На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

Безопасность информации в автоматизированных системах. Альтернативный подход

 

В. В. Мельников, к. т. н.,

системный аналитик

в области безопасности информации,

начальник сектора

НИИ АА им. академика В. С. Семенихина

 

I

Актуальность проблемы безопасности информации в автоматизированных системах (АС) ее обработки и передачи (персональных компьютерах, локальных, региональных, глобальных вычислительных сетях и системах управления) сегодня ни у кого не вызывает сомнений. Работы в этом направлении ведутся в мире уже более 30 лет, в том числе по разработке принципов построения и теории защиты, соответствующих стандартов оценки ее прочности специалистами международного класса, Однако потери различного рода от НСД информации продолжают расти. Главной причиной такого положения, по мнению автора данной статьи, является неудачный выбор концептуального подхода к построению защиты.

Обзор технической литературы по данной проблеме говорит о том, что в настоящее время при построении этой защиты сложился подход, основанный на представлении обработки информации в виде абстрактной вычислительной среды, в которой работают множество «субъектов» (пользователей и процессов) с множеством «объектов» (ресурсами и наборами данных). При этом построение защиты заключается в создании защитной среды в виде некоторого множества ограничений и процедур, способных под управлением ядра безопасности запретить несанкционированный и реализовать санкционированный доступ «субъектов» к «объектам» и защиту последних от множества преднамеренных и случайных внешних и внутренних угроз (рис. 1).

Данный подход опирается на теоретические модели безопасности: АДЕПТ-50 Хартсона, Белла–Лападулы, MMS Лендвера и МакЛина, Биба, Кларка–Вилсона и др. [1]. Считается, что данные модели являются инструментарием при разработке определенных политик безопасности, определяющих некоторое множество требований, которые должны быть выполнены в конкретной реализации системы. На практике разработчику чрезвычайно сложно реализовать эти модели, и поэтому они рекомендуются лишь для анализа и оценки уровня «безопасности автоматизированных систем», а руководствоваться при разработке предлагается специально разработанными на основе упомянутых подхода и моделей стандартами [2].

Последним из них является введенный в России новый международный стандарт ИСО\МЭК 1540899 «Критерии оценки безопасности информационных технологий» [Criteria for Information Technology Security Evaluation], разработанный в рамках проекта «Общие критерии». Считается, что в данном стандарте обобщен опыт использования предыдущих стандартов, но базовый подход, приведенный выше, сохранился.

Общие критерии (ОК) представляют собой структурированную, универсальную библиотеку требований безопасности, сформулированных в весьма общем виде. Их специализация и конкретизация осуществляются в двух основных конструкциях, определенных в ОК: профилях защиты (ПЗ) и заданиях по безопасности (ЗБ). Профиль защиты предназначен для сертификации средств защиты информации (по российским стандартам – СВТ) и систем информационных технологий (ИТ) и получения сопоставимых оценок их безопасности. Профили защиты служат также основой для разработки разделов требований безопасности информации (заданий по безопасности) в ТЗ (ТТЗ) на конкретные изделия ИТ [2].

Однако такому подходу и способу присущи принципиальные недостатки, приводящие к низкому уровню безопасности обрабатываемой информации. Суть их заключается в неопределенности постановки задачи и вытекающей из нее сложности ее решения. В разрабатываемой системе сложно определить:

  • предмет защиты (множество «объектов» доступа);

  • виды и количество угроз;

  • «субъекты» доступа (множество процессов);

  • возможные механизмы взаимодействия «субъектов» с «объектами» (в стандартах отсутствует физическая «привязка» функций защиты к видам автоматизированных систем).

Если число штатных «объектов» и «субъектов» (кроме процессов) доступа на конкретной системе можно как-то еще определить, то виды и количество процессов, возможных преднамеренных несанкционированных и случайных воздействий, особенно в региональных, глобальных сетях учету не поддаются (виды и количество их постоянно увеличиваются). Проверить стойкость защиты по каждой ожидаемой угрозе вообще не представляется возможным.

Особенно следует отметить отсутствие объективной возможности оценки степени приближения полученных результатов прочности защиты к истинному значению, так как в стандартах отсутствует механизм создания замкнутой защитной оболочки и расчетных соотношений ее прочности. Отсутствие первого приводит к наличию «дыр» в защите, а отсутствие вторых – к существенному отклонению точности получаемых результатов оценки ожидаемой эффективности защиты.

Создаваемая защитная среда носит сугубо фрагментарный характер, так как невозможно определить ее границы и плотность. На практике защитная среда реализуется в виде определенного нормативными документами набора функций, в котором отсутствуют количественные показатели прочности защиты и используется «лукавый» термин «защищенность». Данные функции определены лишь на основе опыта работы режимных служб. Достаточность набора и уровня исполнения этих функций для обеспечения защиты нигде и никем не доказана. Поэтому совершенствование отдельных средств защиты приводит только ко временному положительному результату. Адекватный системный подход отсутствует.

Анализ пpименяемых в указанных стандартах теpминов и опpеделений (гаpантиpованности, коppектности, адекватности функциональности, мощности; базовой, средней и высокой стойкости оценки) говоpит о весьма пpиближенном хаpактеpе их влияния на конечный pезультат оценки уровня безопасности информации в АС. Основной недостаток перечисленных документов заключается в том, что пpи пpоектиpовании автоматизиpованной системы pазpаботчик не имеет четких исходных данных и методов расчета, pуководствуясь котоpыми он должен стpоить систему. Дpугими словами, пpоцессы пpоектиpования и оценки слабо связаны между собой. Пpи пpоведении такой оценки в сложных системах она может иметь отpицательный pезультат, и потpебуется большая доpаботка автоматизиpованной системы, затpаты на котоpую pазpаботчиком не учтены.

Из-за отсутствия соответствующей теории и расчетных соотношений в «Критериях оценки...» не пpиведены единицы измерения и количественная оценка безопасности информации в автоматизированных системах.

С позиций предлагаемой ниже концепции защиты инфоpмации в АС критерии оценки безопасности информации, используемые в указанных стандартах, не всегда учитывают или не учитывают совсем следующие данные:

  • классификацию АС;

  • классификацию потенциальных угроз, адекватную нарушениям прав собственника предмета защиты;

  • возможные каналы НСД к информации на типовых АС различного вида;

  • деление средств защиты на средства защиты от случайных и преднамеренных НСД, имеющих различные физическую природу, характер воздействия и точки приложения в АС;

  • образование системы взаимосвязанных преград, замыкающихся вокруг предмета защиты и препятствующих обходу преград нарушителем;

  • время жизни информации, обнаружения и блокировки НСД;

  • ожидаемое время преодоления преграды нарушителем.

На основании изложенного можно сделать вывод о том, что в основу проектирования защиты уже закладываются пути ее обхода, и может случиться, что получение сертификата о наличии защиты не всегда будет означать, что она на самом деле есть.

Следствием такого подхода являются противоречия и различное толкование основных терминов и определений, появление которых в некоторых работах и нормативных документах при отсутствии единой, общепринятой и используемой на практике теории безопасности информации в АС можно считать явно преждевременным.

Например, термины «защищенная СВТ», «защищенная АС», «защищенная сеть». В буквальном смысле этих слов обычно понимается создание вокруг СВТ, АС, сети защитной оболочки. Но это, как известно, поставленной задачи не решает и, более того, не всегда возможно, например, в глобальной сети и АСУ. Кроме того, как показала практика, к числу основных задач защиты информации относится также защита от нарушителейпользователей. Они обладают определенными полномочиями и имеют доступ к информации и ресурсам внутри автоматизированной системы. Таким образом, указанные свойства не соответствуют действительности, поэтому целесообразно при определении этого рода понятий сделать акцент на безопасной обработке информации как внутреннем свойстве АС (надежности и устойчивости ее функционирования).

Защищенным СВТ (по ОК – продукт) не может быть в принципе, СВТ не является готовой автоматизированной системой. В этой связи отметим некорректность применения термина «защищенная СУБД», «защищенная ОС» и других подобного рода терминов, применяемых к элементам вычислительной техники, не имеющим самостоятельного применения. Подобные средства, содержащие какой-либо набор средств защиты, до применения их в АС не могут называться защищенными, так как информация, подлежащая защите, в нем появляется лишь после его установки. Таким образом, о завершенности создания защиты можно говорить лишь тогда, когда в данной АС создана и принята заказчиком система безопасности информации, жестко связанная с определенной информационной технологией, с ее индивидуальными разграничением, обработкой и управлением в организации-потребителе. Изложенное говорит о нецелесообразности выпуска стандарта по СВТ и целесообразности проведении сертификации средств защиты только по техническим условиям их разработчика. Их потребительские свойства оценит разработчик АС, выбрав те из них, которые позволят построить защиту информации, отвечающую требованиям технического задания и новых стандартов на АС.

Предмет защиты – информация как категория собственности, право владельца или его доверенного лица. У ресурсов и информации владельцы и ответственные лица, работающие по их поручению, могут быть разными. Таким образом, основными причинами слабости защиты данных в АС можно назвать следующие принципиальные недостатки существующего подхода:

  • неопределенность постановки задачи;

  • абстрактность и неадекватность теории построения защиты;

  • фрагментарность защиты;

  • отсутствие расчетных соотношений и количественных показателей прочности защиты;

  • сложность получения системных решений, адекватных стратегии и тактики защиты.

Учитывая изложенное, предлагается другой концептуальный подход к построению и оценке защиты информации в АС, позволяющий устранить указанные выше недостатки [3]. Он заключается в следующем.

1. Введении определенности в постановку задачи:

  • уточнении предмета защиты как объекта права собственности и ответственности;

  • применении классификации видов АС с целью определения типовых объектов обработки и передачи информации;

  • разделении задач защиты данных от случайных и преднамеренных воздействий.

2.Использовании для защиты от случайного НСД известных средств повышения надежности и функционального контроля АС.

3. Построении защиты данных от преднамеренного НСД в АС на основе перекрытия средствами защиты возможных каналов НСД в целях создания защитной оболочки.

4. Разработке теории и расчетных соотношений для оценки прочности защиты от преднамеренного НСД.

5. Построении системы безопасности информации как единого постоянно действующего механизма защиты данных на всех уровнях ее обработки: технических средств, ЛВС, КСА, подсистем и АСУ (сети) в целом.

Вопрос разработки средств защиты АС от случайных воздействий в достаточной степени решается средствами повышения надежности технических средств и достоверности информации, созданию и оценке которых посвящено много исследований. Поэтому целесообразно решить, прежде всего, вопрос разработки и оценки методов и средств защиты от преднамеренного НСД.

II

В первой части статьи был дан краткий анализ современного подхода к построению и оценки прочности защиты данных в автоматизированных системах, в результате которого определены его принципиальные недостатки и намечены пути их устранения. Во второй – рассмотрим возможную альтернативу изложенному выше и дадим ей оценку.

Вспомним, что решение любой проблемы в науке и в повседневной жизни начинается с поиска уже готовых решений в похожих ситуациях. В нашем случае такое решение известно всем: для защиты какого-либо ценного предмета вокруг него сооружается некая физическая и (или) интеллектуальная замкнутая преграда, преодоление которой в достаточной степени затруднительно потенциальному нарушителю. Этот принцип используется, например, в системах охранной сигнализации вокруг локальной вычислительной сети. Но дальше, в самой вычислительной сети, принцип создания защитной оболочки реализовать не удается по указанным выше причинам.

Однако такая возможность существует, если изменить подход к постановке задачи. Представим себе, что у АС, в которой циркулирует информация, подлежащая защите, уже есть защитная оболочка. В ней имеются такие каналы, через которые возможен несанкционированный доступ к этой информации. Определение и перекрытие этих каналов соответствующими средствами защиты – это и есть наша основная задача. Чтобы внести определенность в нее, необходимо разобраться сначала с объектами обработки информации – АС. Дальнейший путь к решению заключается в представлении множества автоматизированных систем простыми типовыми структурами, разработке общих методов и решений для них, а затем и для более сложных структур.

Быстрое развитие и совершенствование информационных технологий повлияло и на представления специалистов о классификации автоматизированных систем. В настоящее время у них пока еще не сложилось единого мнения по этому вопросу. Существующие на сегодня де-факто виды АС можно представить в виде классификации, приведенной на рис. 2, где в состав комплекса средств автоматизации (КСА) с сосредоточенной обработкой данных могут входить ИВК, АРМ, РС, в состав КСА с распределенной обработкой – локальные вычислительные сети с различными топологиями, номенклатурой и количеством технических средств (ТС): ИВК, АРМ, РС, серверов, коммутаторов, мостов, концентраторов и т. д.

Принципиально важным моментом постановки задачи в общем виде с позиций построения защиты является выбор такой модели автоматизированной системы обработки информации, которая позволила бы ожидаемые результаты ее решения распространить на частные случаи построения любой автоматизированной системы от автоматизированного рабочего места до глобальной АС независимо от аппаратной и программной платформ, на базе которых они выполнены.

Анализ приведенных в классификации АС говорит о том, что они содержат некоторые общие элементы: узлы обработки информации (ТС, КСА) и средства передачи информации (линии связи, каналы связи). При этом, учитывая глобальные АС, можно наблюдать несколько уровней ее обработки и передачи: ТС, сетевые (локальный, региональный и глобальный). На локальном используются ТС и линии связи, на региональном и глобальном уровнях – КСА (узел) и каналы связи.

Так как глобальная АС может содержать все перечисленные в классификации виды АС, рассмотрим ее обобщенные функциональную и структурную схемы, приведенные соответственно на рис. 3 и 4.

АСУ сейчас называются корпоративными сетями. Термин «АСУ» выбран не случайно, а потому что в нем есть элемент управления (сеть в принципе та же АСУ только с двухступенчатой иерархией управления). Это необходимо учесть потому, что управляющий элемент сети или АСУ будет наверняка управлять и защитой. Тем самым мы еще раз подчеркиваем, что намерены иметь дело не со средой, а с конкретной структурой автоматизированной системы.

На основе анализа структур АС, приведенных на рис. 3 и 4, на глобальном и локальных уровнях делим АС на два класса: с сосредоточенной и распределенной обработкой данных. Тогда фрагмент глобальной АС можно представить в виде модели, приведенной на рис. 5, где КСА по отношению к АС в целом является объектом автоматизации с сосредоточенной обработкой данных, совокупность которых с каналами связи представляет собой распределенную систему. На уровне КСА технические средства – АРМ, РС, ИВК, серверы, коммутаторы, концентраторы, маршрутизаторы и т. д. – являются средствами с сосредоточенной обработкой данных, совокупность которых с линиями связи также представляет собой объекты с распределенной обработкой данных за исключением КСА с топологией типа мэйнфрейм, например информационно-вычислительного комплекса, и абонентского пункта, состоящего из одной рабочей станции.

Концептуальная модель защиты информации в глобальной АС представляет собой совокупность оболочек защиты данных КСА и кадра кодограммы, передаваемой в каналах связи, в локальных АС – соответственно технических средств и в линиях связи. Концептуальный подход заключается в перекрытии в КСА (ТС) возможных каналов НСД к информации и предупреждении возможных несанкционированных действий на каналах (линиях) связи АС.

Методология построения защиты приведена в работе [1]. Там же приведен проект руководящего документа, в котором предлагается нормализовать основные принципы построения и оценки уровня безопасности информации для АС практически любого вида. В качестве альтернативы действующей концепции в данной работе предложены: новая постановка задачи; методический подход, принципы построения защиты и расчетные соотношения, позволяющие спроектировать на научной основе средства защиты данных и получить в АС замкнутую виртуальную оболочку защиты с гарантированными значениями ее прочности в количественном выражении.

Оценка заключается в проверке правильности расчетов прочности защиты на основе соотношений, приведенных в разделе 4 проекта РД. То есть разработчик и оценщик работают с одними и теми же формулами, позволяющими всесторонне и глубоко исследовать предъявляемую защиту и получить количественные показатели ее прочности. Перед проведением оценки разработчик АС представляет соответствующий расчет, проведенный для предъявляемой АС.

Приведенные расчетные соотношения позволяют в предъявленной автоматизированной системе оценить:

  • полноту и правильность определения возможных каналов НСД к информации;

  • полноту перекрытия возможных каналов НСД средствами защиты и их прочность;

  • прочность защитной оболочки отдельных комплексов средств автоматизации обработки и передачи информации;

  • прочность защиты информации АС в целом.

С учетом предложенной концепции и методологии построения защиты оценка уровня безопасности информации в конкретной АС должна производиться в следующей последовательности.

1. Анализ вида и состава АС. Если это система с распределенной обработкой данных, производится cначала оценка АС с сосредоточенной обработкой.

2. Оценка информации, обpабатываемой в АС, на предмет ее важности, секpетности, мест размещения, циркуляции ее потоков и сроков действия.

3. Оценка правильности выбора ожидаемой модели потенциального нарушителя на ее соответствие уровню важности информации, подлежащей защите.

4. Анализ АС как объекта защиты на предмет наличия в нем максимально возможного числа каналов НСД к информации на объектах ее обработки и несанкционированных действий на линиях и каналах связи, соответствующих ожидаемой модели потенциального наpушителя.

5. Проверка наличия реализованных в АС средств защиты по каждому возможному каналу несанкциониpованного доступа к защищаемой информации и возможных путей их обхода.

6.Количественная оценка прочности каждого средства защиты.

7. Оценка ожидаемой прочности системы защиты информации в АС в целом.

На начальном этапе освоения РД предлагается оценивать количественные показатели прочности, представляемые в расчете Главного конструктора АС. После накопления определенного опыта предельные значения для уровней безопасности должны быть приведены в РД. Однако уже сейчас, учитывая приблизительный характер оценки и необходимость в гарантированном запасе прочности защиты, можно утверждать, что на неконтролируемых каналах ожидаемое время затрат на преодоление защиты должно превышать время жизни защищаемой информации в десятки раз. Возможно, придется установить в этом случае допустимые значения запаса прочности для уровней безопасности I-го класса – не менее 10 раз, для II-го – не менее 5 раз, для III-го – не менее 2 раз, то есть значения показателей прочности некоторых средств защиты будут больше 1. Но при этом необходимо учитывать возможные пути обхода средства защиты, которые могут быть перекрыты другими средствами с меньшими значениями прочности.

Предлагаемые в проекте подход, модель и теория защиты отвечают привычному и понятному всем физическому смыслу, заключающемуся в создании вокруг предмета защиты замкнутой оболочки. Расчетные соотношения даны для прочности отдельных средств и их соединения в последовательную, параллельную и параллельно-последовательную цепь, а также для образования из них защитной оболочки. Благодаря расчетным соотношениям этот принцип удалось сохранить в физическом и виртуальном представлении в системах обработки данных, что позволило подойти с единой мерой к расчету ожидаемой эффективности защиты информации от преднамеренного НСД на любом уровне ее обработки: от персонального компьютера до глобальных АС в целом.

Использование в расчете прочности защиты временного фактора представляется более удачным, чем фактор стоимости. Известно, что оценка стоимости информации может быть весьма приблизительной, и в настоящее время практических методик для этого не существует. Для больших систем подобная оценка, учитывая динамику цены обрабатываемой информации, вообще вряд ли целесообразна. Известно, что временной фактор уже используется при оценке стойкости криптографических средств защиты, что говорит в пользу принятого решения. В результате получаем возможность применения общей для всех средств защиты одной широко известной единицы измерения – вероятности наступления события.

На примерах типовых объектов исследования предложены: определение в автоматизированных системах возможных каналов НСД к информации, выбор средств, их перекрывающих, и средств управления, объединяющих их в единый механизм – систему безопасности информации, а также методика оценки ожидаемой прочности защиты, что позволяет определить уровень безопасности в конкретной АС и задать соответствующие показатели в техническом задании на системы подобного рода в будущем.

Объединение средств защиты с помощью специальных средств централизованного контроля и управления позволяет создать на пути нарушителя и случайных воздействий строгую и управляемую систему pавнопpочных и взаимосвязанных преград, отвечающих заданным требованиям по уровню безопасности обрабатываемой информации.

Пpедложенная концепция безопасности инфоpмации в АС позволяет:

  • обозначить пpедмет защиты, сосpедоточить усилия на его защите и устpанить избыточность пpименяемых сpедств защиты;

  • пpовести всестоpонний анализ pазpабатываемой автоматизиpованной системы на пpедмет выявления возможных каналов НСД к инфоpмации в соответствии с заданной моделью поведения потенциального наpушителя;

  • выбpать готовые и pазpаботать на основе пpедлагаемых pасчетных соотношений новые сpедства защиты с получением гаpантиpованных показателей их пpочности;

  • создать научно-обоснованную замкнутую оболочку защиты с гаpантиpованными показателями ее пpочности;

  • применить единые для всех АС методы и расчетные соотношения для построения и расчета прочности защиты инфоpмации от НСД;

  • сокpатить количество экспеpтных оценок эффективности сpедств и систем защиты, а также упpостить их методику;

  • на основе более точных pасчетов прочности средств защиты и создания защитной оболочки получить значительное повышение уpовня безопасности инфоpмации в pазpабатываемых АС.

Ожидаемая экономическая эффективность применения предлагаемой методологии выражается в:

  • значительном сокращении возможных потерь за счет повышения уровня прочности защиты;

  • сокращении сроков разработки систем безопасности информации и самих АС за счет определенности постановки задачи и применения достаточно простых положений и расчетных соотношений;

  • сокращении времени сертификации изделий за счет уменьшения количества критериев оценки и экспертных оценок, а также упрощения методик оценки.

При этом:

  • предлагаемая концепция не исключает применения существующих средств защиты, она лишь меняет методологию их применения в АС;

  • АС, изготовленная по предлагаемому проекту РД, технически обеспечивает выполнение требований существующих РД, поэтому в случае внедрения предлагаемого РД в переходный период можно параллельно сохранить в действии существующие стандарты РД, предоставив выбор РД заказчику и главным конструкторам АС.

ЛИТЕРАТУРА

1. Теория и практика обеспечения информационной безопасности. Под ред. П. Д. Зегжды. – М.: Изд-во. Агенства «Яхтсмен», 1996.

2. Общие критерии оценки безопасности информационных технологий: Учебное пособие. Перевод с англ. Е. А. Сидак. – М.: ЦБИ, 2001.

3. Мельников В. В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2003.

 

Защита информации. INSIDE № 6’2005

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru