система и внешняя среда не являют- ся статическими объектами. Регулярно обнаруживаются новые уязвимости программного обеспечения, появля- ются новые методы атак, выходят обновления и патчи, способные за несколько недель значительно изменить функционал платформ виртуализации. Важность инфор- мации и ее свойств тоже не является постоянной величи- ной. Если речь идет о реальном обеспечении безопасно- сти, а не о разовом выполнении нормативных требова- ний при аттестации, то методика должна иметь механиз- мы, позволяющие с минимальными затратами ресурсов актуализировать оценку уровня безопасности информа- ционных систем «на лету». На практике это означает, что методика должна иметь возможность автоматизации процесса оценки при изменении объекта или внешней среды.

Соблюдение данных требований является необходи- мым условием для качественного улучшения методик оценки показателей информационной безопасности в информационных системах, построенных с применением технологий виртуализации.

Сравнительная характеристика некоторых из наиболее распространенных методик, по предложенным критери- ям, приведена в Табл. I.

139

ТАБЛИЦА I

No documento 2018 14 TH INTERNATIONAL SCIENTIFIC- TECHNICAL CONFERENCE ON ACTUAL PROBLEMS OF ELECTRONIC INSTRUMENT (páginas 136-139)