Журнал «Системы высокой доступности» №3 за 2018 г.
Статья в номере:
Актуальные вопросы выявления уязвимостей и недекларированных возможностей в программном обеспечении
Тип статьи: научная статья
DOI: 10.18127/j20729472-201803-03
УДК: 004.056
Авторы:

А.В. Барабанов – к.т.н., зам. ген. директора по НИР, АО «НПО «Эшелон» (Москва)

E-mail: a.barabanov@npo-echelon.ru

А.С. Марков – д.т.н., президент АО «НПО «Эшелон» (Москва)

E-mail: a.markov@npo-echelon.ru

В.Л. Цирлов – к.т.н., ген. директор АО «НПО «Эшелон» (Москва) E-mail: v.tsirlov@npo-echelon.ru

Аннотация:

Проведен обзор текущего состояния тематики программной безопасности. Сделан вывод о соответствии понятийной базы безопасности программ современным парадигмам информационных технологий. Рассмотрены достоинства и ограничения современных подходов к тестированию программ по требованиям безопасности. Отмечено, что для обеспечения полноты проверок необходимо сочетание различных подходов к тестированию программ. Показан современный методический подход к проведению испытаний по выявлению уязвимостей и недекларированных возможностей (НДВ). Дан краткий обзор зарубежных исследований. Описаны компенсационные меры программной безопасности. Приведена статистика по выявлению уязвимостей в процессе сертификации. Указаны пути повышения результативности тестирования и испытаний программ.

Страницы: 12-17
Список источников
  1. Баранов А.П. Актуальные проблемы в сфере обеспечения информационной безопасности программного обеспечения // Вопросы кибербезопасности. 2015. № 1. С. 2−5.
  2. Муравник В.Б., Захаренков А.И., Добродеев А.Ю. Некоторые предложения по подходу и порядку реализации политики и стратегии импортозамещения в интересах национальной безопасности и укрепления обороноспособности Российской Федерации // Вопросы кибербезопасности. 2016. № 1(14). С. 2−8.
  3. Марков А.С., Шеремет И.А. Теоретические аспекты сертификации средств защиты информации // Оборонный комплекс научно-техническому прогрессу России. 2015. № 4(128). С. 7−15.
  4. Марков А.С., Фадин А.А. Систематика уязвимостей и дефектов безопасности программных ресурсов // Защита информации. Инсайд. 2013. № 3(51). С. 56−61.
  5. Липаев В.В. Надежность и функциональная безопасность комплексов программ реального времени // Программная инженерия. 2013. № 8. С. 10−18.
  6. Захаров В.Н. По итогам 4-й Международной научно-практической конференции «Инструменты и методы анализа программ» TMPA-2017 // Системы высокой доступности. 2017. Т. 13. № 2. С. 73−74.
  7. Барабанов А.В., Евсеев А.Н. Вопросы повышения эффективности анализа уязвимостей при проведении сертификационных испытаний программного обеспечения по требованиям безопасности информации // Труды Междунар. симпозиума «Надежность и качество». 2015. Т. 1. С. 330−333.
  8. Барабанов А.В., Гришин М.И., Кубарев А.В. Моделирование угроз безопасности информации, связанных с функционированием скрытых в вредоносных компьютерных программах // Вопросы кибербезопасности. 2014. № 4(7). С. 41−48.
  9. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации. М.: Радио и связь. 2012. 192 с.
  10. Кононов Д.С. Итерационный метод поиска клонированного кода, основанный на вычислении редакционного расстояния // Вопросы кибербезопасности. 2017. № 1. С. 16−21.
  11. Жидков И.В., Кадушкин И.В. О признаках потенциально опасных событий в информационных системах // Вопросы кибербезопасности. 2014. № 1(2). С. 40−48.
  12. Аветисян А., Белеванцев А., Бородин А., Несов В. Использование статического анализа для поиска уязвимостей и критических ошибок в исходном коде программ // Труды Института системного программирования РАН. 2011. Т. 21. С. 23−38.
  13. Александров Я.А., Сафин Л.К., Чернов А.В., Трошина К.Н. Определение границ подпрограмм при статическом анализе бинарных образов // Вопросы кибербезопасности. 2016. № 1(14). С. 53−60.
  14. Колосов А.П., Рыжков Е.А. Применение статического анализа при разработке программ // Известия Тульского государственного университета. Технические науки. 2008. № 3. С. 185−190.
  15. Рибер Г., Малмквист К., Щербаков А. Многоуровневый подход к оценке безопасности программных средств // Вопросы кибербезопасности. 2014. № 1(2). С. 36−39.
  16. Марков А.С., Матвеев В.А., Фадин А.А., Цирлов В.Л. Эвристический анализ безопасности программного кода // Вестник МГТУ им. Н.Э. Баумана. Сер.: Приборостроение. 2016. № 1(106). С. 98−111.
  17. Поляков С.А., Карасев С.В. Особенности получения информации о ходе выполнения программы (трассы) с использованием аппаратного окружения // Вопросы кибербезопасности. 2016. № 3(16). С. 40−44.
  18. Мельников П.В., Горюнов М.Н., Анисимов Д.В. Подход к проведению динамического анализа исходных текстов программ // Вопросы кибербезопасности. 2016. № 3(16). С. 33−39.
  19. Sviridov P.Y., Zaytsev G.Y., Ivachev A.S. The universal vulnerability exploitation platform for CTF // Прикладная дискретная математика. Приложение. 2014. № 7. С. 106−108.
  20. Барабанов А.В., Марков А.С., Цирлов В.Л. Международная сертификация в области информационной безопасности // Стандарты и качество. 2016. № 7. С. 30−33.
  21. Петренко А.А., Петренко С.А. НИОКР агентства DARPA в области кибербезопасности // Вопросы кибербезопасности. 2015. № 4(12). С. 2−22.
  22. Барабанов А.В., Марков А.С., Цирлов В.Л. 28 магических мер разработки безопасного программного обеспечения // Вопросы кибербезопасности. 2015. № 5. С. 2−10.
  23. Барабанов А.В., Марков А.С., Фадин А.А., Цирлов В.Л. Статистика выявления уязвимостей программного обеспечения при проведении сертификационных испытаний // Вопросы кибербезопасности. 2017. № 2(20). С. 2−8.
Дата поступления: 3 августа 2018 г.