авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |   ...   | 11 |

«ПРЕДИСЛОВИЕ Развитие и широкое применение электронной вычислительной техники в промышленности, управлении, связи, научных исследованиях, образовании, сфере услуг, ...»

-- [ Страница 4 ] --

Первая работа больше ориентирована на вычислительные сети, вторая — на территориально-сосредоточенные АСОД и организацию работ по защите информации при их проектировании и разработке. Не останавливаясь на различии в подходах и результатах указанных исследований, что само по себе уже говорит о незавершенности решения проблемы, отметим ряд принципиальных особенностей, которые объединяют их концепции и концепции других работ и нормативных документов. Это касается прежде всего постановки задачи, которая отражается особенно на основных терминах и определениях.

В сложившемся в настоящее время подходе предметом защиты принято считать "информационные ресурсы". Нетрудно заметить, что это понятие имеет множественный характер и представляет собой множество предметов защиты. Границы этого множества никем и ничем не определены и устанавливаются самим разработчиком системы по своему усмотрению с учетом рекомендаций специалистов. Далее определяются множество потенциальных угроз этим ресурсам и адекватное им подобранное на основе экспертных оценок множество средств защиты, которые в совокупности должны образовать в автоматизированной системе и вокруг нее некую защищенную среду обработки информации. Затем в целях научной формализации процесса в эту среду вводятся понятия объектов и субъектов доступа, которые непонятно каким образом должны взаимодействовать в этой среде. Если в этот процесс еще добавить случайные события, которые специалисты исключить не могут никак, то сложность решения и неопределенность результата такой работы очевидны. Кроме того, при таком подходе происходит смещение цели защиты, и ее основной предмет — информация уходит в тень, то есть она защищается косвенным образом, и гарантии ее полного попадания в сферу защиты практически отсутствуют. Следствием такого подхода являются противоречия и различное толкование основных терминов и определений, появление которых в некоторых работах и нормативных документах при отсутствии единой и общепринятой теории безопасности информации можно считать явно преждевременным. Подтвердим это примерами и проведем анализ существующих определений по различным источникам. Например, в |77| опубликованы следующие определения:

а) система защиты данных — комплекс аппаратных, программных и криптографических средств, а также мероприятий, обеспечивающих защиту данных от случайного или преднамеренного разрушения, искажения или использования, б) система защиты информации от несанкционированного доступа — комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах;

в) система защиты секретной информации — комплекс организационных мер и программно-технических (в том числе криптографических мероприятии) средств обеспечения безопасности информации в автоматизированных системах;

г) средства защиты от несанкционированного доступа — программные, технические или программно-технические, предназначенные для предотвращения или существенного затруднения несанкционированного доступа;

д) защищенная система — система, вход в которую требует ввода пароля;

е) субъект безопасности — активная системная составляющая, к которой применяется методика безопасности;

ж) субъект доступа — лицо или процесс, действия которых регламентируются правилами разграничения доступа;

з) безопасность информации — состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.

Те же понятия в |72| определены следующим образом:

а) система защиты информации — организованная совокупность всех средств, методов и мероприятии, предусматриваемых в АСОД с целью защиты информации;

б) под объектом защиты понимается такой структурный компонент АСОД, в котором находится или может находиться подлежащая защите информация;

в) под элементом защиты понимается находящаяся в АСОД совокупность данных, которая может содержать подлежащие защите сведения;

г) средства защиты — устройства, программы и мероприятия, специально предназначенные для решения в АСОД задач защиты информации. На аналогичные понятия и |71| приведены следующие определения:

а) безопасность АСОИ — ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее;

б) система защиты АСОИ — единая совокупность правовых и морально-этических норм, организационных (административных) мер и программно-технических средств, направленных на противодействие угрозам АСОИ с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

По |70|:

а) защита (безопасность) ресурсов вычислительной сети означает, что все операции с этими ресурсами выполняются по строго определенным правилам и инструкциям;

6)...система защиты вычислительной сети может быть определена в форме списков, процедур и средств защиты. Чем длиннее список, тем выше степень защищенности сети.

По "Временному Положению..." ГТК РФ [73]:

а) субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа;

6) объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа;

в) защищенное средство вычислительной техники (защищенная автоматизированная система) — средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты;

г) концепция диспетчера доступа — концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам.

Анализ определений "а","б","в" и "г" по [77] показывает, что содержание их одно и то же, тогда как понятия "система", "комплекс" и "средства" отличаются между собой.

Определение "а" не включает угрозу хищения. Содержание определений не раскрывает полностью суть назначения и характеристику определяемого предмета. Один и тот же предмет должен иметь одно определение, содержащее характеристики, свойственные только данному предмету.

К определениям "д","е","ж" и "з" [77], а также "а" [73] возникает ряд риторических вопросов:

пароль — единственное средство защиты?;

субъект может быть неодушевленным предметом?;

может ли случайный процесс подчиняться инструкциям?;

могут ли быть в информации внутренние угрозы, на неe же и направленные?

Определения [70], [71], [72], [73] и [77] иллюстрируют различное понимание задачи и путей ее решения. Из приведенных пяти источников определений информацию как предмет защиты упоминает только один, да и то в декларативном порядке, то есть все концепции защиты предусматривают множество предметов защиты, которое по причине отсутствия его границ приводит в конечном итоге к появлению понятий "защищенная СВТ", "защищенная АС", "защищенная сеть". В буквальном смысле этих слов обычно понимается создание вокруг СВТ, АС, сети защитной оболочки. Но это, как известно, поставленной задачи не решает и, более того, не всегда возможно, например в глобальной сети и АСУ Кроме того, основной задачей защиты информации является защита пользователей от нарушителей-. Они обладают определенными полномочиями и имеют доступ к информации и ресурсам внутри автоматизированной системы. То есть указанные понятия не соответствуют назначению.

Поэтому целесообразно при определении такого рода понятий сделать акцент на безопасной обработке информации как внутреннем свойстве АСОД, таком, как надежность и устойчивость ее функционирования, и термин "безопасная АСОД" будет выглядеть предпочтительнее.

В этой связи попутно отметим некорректность применения термина "защищенная СУБД" и других подобного рода терминов, применяемых к элементам вычислительной техники, не имеющим самостоятельного применения. Подобные средства, содержащие какой-либо набор средств защиты, до применения их в АСОД не могут называться защищенными, так как информация, подлежащая защите, в нем появляется лишь после его установки и о завершенности создания защиты можно говорить лишь тогда, когда в данной АСОД создана и принята заказчиком система безопасности информации, жестко связанная с определенной информационной технологией, с ее индивидуальной обработкой и управлением в организации-потребителе.

Возвращаясь к предмету защиты и термину "информационные ресурсы", напомним, что под ресурсами согласно "Энциклопедическому словарю" (Москва, 1985 г.) понимаются запасы чего-либо: объемов памяти, времени функционирования, быстродействия и т. д. В [70] в состав ресурсов включены все компоненты вычислительной сети, ее аппаратное и программное обеспечение, а также процедуры, протоколы, управляющие структуры и т.п.

Согласно "Толковому словарю по вычислительной технике и программированию" авторов А. П. Заморина и А. С. Марова (М.:"Русский язык", 1987) под информационными ресурсами понимается "информация, которая представляет ценность для предприятия и может быть оценена подобно материальным ресурсам". Как видно, добавление к слову прилагательного резко меняет его первоначальный смысл. Поскольку уже существует нормальное выражение нового смысла в старом слове "информация", то предлагается его и применять, чтобы строго и четко обозначить предмет защиты и чтобы больше не появлялись такие выражения, как "тело обозначения ресурса" и "данные, вводимые пользователем, передаются как тело ресурса" (Computerworld, Россия, N4, 26.09.95г., с. 22). Однако это абсолютно не означает, что при решении задачи защиты информации не потребуется защита ресурсов вычислительной системы, но только в тех случаях, когда информацию непосредственно защитить сложно и когда их защита существенно повышает уровень ее безопасности.

Изложенное выше дает основание для анализа и поиска новых путей.решения проблемы безопасности информации в АСОД.

Анализ развития проблемы и путей ее решения, а также опыт разработки соответствующих систем и предлагаемые ниже исследования позволяют предположить следующие причины указанных выше неудач. Это прежде всего отсутствие четких и ясных определений объектов и предмета защиты, оптимальных классификаций потенциальных угроз и возможных каналов НСД, отсутствие адекватных моделей объекта защиты информации и ожидаемой модели поведения нарушителя. Деление отдельных средств защиты на аппаратные, физические, программные, инженерные и т. д., т. е. по технологии исполнения (не по прямому назначению), положенное в основу принципов построения системы защиты, не учитывает их функциональные возможности по взаимодействию и создает предпосылки для образования "щелей" в защите.

При построении защиты часто не учитывается различие предметов защиты, возможных каналов НСД и соответствующих средств защиты на этапах проектирования и эксплуатации АСОД.

Отсутствие четкой и обоснованной классификации объектов защиты информации по принципам построения не позволило найти единого подхода к территориально сосредоточенным и глобальным АСОД.

Возможной причиной неудач явилось также и то, что используемое представление потенциальных угроз не полностью учитывает их физическое происхождение и точки приложения в конкретной вычислительной системе (например, различную природу случайных и преднамеренных воздействий). В результате этого недостаточно точно определены возможные подходы нарушителя к объекту защиты, что, в свою очередь, не позволило установить на его пути соответствующие преграды.

Модель поведения нарушителя часто не устанавливает его исходную позицию и не учитывает его естественное стремление использовать в своих целях наиболее слабое звено в защите. Практически полностью отсутствуют обоснование и реализация принципа равной прочности звеньев защиты, вытекающего из необходимости создания вокруг предмета замкнутой оболочки защиты. В результате выясняется, что в большинстве случаев программные средства защиты значительно прочнее аппаратных, через которые эти программные средства защиты можно легко обойти. Другими словами: мы продолжали совершенствовать стальную дверь, которая висела на бумажной коробке.

Кроме того, почти не учитывается при разработке и не оценивается в количественном отношении принципиально важное свойство звеньев защиты — способность к обнаружению и блокировке несанкционированных действий нарушителя по аналогии с функциональным контролем вычислительной системы.

Достаточным доказательством отсутствия завершенности решения проблемы является также существующий в настоящее время метод оценки защищенности информации в конкретных вычислительных системах [6, 64], в котором в качестве критерия оценки предусмотрено наличие всего лишь определенного набора средств защиты, состав которого соответствует некоторому классу защиты без количественной оценки прочности средств защиты и системы в целом.

Приведенный анализ недостатков и трудностей решения проблемы дает основание искать их причины в начале пути: анализе объектов защиты информации, потенциальных угрозах и выборе другой концепции защиты информации в автоматизированных системах обработки данных.

16.2. АНАЛИЗ ВИДОВ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ И ВЫБОР ОБЩЕГО ПОДХОДА К ПОСТРОЕНИЮ СИСТЕМЫ ЕЕ БЕЗОПАСНОСТИ Проблема безопасности информации охватывает широкий спектр автоматизированных систем ее обработки: от персонального компьютера и больших вычислительных комплексов до глобальных вычислительных сетей и АСУ различного назначения. Наряду с известными и необходимыми для выполнения своих задач по прямому назначению характеристиками, такими, как надежность функционирования, устойчивость к внешним воздействиям и скорость обработки данных, каждая из этих систем должна обеспечивать гарантированную безопасность обрабатываемой информации.

Рис. 16.1а. Обобщенная функциональная схема вычислительной системы с централизованной обработкой данных Как показал накопленный опыт, данная характеристика, или свойство системы, по своему значению не уступает приведенным характеристикам и часто даже превосходит их.

Это видно хотя бы из того, что при отказе функционирования системы ценная информация в ней должна быть сохранена, то есть не должна претерпеть никаких изменений, не быть разрушенной или похищенной и не быть доступной посторонним лицам.

В целях выработки общего подхода к решению этой задачи для всех видов АСОД рассмотрим их классификацию по принципам построения, приведенную на рис. 2.1.

Анализ этой классификации позволяет разделить АСОД на два вида: с централизованной и децентрализованной обработкой данных. К первым относятся: ЭВМ;

вычисли тельные комплексы и вычислительные системы.

Ко вторым — системы телеобработки данных, вычислительные сети (сети передачи данных) и АСУ.

Рис. 16.1б. Обобщенная структура АСУ При рассмотрении структуры и принципов построения данных АСОД обратим внимание на следующую закономерность, вытекающую из последовательного их развития в сторону усложнения состава технических средств и умножения выполняемых задач: каждый последующей вид АСОД может включать все предыдущие (см. гл. 2). Вычислительные системы могут содержать в своем составе вычислительные комплексы и ЭВМ;

АСУ — вычислительные системы, соединенные через вычислительную сеть каналами связи (см. рис.

2.7). Вычислительная сеть состоит также из вычислительных систем, соединенных между собой каналами связи. Только часть этих систем выполняет задачи узлов коммутации сообщений, а остальные — задачи абонентских комплексов. Таким образом, вычислительную систему с позиций безопасности информации можно рассматривать как некий базовый элемент вычислительной сети и АСУ. Обобщенная функциональная схема такой системы представлена на рис. 16. 1а Общий подход к разработке концепции безопасности информации для указанных АСОД заключается в анализе этого элемента, разработке концептуальных основ защиты информации на его уровне и затем на уровне вычислительной сети и АСУ.

Такой подход удобен переходом от простого к сложному, а также и тем, что позволит получить возможность распространения полученных результатов на персональную ЭВМ и локальную вычислительную сеть, рассматривая первую как АСОД с централизованной, а вторую — с децентрализованной обработкой данных.

Однако следует принять во внимание, что понятие "вычислительная система" используется и в более широком смысле, а также и то, что в последнее время в качестве такого элемента могут выступать локальные вычислительные сети. Поэтому для представления АСОД с децентрализованной обработкой данных используем известное понятие "комплекс средств автоматизации (КСА) обработки данных", которое может включать либо упомянутую вычислительную систему, либо локальную вычислительную сеть, либо их сочетание, либо несколько таких систем. Принадлежность их к одному КСА будет отличать выполнение общей задачи, линии связи между собой и общий выход в каналы связи сети передачи данных, а также расположение на одной контролируемой владельцем КСА территории.

Изложенное позволяет в качестве объекта исследования выбрать обобщенную структуру АСУ, представленную на рис. 16.1б. В данном варианте изображена АСУ, в состав которой могут входить все перечисленные виды АСОД и где: КСА (УК), аппаратура передачи данных (АПД) остальных КСА с каналами связи образуют сеть передачи данных (СПД), КСАу является управляющим звеном АСУ, остальные КСА — управляемые звенья АСУ.

16.3. ОСНОВЫ ТЕОРИИ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА Для постановки задачи рассмотрим некоторые первоначальные условия. Такие условия для нас будет создавать модель ожидаемого поведения потенциального нарушителя.

МОДЕЛЬ ПОВЕДЕНИЯ ПОТЕНЦИАЛЬНОГО НАРУШИТЕЛЯ Нарушением считается попытка несанкционированного доступа (НСД) к любой части подлежащей защите информации, хранимой, обрабатываемой и передаваемой в АСУ.

Поскольку время и место проявления преднамеренного НСД предсказать невозможно, целесообразно воссоздать некоторую модель поведения потенциального нарушителя, предполагая наиболее опасную ситуацию:

а) нарушитель может появиться в любое время и в любом месте периметра автоматизированной системы;

б) квалификация и осведомленность нарушителя может быть на уровне разработчика данной системы;

в) постоянно хранимая информация о принципах работы системы, включая секретную, нарушителю известна;

г) для достижения своей цели нарушитель выберет наиболее слабое звено в защите;

д) нарушителем может быть не только постороннее лицо, но и законный пользователь системы;

е) нарушитель действует один.

Данная модель позволяет определиться с исходными данными для построения защиты и наметить основные принципы ее построения.

Согласно п. "а" необходимо строить вокруг предмета защиты постоянно действующий замкнутый контур (или оболочку) защиты.

Согласно п. "б" свойства преграды, составляющие защиту, должны по возможности соответствовать ожидаемой квалификации и осведомленности нарушителя.

Согласно п. "в" для входа в систему законного пользователя необходима переменная секретная информация, известная только ему.

Согласно п. "г" итоговая прочность защитного контура определяется его слабейшим звеном.

Согласно п. "д" при наличии нескольких законных пользователей полезно обеспечить разграничение их доступа к информации в соответствии с полномочиями и выполняемыми функциями, реализуя таким образом принцип наименьшей осведомленности каждого пользователя с целью сокращения ущерба в случае, если имеет место безответственность одного из них. Отсюда также следует, что расчет прочности защиты должен производиться для двух возможных исходных позиций нарушителя: за пределами контролируемой территории и внутри её.

Согласно п. "е" в качестве исходной предпосылки также считаем, что нарушитель один, так как защита от группы нарушителей — задача следующего этапа исследований.

Однако это не исключает возможности защиты предлагаемыми методами и средствами и от такого рода ситуаций, хотя подобная задача значительно сложнее. При этом под группой нарушителей понимается группа людей, выполняющих одну задачу под общим руководством.

Однако для различных по назначению и принципам построения АСОД, виду и ценности обрабатываемой в них информации наиболее "опасная" модель поведения потенциального нарушителя также может быть различной. Для военных систем это уровень разведчика-профессионала, для коммерческих систем — уровень квалифицированною пользователя и т. д. Для медицинских систем, например, скорее всего не потребуется защита от побочного электромагнитного излучения и наводок, но защита от безответственности пользователей просто необходима. Очевидно, что для защиты информации от более квалифицированного и осведомленного нарушителя потребуется рассмотреть большее количество возможных каналов НСД и применить большее количество средств защиты с более высокими показателями прочности.

На основании изложенного для выбора исходной модели поведения потенциального нарушителя целесообразен дифференцированный подход. Поскольку квалификация нарушителя — понятие весьма относительное и приближенное, возможно принять за основу четыре класса безопасности:

1-й класс рекомендуется для защиты жизненно важной информации, утечка, разрушение или модификация которой могут привести к большим потерям для пользователя. Прочность защиты должна быть рассчитана на нарушителя-профессионала;

2-й класс рекомендуется использовать для защиты важной информации при работе нескольких пользователей, имеющих доступ к разным массивам данных или формирующих свои файлы, недоступные другим пользователям. Прочность защиты должна быть рассчитана на нарушителя высокой квалификации, но не на взломщика-профессионала;

3-й класс рекомендуется для защиты относительно ценной информации, постоянный несанкционированный доступ к которой путем ее накопления может привести к утечке и более ценной информации. Прочность защиты при этом должна быть рассчитана на относительно квалифицированного нарушителя-непрофессионала;

4-й класс рекомендуется для защиты прочей информации, не представляющей интереса для серьезных нарушителей. Однако его необходимость диктуется соблюдением технологической дисциплины учета и обработки информации служебного пользования в целях защиты от случайных нарушений в результате безответственности пользователей и некоторой подстраховки от случаев преднамеренного НСД.

Реализация перечисленных уровней безопасности должна обеспечиваться набором соответствующих средств защиты, перекрывающих определенное количество возможных каналов НСД в соответствии с ожидаемым классом потенциальных нарушителей. Уровень безопасности защиты внутри класса обеспечивается количественной оценкой прочности отдельных средств защиты и оценкой прочности контура защиты от преднамеренного НСД по расчетным формулам, вывод которых предлагается ниже.

МОДЕЛЬ ЭЛЕМЕНТАРНОЙ ЗАЩИТЫ Рис. 16.2. Модель элементарной защиты:

1 — предмет защиты;

2 — преграда;

3 — прочность преграды В общем случае простейшая модель элементарной защиты любого предмета может быть в виде, представленном на рис. 16.2.

Предмет защиты помещен в замкнутую и однородную защитную оболочку, называемую преградой. Прочность защиты зависит от свойств преграды. Принципиальную роль играет способность преграды противостоять попыткам преодоления ее нарушителем.

Свойство предмета защиты — способность привлекать его владельца и потенциального нарушителя. Привлекательность предмета защиты заключается в его цене. Это свойство предмета защиты широко используется при оценке защищенности информации в вычислительных системах. При этом считается, что прочность созданной преграды достаточна, если стоимость ожидаемых затрат на ее преодоление потенциальным нарушителем превышает стоимость защищаемой информации. Однако возможен и другой подход.

Известно, что информация со временем теряет свою привлекательность и начинает устаревать, а в отдельных случаях ее цена может упасть до нуля. Тогда за условие достаточности защиты можно принять превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Если обозначить вероятность непреодоления преграды нарушителем через Рсзи, время жизни информации через tж, ожидаемое время преодоления преграды нарушителем через tн, вероятность обхода преграды нарушителем через Робх, то для случая старения информации условие достаточности защиты получим в виде следующих отношений:

Рсзи = 1, если tЖ tН и Робх=0.

Робх равное нулю, отражает необходимость замыкания преграды вокруг предмета защиты. Если tж tн, а Робх = 0, то Рсзи = ( 1 - Рнр). (16.1) где Рнр — вероятность преодоления преграды нарушителем за время, меньшее tЖ.

Для реального случая, когда tЖ tН и Робх 0 прочность защиты можно представить в виде:

Рсзи = ( 1 - Рнр)( 1 – Робх).

где Рнр = 0, если tЖ tН ;

Pнр 0, если tж tн.

Однако эта формула справедлива для случая, когда нарушителей двое, т. е. когда один преодолевает преграду, а второй ее обходит. Но в исходной модели поведения потенциального нарушителя мы условились, что нарушитель будет в единственном числе и ему известны прочность преграды и сложность пути ее обхода. Поскольку одновременно по двум путям он идти не сможет, он выберет один из них — наиболее простой, т. е. по формуле "или". Тогда формальное выражение прочности защиты в целим для данного случая будет соответствовать формуле:

Рсзи = ( 1 - Рнр)V( 1 – Робх) (16.2) где V — знак "ИЛИ".

Следовательно, прочность преграды после определения и сравнения величин ( 1 - Рнр) и ( 1 – Робх) будет равна наименьшему значению одной из них.

В качестве примера элементарной защиты, рассчитываемого по формуле (16.2), может быть названа криптографическая защита информации, где величина Рнр может определяться путем оценки вероятности подбора кода ключа, с помощью которого можно дешифровать закрытую данным способом информацию. Согласно [11] эту величину можно определить по формуле n нр, (16.3) AS где п — количество попыток подбора кода;

А — число символов в выбранном алфавите кода ключа;

5 — длина кода ключа в количестве символов.

Величина Робх будет зависеть от выбранного метода шифрования, способа применения, полноты перекрытия текста информации, существующих методов криптографического анализа, а также способа хранения действительного значения кода ключа и периодичности его замены на новое значение, если информация, закрытая данным способом, постоянно хранится у ее владельца. Возможны и другие обстоятельства, влияющие на вероятность обхода криптографической защиты.

Выбор и определение конкретной величины Робх сначала можно проводить экспертным путем на основе опыта специалистов. Величина Робх должна принимать значения от 0 до 1. При Робх = 1 защита теряет всякий смысл.

Возможно также, что у одной преграды может быть несколько путей обхода. Тогда формула (16.2) примет вид:

Рсзи = ( 1 - Рнр)V( 1 – Робх1) V( 1 – Робх2)V… V( 1 – Робхk) (16.4) где k — число путей обхода преграды, т.е. прочность преграды равна наименьшему значению, полученному после определения и сравнения величин:

( 1 - Рнр),( 1 – Робх1),( 1 – Робх2),…,( 1 – Робхk).

В том случае, когда информация, подлежащая защите, не устаревает или периодически обновляется, т. е. когда неравенство tж tн постоянно или же когда обеспечить tЖ tН по каким-либо причинам невозможно, обычно применяется постоянно действующая преграда, обладающая свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защиты. В качестве такой защиты могут быть применены человек или специальная автоматизированная система обнаружения под управлением человека.

Очевидно, что параметры этой преграды будут влиять на ее прочность.

Способность преграды обнаруживать и блокировать НСД должна учитываться при оценке ее прочности путем введения в расчетную формулу (16.4) вместо ( 1 - Рнр) величины Робл — вероятности обнаружения и блокировки НСД.

Принцип работы автоматизированной преграды основан на том, что в ней блоком управления производится периодический контроль датчиков обнаружения нарушителя.

Результаты контроля наблюдаются человеком. Периодичность опроса датчиков автоматом может достигать тысячные доли секунды и менее. В этом случае ожидаемое время преодоления преграды нарушителем значительно превышает период опроса датчиков.

Поэтому такой контроль часто считают постоянным. Но для обнаружения нарушителя человеком, управляющим автоматом контроля, только малого периода опроса датчиков недостаточно.

Необходимо еще и время на выработку сигнала тревожной сигнализации, т. е. время срабатывания автомата, так как оно часто значительно превышает период опроса датчиков и тем самым увеличивает время обнаружения нарушителя. Практика показывает, что обычно сигнала тревожной сигнализации достаточно для приостановки действий нарушителя, если этот сигнал до него дошел. Но поскольку физический доступ к объекту защиты пока еще открыт, дальнейшие действия охраны сводятся к определению места и организации блокировки доступа нарушителя, на что также потребуется время.

Таким образом, условие прочности преграды с обнаружением и блокировкой НСД можно представить в виде соотношения:

д tср tом tбл 1, (16.5) tн где Tд — период опроса датчиков;

tср — время срабатывания тревожной сигнализации;

tом — время определения места доступа;

tбл — время блокировки доступа.

Если обозначим сумму (Tд + tср + tом + tом) через Тобл, получим соотношение:

обл 1, (16.6) tн где Тобл — время обнаружения и блокировки несанкционированного доступа.

Рис. 16.3. Временная диаграмма контроля НСД Процесс контроля НСД и несанкционированных действий нарушителя во времени представлен на рис. 16.3.

Из диаграммы на рис. 16.3 следует, что нарушитель может быть не обнаружен в двух случаях:

а) когда tн Т;

б) когда Т tн Tобл.

В первом случае требуется дополнительное условие — попадание интервала времени tн в интервал Т, то есть необходима синхронизация действий нарушителя с частотой опроса датчиков обнаружения. Для решения этой задачи нарушителю придется скрытно подключить измерительную аппаратуру в момент выполнения несанкционированного доступа к информации, что является довольно сложной задачей для постороннего человека.

Поэтому считаем, что свои действия с частотой опроса датчиков он синхронизировать не сможет и может рассчитывать лишь на некоторую вероятность успеха, выражающуюся в вероятности попадания отрезка времени tн в промежуток времени между импульсами опроса датчиков, равный Т.

Согласно определению геометрической вероятности из курса теории вероятности получим выражение для определения вероятности успеха нарушителя в следующем виде:

tн t 1 н.

нр (16.7) Тогда вероятность обнаружения несанкционированных действий нарушителя будет определяться выражением:

Роб=1-Рнр (16,8) tн или Роб (16.9) При tн T нарушитель будет обнаружен наверняка, т.е. Роб = 1 Во втором случае, когда Т tн Тобл, вероятность успеха нарушителя будет определяться по аналогии с предыдущим соотношением:

tн Pнр 1, (16.10) Т обл Вероятность обнаружения и блокировки несанкционированных действий нарушителя:

Робл=1-Рнр (16,11) tн или Роб (16.12) обл При tн Tобл попытка НСД не имеет смысла, так как она будет обнаружена наверняка. В этом случае Робл = 1 Таким образом, расчет прочности преграды со свойствами обнаружения и блокировки можно производить по формуле Рсзи = Робл V( 1 – Робх1) V( 1 – Робх2)V… V( 1 – Робхk) (16.13) где k — число путей обхода этой преграды;

V - знак "ИЛИ".

Следует также отметить, что эта формула справедлива также и для организационной меры защиты в виде периодического контроля заданного объекта человеком. При этом полагаем, что обнаружение, определение места НСД и его блокировка происходят в одно время — в момент контроля объекта человеком, т. е. Тср = tом = tбл = 0, Тобл= Т, где Т — период контроля человеком объекта защиты. Вероятность обнаружения и блокировки действий нарушителя будет определяться формулой (16.9).

Для более полного представления прочности преграды в виде автоматизированной системы обнаружения и блокировки НСД необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.

отк (t ) t, (16.14) Вероятность отказа системы определяется по известной формуле где — интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки НСД;

t — рассматриваемый интервал времени функционирования системы обнаружения и блокировки НСД.

С учетом возможного отказа системы контроля прочность преграды будет определяться по формуле Pсзик= Робл( 1 – Ротк) V( 1 – Робх1) V( 1 – Робх2)V… V( 1 – Робхk) (16.15) где Робл и Ротк определяются соответственно по формулам (16.12) и (16.14);

Робх и количество путей обхода k определяются экспертным путем на основе анализа принципов построения системы контроля и блокировки НСД.

Одним из возможных путей обхода системы обнаружения и блокировки может быть возможность скрытного отключения нарушителем системы обнаружения и блокировки (например, путем обрыва или замыкания контрольных цепей, подключения имитатора контрольного сигнала, изменения программы сбора сигналов и т. д). Вероятность такого рода событий определяется в пределах от 0 до 1 методом экспертных оценок на основе анализа принципов построения и работы системы. При отсутствии возможности несанкционированного отключения системы величина его вероятности равна нулю.

На основании изложенного подводим некоторые итоги и делаем вывод о том, что защитные преграды бывают двух видов: контролируемые и не контролируемые человеком.

Прочность неконтролируемой преграды рассчитывается по формуле (16.4), а контролируемой — по формуле (16.15). Анализ данных формул позволяет сформулировать первое правило защиты любого предмета:

Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытного обхода этой преграды.

МОДЕЛЬ МНОГОЗВЕННОЙ ЗАЩИТЫ На практике в большинстве случаев защитный контур состоит из нескольких "соединенных" между собой преград с различной прочностью. Модель такой защиты из нескольких звеньев представлена на рис. 16.4.

Примером такого вида защиты может служить помещение, в котором хранится аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна и замок на двери.

Рис. 16.4. Модель многозвенной защиты:

1—преграда 1;

2—преграда 2;

3—предмет защиты;

4—прочность преграды;

5—преграда Для вычислительной системы, модель которой представлена на рис. 16.1, "соединение" преград (замыкание контура защиты) имеет тот же смысл, но иную реализацию. Например, система контроля вскрытия аппаратуры и система опознания и разграничения доступа, контролирующие доступ к периметру вычислительной системы, на первый взгляд, образуют замкнутый защитный контур, но доступ к средствам отображения и документирования побочному электромагнитному излучению и наводкам (ПЭМИН), носителям информации и другим возможным каналам НСД к информации не перекрывают и, следовательно, таковыми не являются. Таким образом, в контур защиты в качестве его звеньев войдут еще система контроля доступа в помещения, средства защиты от ПЭМИН, шифрование и т. д. Это не означает, что система контроля доступа в помещение не может быть замкнутым защитным контуром для другого предмета защиты (например, для того же КСА). Все дело в точке отсчета, в данном случае в предмете защиты, т. е. контур защиты не будет замкнутым до тех пор, пока существует какая-либо возможность несанкционированного доступа к одному и тому же предмету защиты.

Формальное описание для прочности многозвенной защиты практически совпадает с выражениями (16.2) и (16.15), так как наличие нескольких путей обхода одной преграды, не удовлетворяющих заданным требованиям, потребует их перекрытия соответствующими преградами. Тогда выражение для прочности многозвенной защиты при использовании неконтролируемых преград может быть представлено в виде:

Pсзи= Pсзи1 V Pсзи2 V… Pсзиj V( 1 – Робх1) V( 1 – Робх2)V… V( 1 – Робхk) (16.16) где Pсзиi прочность i-й преграды, j- количество преград, k-количество путей обхода преград.

Выражение для прочности многозвенной защиты с контролируемыми преградами будет и следующем виде:

Pсзи= Pсзиk1 V Pсзиk2 V… Pсзиkj V( 1 – Робх1) V( 1 – Робх2)V… V( 1 – Робхk) (16.17) где Pсзиki прочность i-й преграды, j- количество преград, k-количество путей обхода преград.

Здесь следует подчеркнуть, что расчеты итоговых прочностей защиты для неконтролируемых и контролируемых преград должны быть раздельными, поскольку исходные данные для них различны, и, следовательно, это разные задачи, дна разных контура защиты.

Если прочность слабейшего звена удовлетворяет предъявленным требованиям контура защиты в целом, возникает вопрос об избыточности прочности на остальных звеньях данного контура. Отсюда следует, что экономически целесообразно применять в многозвенном контуре защиты равнопрочные преграды.

При расчете прочности контура защиты со многими звеньями может случиться, что звено с наименьшей прочностью не удовлетворяет предъявленным требованиям. Тогда преграду в этом звене заменяют на более прочную или данная преграда дублируется еще одной преградой, а иногда двумя и более преградами. Но все дополнительные преграды должны перекрывать то же количество или более возможных каналов НСД, что и первая.

Тогда суммарная прочность [12] дублированных преград будет определяться по формуле m 1 (1 i ), (16.18) i где i 1, m порядковый номер преграды;

m количество дублирующих преград;

i прочность i преграды.

Иногда участок защитного контура с параллельными (сдублированными) преградами называют многоуровневой защитой. В вычислительной системе защитные преграды часто перекрывают друг друга и по причине, указанной выше, и когда специфика возможного канала НСД требует применения такого средства защиты (например, системы контроля доступа в помещения, охранной сигнализации и контрольно-пропускного пункта на территории объекта защиты). Это означает, что прочность отдельной преграды Рi попадающей под защиту второй, третьей и т. д. преграды, должна пересчитываться с учетом этих преград по формуле (16.18).

Рис. 16.5. Модель многоуровневой защиты:

/ — 1-й контур защиты;

2 — 2-й контур защиты;

3 — 3-й контур защиты;

4 — предмет защиты Соответственно может измениться и прочность слабейшей преграды, определяющей итоговую прочность защитного контура в целом.

МНОГОУРОВНЕВАЯ ЗАЩИТА В ответственных случаях при повышенных требованиях к защите применяется многоуровневая защита, модель которой представлена на рис. 16.5.

При расчете суммарной прочности нескольких контуров защиты в формулу (16.18) вместо Рi включается Рki - прочность каждого контура, значение которой определяется по одной из формул (16.16) и (16.17), т. е. для контролируемых и неконтролируемых преград опять расчеты должны быть раздельными и производиться для разных контуров, образующих каждый отдельную многоуровневую защиту. При Рki = 0 данный контур в расчет не принимается. При Рki = 1 остальные контуры защиты являются избыточными.

Подчеркнем также, что данная модель справедлива лишь для контуров защиты, перекрывающих одни и те же каналы несанкционированного доступа к одному и тому же предмету защиты.

16.4. АНАЛИЗ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ КАК ОБЪЕКТА ЗАЩИТЫ ИНФОРМАЦИИ Анализ существующих в настоящее время систем обработки данных по классификации [7], а также АСУ показывает, что с позиций защиты информации объектом исследования может быть выбрана вычислительная система как самостоятельный объект и как элемент территориально - рассредоточенной вычислительной сети или большой АСУ.

Не останавливаясь на конкретных реализациях вычислительных систем с централизованной обработкой данных, имеющих различные принципиальные для обработки информации решения, построим ее обобщенную модель, представленную на рис. 16.6, на котором информация, циркулирующая в вычислительной системе, показана как нечто целое, подлежащее защите. Так как физически информация размещается на аппаратных и программных средствах, последние представлены таким же образом с внешней стороны по отношению к информации.

Предмет защиты — информация, циркулирующая и хранимая в АСОД в виде данных, команд, сообщений и т. д., имеющих какую-либо цену для их владельца и потенциального нарушителя. При этом за НСД принимаем событие, выражающееся в попытке нарушителя совершить несанкционированные действия по отношению к любой ее части.

С позиций входа в систему и выхода из нее отметим наиболее характерные для большинства систем, готовых к работе, штатные средства ввода, вывода и хранения информации. К ним относятся следующие средства:

• терминалы пользователей;

• средства отображения и документирования информации;

• средства загрузки программного обеспечения в систему;

• носители информации: ОЗУ, ДЗУ, распечатки и т. д.;

• внешние каналы связи.

Все перечисленные средства назовем штатными каналами, по которым имеют санкционированный доступ к информации, подлежащей защите, законные пользователи.

Готовность системы к работе означает, что система функционирует нормально, технологические входы и органы управления в работе не используются.

Известно, что все многообразие потенциальных угроз информации можно разделить на преднамеренные и случайные. Природа и точки их приложения различны.

Причины случайных воздействий также известны [8, 10].

Точки приложения случайных воздействий распределены по всей "площади" вычислительной системы. Место и время возникновения данных событий подчиняются законам случайных чисел. Опасность случайных воздействий заключается в случайном искажении или формировании неверных команд, сообщений, адресов и т. д., приводящих к утрате, модификации и утечке информации, подлежащей защите.

Известны и средства предупреждения, обнаружения и блокировки случайных воздействий. Это средства повышения достоверности обрабатываемой и передаваемой информации. При этом в качестве средств предупреждения, сокращающих вероятное число случайных воздействий, используются схемные, схемотехнические, алгоритмические и другие мероприятия, закладываемые в проект вычислительной системы. Они направлены на устранение причин возникновения случайных воздействий, т. е. уменьшение вероятности их появления. Поскольку после указанных мероприятий вероятность их появления все же остается значительной, для обнаружения и блокировки случайных воздействий при Рис. 16.6. Модель вычислительной системы с безопасной обработкой информации:

АППАРАТУРА ПРОГРАММЫ ИНФОРМАЦИЯ эксплуатации применяются встроенные в систему средства функционального контроля, качественными показателями которого являются [9]:

• время обнаружения и локализации отказа;

• достоверность контроля функционирования;

• полнота контроля (охват вычислительной системы);

• время задержки в обнаружении отказа. Точки приложения преднамеренных воздействий связаны прежде всего со входами в систему и выходами информации из нее, т.

е. с "периметром" системы. Эти входы и выходы могут быть законными и незаконными, т. е.

возможными каналами несанкционированного доступа к информации в вычислительной системе могут быть:

все перечисленные выше штатные средства при их незаконном использовании;

технологические пульты и органы управления;

внутренний монтаж аппаратуры;

линии связи между аппаратными средствами вычислительной системы;

побочное электромагнитное излучение информации;

побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры вычисли тельной системы;

внешние каналы связи.

Опасность преднамеренных несанкционированных действий заключается во вводе нарушителем незаконных команд, запросов, сообщений, программ и т. д., приводящих к утрате, модификации информации и несанкционированному ознакомлению с нею, а также перехвате нарушителем секретной информации путем приема и наблюдения сигналов побочного электромагнитного излучения и наводок.

16.5. КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ДЛЯ ПОСТРОЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД В ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЕ Анализ модели вычислительной системы, представленной на рис. 16.6, и моделей защиты, приведенных в разд. 16.3, позволяет вычислительную систему рассматривать как объект, в котором имеется некоторое множество возможных каналов несанкционированного доступа (ВКНСД) к предмету защиты информации.

Для построения защиты информации в данной системе на каждом ВКНСД, а если возможно сразу на нескольких необходимо установить соответствующую преграду. Чем большее количество возможных каналов НСД перекрыто средствами зашиты и выше вероятность их непреодоления потенциальным нарушителем, тем выше уровень безопасности информации, обрабатываемой в данной системе. Очевидно, что в реальной вычислительной системе структура защиты будет носить многозвенный и многоуровневый характер. Количество перекрываемых ВКНСД при этом будет зависеть от заданной квалификации нарушителя. Согласно предложенной в разд. 16.3 классификации можно установить следующее распределение ВКНСД по классам.

1-й класс — все ВКНСД, возможные в данной вычислительной системе на текущий момент времени.

2-й класс — все ВКНСД, кроме ПЭМИН и машинных носителей с остатками информации, подлежащие защите специальными криптографическими методами.

3-й класс — только следующие ВКНСД:

• терминалы пользователей;

• аппаратура регистрации, документирования и отображения информации;

• машинные и бумажные носители информации;

• средства загрузки программного обеспечения;

• технологические пульты и органы управления;

• внутренний монтаж аппаратуры;

• линии связи между аппаратными средствами. 4-й класс — только следующие ВКНСД:

• терминалы пользователей;

• машинные и бумажные документы;

• средства загрузки программного обеспечения.

Анализ возможных каналов НСД к информации показывает, что данные каналы необходимо разделить на два вида: контролируемые и неконтролируемые.

К контролируемым ВКНСД вычислительной системы можно отнести:

• терминалы пользователей;

• средства отображения и документирования информации;

• средства загрузки программного обеспечения;

• технологические пульты и органы управления;

• внутренний монтаж аппаратуры;

• побочное электромагнитное излучение;

• побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры вычислительной системы.

При этом побочное излучение и наводки информации, строго говоря, относятся к этому виду каналов НСД в том случае, если уровень "опасного" сигнала, несущего информацию, не выходит за пределы контролируемой зоны объекта размещения вычислительной системы и уровень этого сигнала периодически измеряется в пределах и за пределами этой зоны.

В соответствии с моделью защиты (см. рис. 16.4) средства защиты, перекрывающие эти каналы, образуют виртуальный контролируемый защитный контур.

К неконтролируемым каналам НСД к информации вычислительной системы следует отнести:

• машинные носители программного обеспечения и информации, выносимые за пределы вычислительной системы;

• долговременные запоминающие устройства с остатками информации, выносимыми за пределы вычислительной системы;

• внешние каналы связи;

• мусорная корзина.

Средства защиты, перекрывающие перечисленные каналы, образуют виртуальный неконтролируемый защитный контур.

Кроме того, учитывая множество пользователей, допущенных к терминалам и информации внутри вычислительной системы, потребуется создание встроенной системы контроля и разграничение доступа. Разграничение доступа пользователей к информации вычислительной системы должно производиться в соответствии с выполняемыми ими функциональными обязанностями и полномочиями, которые можно изменять во время эксплуатации системы.

Для того чтобы обеспечить замыкание контура защиты из нескольких различных по исполнению преград, недостаточно только перекрытия в вычислительной системе всех возможных каналов НСД. Необходимо еще обеспечить их взаимодействие между собой, т.е.

объединить их в единый постоянно действующий механизм. Эту задачу должны выполнять централизованные средства управления.

На контролируемых ВКНСД все цепи и тракты контроля аппаратно, программно и организационно должны сходиться на одном рабочем месте службы безопасности информации или администратора вычислительной системы. Последний вариант предпочтителен для менее ответственных систем при защите информации от нарушителя 3 го и 4-го классов. На неконтролируемых ВКНСД централизованное управление должно обеспечиваться аналогичным образом с тех же рабочих мест, но отдельной функциональной задачей.


Приведенные в разд. 16.3 модели защиты, построенные на основе принятой модели ожидаемого поведения потенциального нарушителя и пригодные в принципе для применения и в других системах, помимо вычислительных, для защиты другого предмета, дают формальное представление о механизме защиты и методах получения ее расчетных характеристик в качественном и количественном выражении с гарантированными результатами.

Изложенное позволяет предложить в основу проектирования и разработки системы безопасности информации в вычислительной системе следующий порядок:

1) анализ заданных требований к АСОД на предмет определения перечня, структуры и динамики стоимости обрабатываемых данных, подлежащих защите;

2) выбор модели потенциального нарушителя;

3) выявление в данной АСОД максимально возможного количества каналов несанкционированного доступа к информации согласно выбранной модели потенциального нарушителя;

4) анализ выявленных ВКНСД и выбор готовых или разработка новых средств защиты, способных их перекрыть с заданной прочностью;

5) качественная и количественная оценка прочности каждого из применяемых средств защиты;

6) проверка возможности адаптации средств защиты в разрабатываемую АСОД;

7) создание в разрабатываемой АСОД средств централизованного контроля и управления;

8) количественная и качественная оценка прочности системы защиты информации в НСД с отдельными показателями по контролируемым и неконтролируемым ВКНСД.

При этом расчет прочности средств защиты производится по формулам (16.4) и (16.15), а расчет прочности системы защиты информации в вычислительной системе с централизованной обработкой данных — по формулам (16.16), (16.17), (16.18).

Анализ предложенного подхода к принципам построения защиты говорит о ряде принципиальных свойств предмета защиты, потенциальных угроз и защитных преград, которые в отличие от принятых ранее концепций целесообразно учитывать при создании эффективной защиты. Это следующие свойства:

• информация — объект права собственности, подлежащий защите от НСД;

• время жизни защищаемой информации;

• разные источники, место и время приложения случайных и преднамеренных НСД;

• наличие достаточно простой модели потенциального нарушителя;

• степень охвата вычислительной системы функциональным контролем и средствами повышения достоверности информации, определяющая вероятность появления случайных НСД;

• возможные каналы НСД к информации;

• степень замыкания преграды вокруг предмета защиты, определяющая вероятность ее обхода нарушителем;

• деление возможных каналов НСД на контролируемые и неконтролируемые;

• зависимость прочности преграды, не обладающей способностью контроля НСД, от соотношения времени жизни информации и ожидаемого времени преодоления преграды нарушителем;

• зависимость прочности преграды, обладающей способностью контроля НСД, от способности преграды к своевременному обнаружению и блокировке попыток НСД;

• зависимость уровня прочности защиты информации в АСОД в целом от уровня прочности слабейшего звена;

• возможность создания системы защиты информации в виде единого целого и реально действующего механизма.

Основные тактика и стратегия защиты информации от НСД в вычислительной системе заключаются в выполнении следующих задач:

• предупреждении и контроле попыток НСД;

• своевременном обнаружении, определении места и блокировки несанкционирован ных действий;

• регистрации и документировании события;

• установлении и устранении причины НСД;

• ведении статистики и прогнозировании НСД. Предупреждение и контроль НСД заключаются в следующем:

1. Для защиты от случайного НСД применение средств функционального контроля технических средств АСОД и средств повышения достоверности информации.

2. Для защиты от преднамеренных НСД создание в АСОД замкнутого контура защиты, состоящего из системы преград, перекрывающих максимально возможное количество каналов НСД и обладающих такой прочностью, затраты времени на преодоление которой больше времени жизни защищаемой информации или больше времени обнаружения и блокировки НСД к ней.

Задачей защиты является создание в АСОД единой системы взаимосвязанных преград, обеспечивающих надежное перекрытие возможных каналов несанкционированного доступа от воздействий, направленных на утрату, модификацию и утечку информации, т. е.

на безопасность информации. Наступление одного из этих событий, не предусмотренных штатным режимом работы АСОД, рассматривается как факт совершения НСД.

Утрата заключается в стирании, искажении, уничтожении или хищении информации, находящейся в процессе обработки или хранения в АСОД Опасность ее заключается в безвозвратной потере ценной информации.

Модификация заключается в изменении информации на ложную, которая корректна по форме и содержанию, но имеет другой смысл. Навязывание ложной информации при отсутствии законной и недоведение законной информации до получателя можно также считать ее модификацией. Примером модификации может служить изменение даты документа, количества сырья и материалов, денежной суммы и т. д. Опасность модификации заключается в возможности организации утечки секретной или (и) передачи ложной информации в дальнейшую обработку и использование.

Утечка информации заключается в несанкционированном ознакомлении постороннего лица с секретной информацией. Опасность утечки информации состоит в разглашении частной, коммерческой, служебной, военной или государственной тайны со всеми вытекающими отсюда последствиями.

Из изложенного также следует, что в обеспечение безопасности входит не только защита секретной, но и части несекретной информации. Примером такого рода информации и необходимости ее защиты от НСД является информация ЛВС в Агентстве по охране окружающей среды, упоминаемой в |60].

На основании изложенного можно дать следующее определение автоматизированной системы с безопасной обработкой данных.

Автоматизированная система обработки данных обеспечивает их безопасность, если в ней предусмотрена централизованная система управляемых и взаимосвязанных преград, перекрывающих с гарантированной прочностью заданное в соответствии с моделью потенциального нарушителя количество возможных каналов несанкционированного доступа и воздействий, направленных на утрату или модификацию информации, а также несанкционированное ознакомление с нею посторонних лиц.

Предложенный подход отвечает смыслу защиты и позволяет построить на пути нарушителя строгую систему равнопрочных и взаимосвязанных преград с возможностью обоснованного определения количественных и качественных параметров на основе уже имеющихся проработанных отдельных средств защиты. Предложенная модель объекта защиты информации рассматривается как базовая модель защищенного элемента вычислительной сети или АСУ, что открывает также возможность для решения задачи построения более эффективной системы защиты информации и на их уровне.

16.6. КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ДЛЯ ПРОЕКТИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД В ВЫЧИСЛИТЕЛЬНОЙ СЕТИ И АСУ Предлагаемые до сих пор обобщенные модели вычислительных сетей как объектов защиты информации, с одной стороны, — слишком глубоко отражали ее структуру, а с другой — не полностью учитывали системные связи и отношения между ее элементами, так как за основу модели брался неполный фрагмент архитектуры сети, например в (70]. Акцент опять делался на защите ресурсов сети (узлов обработки информации), а не на самой информации, а также на ее децентрализованной обработке. По-видимому, по этой же причине в опубликованных в последнее время работах почти забыты АСУ, которые еще живут, будут жить и развиваться.

г) отправитель должен быть уверен в истинности доставленных получателю данных.

При этом предполагается, что выполнение этих условии включает защиту от следующих активных вторжений нарушителя:

• воздействий на поток сообщений: изменения, удаления, задержки, переупорядочения, дублирования регулярных и посылки ложных сообщений;

• воспрепятствования передаче сообщений;

• осуществления ложных соединений.

Однако они не включают защиту от пассивных вторжений:

• чтения содержания сообщения;

• анализа графика и идентификаторов абонентов сети |70|. Кроме того, необходимо отразить важные моменты: получатель не должен принимать все сообщения подряд, хотя бы они были подлинными и от истинных источников, а отправитель сообщения должен быть уверен, что получатель правильно отреагирует на него. Другими словами, и отправитель, и получатель должны в данной сети (АСУ) иметь полномочия на обмен друг с другом. Это необходимо не для ограничения их свободы, а для обеспечения доверия друг к другу и доверия их к автоматизированной системе, что является святой обязанностью любой вычислительной сети и АСУ с точки зрения юридического права независимо от того, "дружат" они или "не дружат" между собой. Если пользователь обращается в удаленную базу данных, юридическую ответственность, с одной стороны, несет пользователь, с другой — владелец данной АСОД.

Таким образом, для полноты постановки задачи к указанным четырем условиям необходимо дополнение еще четырех:

д) отправитель и получатель должны быть уверены в том, что с доставленной информацией в сообщении никто, кроме них, не ознакомился;

е) отправитель и получатель должны быть уверены, что никому, кроме них и специального посредника, факт передачи сообщения между ними не известен;

ж) получатель должен быть уверен, что отправитель — это то лицо, за которое себя выдает;

з) отправитель должен быть уверен, что получатель — то лицо, которое ему необходимо для передачи сообщения.

Данные требования (а — з) рассчитаны на защиту от квалифицированного нарушителя-профессионала по квалификации, приведенной в разд. 16.3.

Для определения основных принципов решения этой задачи рассмотрим упомянутую выше унифицированную кодограмму, которая является носителем этой информации и, следовательно, предметом защиты.


Исходим из того, что нарушителю доступна вся кодограмма, включая служебные признаки, а также из того, что единственным методом защиты по этой причине может быть выбран метод криптографических преобразований.

Один из методов должен быть таким, чтобы в кодограмме сохранились некоторые адреса и служебные признаки в открытом виде, поскольку всю кодограмму преобразовывать нецелесообразно по причине невозможности ее дальнейшей обработки. Таким методом может быть использование механизма формирования цифровой (электронной) подписи на базе несимметричных алгоритмов шифрования. Кроме того, отдельные части кодограммы формируются на разных этапах ее обработки разными устройствами и узлами сети;

часть этой информации принадлежит ей, а другая часть — ее абонентам. Это определяет, кому принадлежат и кто меняет ключи шифрования той или иной части кодограммы: АСУ или СПД.

Шифрование частей кодограммы удобно производить одновременно с формированием соответствующих признаков обработки сообщения и его самого при реализации протоколов семиуровневой модели взаимодействия открытых систем.JSO/OSI.

Для того чтобы обеспечивать возможность контроля и разграничения доступа, необходимо для всех участников обмена информацией, помимо условных номеров, присвоить переменные идентификаторы в виде паролей, которые могут передаваться в открытом виде и подлинность которых будет обеспечиваться механизмом цифровой подписи. Тем абонентам, которым присвоены соответствующие полномочия, должны быть предоставлены соответствующие значения паролей и закрытых ключей шифрования.

Таким образом, расчет безопасности информации в каналах связи можно производить на основе группы показателей механизмов шифрования, примененного для каждой составляющей кодограммы. Стойкость, или прочность, защитного механизма определяется стойкостью к подбору примененного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если оно составляет величину, превышающую время жизни защищаемой информации, то прочность или вероятность этой преграды равна 1.

При этом обратим внимание на существенную разницу во времени жизни самого сообщения и его служебных частей. Само сообщение в зависимости от назначения АСОД может сохранять цену десятки лет, а его служебные части — не более десятка минут (время доведения сообщения до адресата). Это позволяет существенно увеличить быстродействие шифрования и, может быть, даже упростить его для служебных частей. Такой большой набор процедур может вызвать сомнение у разработчиков по поводу реальности воплощения этой идеи из-за возможного увеличения времени обработки кодограммы. Однако даже если это и случится, повышение безопасности информации стоит того.

При реализации системы контроля и разграничения доступа в АСУ (СПД) потребуется также организовать систему сбора с КСА сигналов несовпадения кодов паролей, систему управления и распределения ключей шифрования информации и организационные мероприятия по безопасности информации.

Изложенное позволяет предложить следующую группу средств для обеспечения безопасности информации, обрабатываемой в каналах связи, ориентированных соответственно на выполнение приведенных выше восьми условий: • а) средства формирования цифровой подписи сообщений;

б) средства шифрования передаваемых данных;

в) средства обеспечения цифровой подписи служебных признаков передаваемой информации, включая адреса и маршруты сообщения, а также получение отправителем и посредником квитанции от получателя;

г) все перечисленные в п. а, б и в средства;

д) средства п. б;

е) введение в СПД маскирующих потоков сообщений при отсутствии активности в обмене информацией;

ж) присвоение всем участникам обмена сообщениями переменных идентификаторов и создание в АСУ и СПД системы контроля и разграничения доступа с защитой цифровой подписью паролей от подмены их нарушителем;

з) средства те же, что и в п. ж.

Показатель прочности перечисленных средств защиты и будет в конечном итоге определять безопасность информации в каналах связи. Учитывая высокую стоимость каналов связи и опасность внедрения нарушителя-профессионала, расчет прочности указанных средств (поскольку это сейчас технически возможно) предлагается производить только из обеспечения условия, когда ожидаемое время, затрачиваемое нарушителем, должно быть больше времени жизни защищаемой информации. Это целесообразно выполнять всегда независимо от заданного класса потенциального нарушителя.

В некоторых сетях и АСУ не потребуется защита графика и защита от утечки информации. Поэтому автором предлагается ввести для каналов связи следующую классификацию требований по классам потенциального нарушителя:

1-й класс — все требования;

2-й класс — все, кроме требования е;

3-й класс — все, кроме требований б, г, д и е.

Расчет уровня безопасности информации в СПД в целом предлагается производить по следующим показателям:

Gкса спд— группа показателей прочности защиты информации в КСА СПД;

за основу берется КСА с наименьшими значениями показателей;

Gкс — группа показателей прочности защиты информации в каналах связи СПД (кроме абонентского шифрования).

Расчет уровня безопасности информации в АСУ в целом можно производить по следующим показателям:

Gкса асу— группа показателей прочности защиты информации в КСА АСУ;

за основу берется КСА с наименьшими значениями показателей;

Gспд — группа показателей, приведенная выше для СПД;

— Gкс асу группа показателей прочности защиты информации в прямых каналах связи, если таковые имеются между КСА АСУ;

Pтд -прочность защиты информации при абонентском шифровании в трактах передачи данных.

На основании изложенного можно дать следующее определение безопасной вычислительной сети и АСУ.

Вычислительную сеть или АСУ можно считать безопасной в смысле обработки информации, если в ней предусмотрена централизованная система управляемых и взаимосвязанных преград, перекрывающих с гарантированной прочностью заданное в соответствии с моделью потенциального нарушителя количество возможных каналов НСД и угроз, направленных на утрату или модификацию информации, а также несанкционированное ознакомление с нею посторонних лиц.

Глава 17.ОСНОВНЫЕ ПРИНЦИПЫ ПРОЕКТИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ ДАННЫХ В процессе подготовки к началу работ по проектированию АСОД при согласовании технического задания в принципе уже известны предварительное распределение, места сосредоточения, характер, степень важности и секретности информации, подлежащей обработке. Таким образом определяется необходимость в разработке системы защиты информации и соответствующих требований к ней, которые обязательно должны быть приведены в техническом задании на систему. Отсюда следует основное требование к порядку проведения проектирования, заключающееся в необходимости параллельного проектирования системы защиты информации с проектированием системы управления и обработки данных, начиная с момента выработки общего замысла построения АСОД.

Созданию системы защиты информации, встроенной в автоматизированную систему, свойственны все этапы: разработка технических предложений, эскизного и технического проектов, выпуск рабочей документации, изготовление, испытания и сдача системы заказчику.

Невыполнение этого принципа, "наложение" или "встраивание" средств защиты в уже готовую систему, может привести к низкой эффективности защиты, невозможности создания цельной системы защиты, снижению производительности и быстродействия вычислительных средств, а также к большим затратам, чем если бы система защиты разрабатывалась и реализовывалась параллельно с основными задачами.

При параллельном проектировании разработчиками системы защиты информации (СЗИ) производится анализ циркуляции и мест сосредоточения информации в проекте АСОД, определяются наиболее уязвимые для НСД точки и своевременно предлагаются взаимоприемлемые технические решения по сокращению их количества путем изменения принципиальной схемы АСОД, что позволит обеспечить простоту, надежность и экономичную реализацию защиты с достаточной эффективностью. Кроме того, параллельное проектирование необходимо в силу встроенного характера большей части технических средств защиты. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением процессов автоматизированной обработки информации, что важно для определения степени влияния СЗИ на основные вероятностно-временные характеристики АСОД, которые, как правило, изменяются в сторону ухудшения. Но это — плата за приобретение нового и необходимого качества, которая иногда является причиной пренебрежительного отношения некоторых разработчиков и заказчиков АСОД к защите. Однако за такую недальновидность им приходится расплачиваться потом несоизмеримо более дорогой ценой. Не выполнив эту задачу, они лишили владельца АСОД гарантий на собственность его информации, циркулирующей в ней.

При разработке технического задания и дальнейшем проектировании АСОД следует помнить, что создание системы защиты информации — задача не второстепенная, ибо невыполнение ее может быть причиной недостижения цели, поставленной АСОД, потери доверия к ней, а в некоторых случаях утечки и модификации информации — причиной более тяжелых последствий.

Техническое задание на проектируемую АСОД должно содержать перечень сведений и характеристик, подлежащих защите, возможные пути циркуляции и места их сосредоточения, а также специальные требования к системе защиты информации. Если это АСУ или вычислительная сеть, то должна соблюдаться иерархия требований к СЗИ. Они должны входить:

• в общее техническое задание на АСУ или сеть в целом;

• в частные технические задания на функциональные подсистемы управления, на отдельные автоматизированные звенья, объекты, комплексы, технические средства;

• в технические задания на сопряжение внешних систем;

• в технические задания на общее программное обеспечение отдельных ЭВМ и вычислительных комплексов, на специальное программное обеспечение объектов — элементов вычислительной сети и АСУ. ' Требования общего технического задания на вычислительную сеть и АСУ являются руководящими для частных технических заданий подсистем, звеньев, объектов и т. д.

При этом в АСУ требования на подсистемы одного уровня иерархии, идеологически связанные с одним вышестоящим объектом, должны быть унифицированы между собой и не вступать в противоречие.

Решение вопросов создания СЗИ должно поручаться лицам одного уровня с лицами, занимающимися вопросами функционирования АСУ. Разработка СЗИ требует привлечения специалистов широкого профиля, знающих, кроме системных вопросов, вопросов программного обеспечения, разработки комплексов и отдельных технических средств, специальные вопросы защиты информации.

При проектировании защиты следует внимательно провести исследование разрабатываемой АСОД на предмет выявления всех возможных каналов несанкционированного доступа к информации, подлежащей защите, средствам ее ввода вывода, хранения, обработки и только после этого строить защиту. Первое знакомство с разрабатываемой АСОД должно закончиться рекомендациями по сокращению обнаруженных каналов доступа путем ее принципиальных изменений без ущерба выполнению основных задач.

Анализ важнейших задач организации и формирования функций, удовлетворяющих целям управления, носит обычно итеративный характер, обеспечивающий последовательное уточнение задач и функций, согласование их на всех уровнях и ступенях АСУ и сведение в единую функциональную схему. Это означает, что проведенные на некотором этапе проектирования технические решения, накладываемые системой защиты на основные задачи АСУ, должны проверяться по степени их влияния на решения основных процессов управления и наоборот: после принятия решения по изменению основных процессов управления и составу технических средств должно проверяться их соответствие решениям по защите информации, которые при необходимости должны корректироваться или сохраняться, если корректировка снижает прочность защиты.

Важную роль играет простота системы защиты. Она должна быть простои настолько, насколько позволяют требования по ее эффективности. Простота защиты повышает се надежность, экономичность, уменьшает ее влияние на вероятностно-временные характеристики АСУ, создает удобства в обращении с нею. При неудобных средствах защиты пользователь будет стараться найти пути ее обхода, отключить ее механизм, что сделает защиту бессмысленной и ненужной.

При проектировании защиты, как и в обычных разработках, вполне разумно применение унифицированных или стандартных средств защиты. Однако желательно, чтобы указанное средство при применении в проектируемой АСОД приобрело индивидуальные свойства защиты, которые бы потенциальному нарушителю не были известны.

Данные по защите информации в проектируемой АСОД должны содержаться в отдельных документах и засекречиваться. Нельзя согласиться с рекомендуемым зарубежными специалистами [11] принципом несекретности проектирования защиты.

Ознакомление опытных и квалифицированных специалистов с уязвимыми точками проекта на предмет его доработки можно осуществить путем организации контролируемого допуска их к секретному проекту. В этом случае по крайней мере будут известны лица, ознакомленные с проектом. Таким образом сокращается число лиц — потенциальных нарушителей, а лица, ознакомленные с проектом, несут ответственность перед законом, что, как известно, является сдерживающим фактором для потенциального нарушителя.

В процессе проектирования и испытаний рекомендуется по возможности использовать исходные данные, отличающиеся от действительных, но позволяющие при последующей загрузке системы действительными данными не проводить доработки.

Загрузка действительных данных должна производиться только после проверки функционирования системы защиты информации в данной АСОД.

Учитывая то, что система защиты в АСОД предусматривает, кроме аппаратно программных средств, применение в качестве преграды и организационных мероприятий, выполняемых человеком — наиболее слабым звеном защиты, необходимо стремиться к максимальной автоматизации его функций и сокращению доли его участия в защите.

Для того чтобы спроектированная система защиты обрела жизнь, необходимо также, чтобы технические средства защиты по возможности не ухудшали вероятностно-временные характеристики АСОД: быстродействие, производительность и другие. При проектировании необходимо найти разумное соотношение в удовлетворении тех и других требований.

Раздел IV.ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЛЕКСАХ СРЕДСТВ АВТОМАТИЗАЦИИ ЕЕ ОБРАБОТКИ Глава 18. ИСХОДНЫЕ ПРЕДПОСЫЛКИ Для построения системы защиты информации в комплексе средств автоматизации вычислительной системы по классификации [7| необходимы следующие исходные данные:

• назначение и выполняемые функции;

• состав и назначение аппаратных и программных средств;

• структурная или функциональная схема;

• структура и состав информационной базы;

• перечень и время сохранения секретности сведений, подлежащих защите;

• модель ожидаемого поведения потенциальною нарушителя;

• состав, количество и виды внутренних и выходных документов;

• описание функциональных задач прикладного программного обеспечения;

• состав и выполняемые функции должностных лиц — пользователей и обслуживающего персонала;

• режим работы (закрытый или открытый, круглосуточный или с перерывами, оперативный или пакетный);

• способы и средства загрузки программного обеспечения;

• базовые вычислительные средства и их характеристики;

• интенсивность отказов входящих технических средств;

• показатели качества функционального контроля;

• план и условия размещения технических средств на объекте эксплуатации.

Перечисленные данные являются параметрами конкретного объекта защиты. Его назначение и выполняемые функции дают первое представление о необходимом уровне защиты информации (например, для военных целей — один уровень, для гражданских — другой и т. д.). Уточняет эту задачу режим работы КСА, а также перечень сведений, подлежащих защите. Состав и назначение аппаратных средств, структурная и функциональная схема, способ загрузки программного обеспечения, план размещения технических средств и другие параметры дают представление о возможных каналах несанкционированного доступа к информации, подлежащей защите. Перечень ВКНСД представлен выше (разд. 16.2). Однако он не является исчерпывающим, или, наоборот, некоторые ВКНСД на конкретном КСА могут отсутствовать. Это зависит также от заданной модели поведения нарушителя. Перечень сведений, подлежащих защите, состав, количество и виды документов, содержащих эти сведения, дают представление о предмете защиты.

Состав и выполняемые функции должностных лиц — пользователей и обслуживающего персонала, структура и состав информационной базы, операционная система программного обеспечения базовых вычислительных средств позволяют построить систему опознания и разграничения доступа к информации, подлежащей защите от преднамеренного НСД.

Интенсивность отказов входящих в комплекс технических средств и показатели качества функционального контроля необходимы для оценки эффективности защиты от случайных НСД. План размещения и состав технических средств, а также данные о наличии соответствующих датчиков дают представление о возможности и выборе принципов построения системы контроля вскрытия аппаратуры и системы контроля доступа в помещения объекта эксплуатации КСА.

При создании защиты в КСА используем также принятые концептуальные основы для построения системы защиты информации.

В целях наиболее полного представления способов реализации системы и средств защиты информации от преднамеренного НСД в КСА рассмотрим наиболее сложную ситуацию, когда состав КСА содержит по возможности наиболее полную номенклатуру типовых технических средств и количество возможных каналов несанкционированного доступа соответствует модели поведения квалифицированного нарушителя — профессионала.

При описании системы защиты в целях раскрытия смысла подчинения отдельных средств общей задаче используем метод исследования от общего к частному, для чего приведем сначала описание структуры защиты, а затем ее составные части.

Глава 19.СОСТАВ СРЕДСТВ И СТРУКТУРА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КСА На основе принятой концепции средства защиты информации в КСА делятся на средства защиты информации от преднамеренного НСД (СЗИ ПНСД) и от случайного НСД (СЗИ СНСД). Средства управления защитой информации (СУЗИ) от НСД являются объединяющими, дающими возможность с помощью целенаправленных и взаимоувязанных функций в сочетании с наиболее полным охватом ВКНСД объекта отдельными средствами защиты создать законченную и строгую систему защиты в комплексе средств автоматизации (вычислительной системе). Пример структуры такой системы приведен на рис. 19.1.

Согласно принятой концепции СЗИ ПНСД включают 1-й контур защиты — систему контроля доступа на территорию объекта (СКДТО), 2-й контур защиты — систему контроля и разграничения доступа в помещения (СКРПД) и основной контур защиты (ОКЗ). СКДТО, содержащая систему охранной сигнализации (СОС) и контрольно-пропускные пункты (КПП), служит для ограничения доступа лиц на территорию объекта, а также совместно со специальными аппаратными решениями составляет средство защиты от побочных электромагнитных излучении и наводок информации.



Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |   ...   | 11 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.