|
ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ С РАЗЛИЧНЫХ НАКОПИТЕЛЕЙ В КИЕВЕ уход за растениями - озеленение - фитодизайн |
|
http://kiev-security.org.ua
Что именно и от чего именно нужно защитить?Неопределенность постановки задачи ведет к неопределенности ее решения. Для задач защиты компьютерных сред существенно еще и то, что невозможна количественная оценка истинной прочности защиты.
Сегодня концепция безопасности информации в компьютерных системах предполагает защиту вычислительной среды, в которой работают множество <эсубъектов> (пользователей и процессов) со множеством <эобъектов> (ресурсов и наборов данных). Эта защита должна обеспечиваться множеством специальных процедур, способных под управлением некоего ядра безопасности реализовать санкционированный доступ <эсубъектов> к <эобъектам> и защиту последних от всех внешних и внутренних угроз - возможных несанкционированных действий <эсубъектов-нарушителей> и случайных процессов. Сложность решения этой задачи очевидна - исходные данные неопределенны. Неизвестно все: предмет защиты (множество <эобъектов> доступа); виды и количество угроз; <эсубъекты> доступа (множество процессов); возможные механизмы взаимодействия <эсубъектов> с <эобъектами> (поскольку в самой концепции нет привязки к объектам ее реализации - компьютерным системам). Если число штатных <эобъектов> и <эсубъектов> доступа (кроме процессов) в конкретной системе еще как-то можно определить, то виды и количество процессов, возможных преднамеренных (несанкционированных) и случайных воздействий в сетях (особенно в региональных или глобальных) учету не поддаются. Проверить стойкость защиты к каждой ожидаемой угрозе вообще не представляется возможным. Создаваемая защитная среда носит сугубо декларативный характер, так как нельзя определить ее границы и <эплотность>, т. е. отсутствует механизм образования защитной оболочки. На практике защитная среда реализуется в виде набора функций, который определен нормативными документами. Однако в этих документах отсутствуют количественные показатели прочности защиты и используется лукавый термин <эзащищенность>. Печальный вывод очевиден: в основу проектирования защиты априори закладываются пути ее обхода, а получение аттестата о наличии у вас <эсамой красивой морковки> не означает, что она у вас вообще есть. Не сменить ли курс?Вспомним, что решение любой проблемы как в науке, так и в повседневной жизни начинается с поиска уже готовых решений. В нашем случае такое решение известно всем: для защиты какого-либо ценного предмета вокруг него сооружается некая физическая и/или интеллектуальная замкнутая преграда, преодоление которой в достаточной мере не по силам потенциальному нарушителю. Этот принцип используется, например, в системах охранной сигнализации вокруг локальной вычислительной системы. Но в самой вычислительной системе реализовать принцип создания защитной оболочки пока не удалось никому. Это станет возможным при изменении концептуального подхода к постановке задачи. Следует установить: что, где, от чего и когда требуется защитить? Путь к успеху идет через непростую, но решаемую задачу обобщения множества вычислительных структур вплоть до физического уровня <эобъектов> - устройств, технических средств, автоматизированных систем обработки информации и физических связей между ними. Затем нужно определить типовые элементы обработки информации с позиций сосредоточения и распределения защищаемых данных, разработать общие и типовые решения для таких элементов и для более сложных структур. Объекты и субъектыПредметы защиты могут быть весьма различными по ценности и важности, более того - принадлежать разным собственникам. Предметом нашей защиты, по определению, является информация, поэтому следует выделить ее из множества <эресурсов> и защищать последние только тогда, когда обеспечить безопасность самой информации сложно. И даже не все ресурсы, а только те из них, через которые возможен доступ к сведениям, или те, несанкционированный доступ к которым ставит под угрозу право собственника беспрепятственно работать со своими данными. Но в одной компьютерной системе могут циркулировать разные виды информации, принадлежащие разным собственникам. Например, несколько региональных и глобальных автоматизированных систем управления (АСУ) различного назначения могут использовать одну или несколько связанных между собой вычислительных сетей. По общей сети передаются несколько видов информации, принадлежащих разным АСУ, а также собственные данные этой сети. Если у сети свой владелец, то он несет ответственность за доверяемую ему информацию перед каждым владельцем АСУ, и уровень доверия и ответственности определяется рамками соглашений, обеспечивающих безопасность данных. Если каждая система принадлежит государственной организации, то за информацию (в рамках своих полномочий и цены этой информации) отвечают должностные лица. Перед проектированием системы должны быть определены перечень, цена, владельцы, места сосредоточения и циркуляции в ней сведений, подлежащих защите. Принципиально важным моментом постановки задачи защиты в общем виде является выбор такой типовой структуры системы обработки информации, которая позволила бы распространить ожидаемые результаты решения этой задачи на частные случаи (от ПК до глобальной сети) независимо от аппаратной и программной платформ, на которых они базируются. Обычно используются два принципа обработки информации - централизованный и распределенный. В соответствии с первым функционируют вычислительные комплексы с централизованной архитектурой, узлы коммутации сообщений, рабочие станции, автоматизированные рабочие места и вспомогательные технические средства (серверы, маршрутизаторы, концентраторы, коммутаторы и др.). Второй принцип применяется в локальных, региональных и глобальных сетях, а также в АСУ соответствующих масштабов. По сути, вычислительная сеть - та же АСУ, только с двухступенчатой иерархией управления. Системы с централизованной обработкой данных могут являться элементами сети или АСУ. Но элементами последних могут быть и локальные вычислительные сети (ЛВС), в состав которых входят свои системы с сосредоточенной обработкой данных. Более того, несколько таких ЛВС могут быть объединены в одном элементе сети и т. д. Для решения поставленной задачи сначала рассмотрим более простые структуры - с централизованной и распределенной обработкой данных. Первую назовем комплексом средств автоматизации (КСА) , а вторую представим в двух видах - АСУ и сети передачи данных (СПД), абонентами и узлами коммутации которой являются КСА, образующие с помощью оборудования передачи данных и каналов связи упомянутую АСУ. Потенциальные угрозыУсловия сохранения права собственности определяют виды угроз для информации: это утечка, модификация и утрата. Под утечкой информации понимается несанкционированное ознакомление с ней постороннего лица. Модификация - несанкционированное изменение информации на корректную по форме и содержанию, но другую по смыслу. Понятие утрата объединяет и хищение, и искажение с потерей смысла, и уничтожение или недоведение информации до адресата. Все остальные угрозы в конечном итоге сводятся к этим трем. Угрожающие события могут происходить случайно (из-за ошибок пользователей, сбоев или отказов аппаратуры, алгоритмических или программных ошибок, аварийных ситуаций, стихийных бедствий) или создаваться нарушителем преднамеренно. Нарушителем может стать любой - законный пользователь или постороннее лицо, одиночка или член организованной группы, имеющей доступ к компьютерной системе, человек любой квалификации. Эти исходные данные следует учитывать. Определим <эточки приложения угроз>. Случайные воздействия возможны в любой точке системы, т. е. на всей ее <эплощади>. Момент воздействия определяется законами случайных чисел. Методы анализа случайных процессов достаточно хорошо исследованы, поэтому соответствующие средства защиты и методы оценки их эффективности уже разработаны. Преднамеренные действия нарушителя начинаются на периметре системы. Нарушением считается попытка доступа к любой части информации, подлежащей защите. Точно предсказать время и характер его действий нельзя, поэтому целесообразно выбрать наиболее опасную для компьютерной системы модель возможного поведения и <эхарактера> нарушителя:
К перечисленным данным целесообразно добавить, что нарушитель действует один, без сообщников, имеющих доступ к конкретной системе. Защита от организованной группы нарушителей - значительно более сложная задача, решить которую можно только после того, как вы разберетесь с простой. Фундамент защитыОснову любой системы защиты составляют следующие положения.
Средства защиты, перекрывающие возможные каналы НСД к информации компьютерной системы, образуют защитную оболочку. Степень безопасности системы определяется полнотой перекрытия этих каналов и возможных путей обхода средств защиты. Прочность защитной оболочки определяется наименьшим значением прочности составляющих ее средств защиты. Защитная оболочка должна быть однородной, т. е. состоять из средств защиты, размещаемых на каналах НСД одного типа и построенных по одному принципу. В компьютерной системе целесообразно иметь виртуальные защитные оболочки двух видов - контролируемую и превентивную. В компьютерной системе с централизованной обработкой данных, например на базе мэйнфрейма, возможны контролируемые и неконтролируемые каналы НСД. К первым относятся терминалы пользователей, средства отображения и документирования информации, ремонтируемая аппаратура, средства загрузки ПО, линии связи между техническими средствами, технологические пульты и органы управления, документы, внешние каналы связи (если данная система является абонентом вычислительной сети). Неконтролируемых источников несколько меньше - носители информации, носители с остатками информации, мусорная корзина, побочное электромагнитное излучение и наводки в сетях питания, заземления и в <эпосторонних> коммуникациях. На всех указанных каналах можно установить соответствующие средства защиты, образующие виртуальные защитные оболочки. Например, контролируемую оболочку могут составить система контроля за доступом в помещения, средства идентификации и аутентификации внешних и внутренних пользователей, контроля за вводом/выводом, за доступом к загрузке ПО, за вскрытием аппаратуры, за доступом к документам. Превентивную защитную оболочку на неконтролируемых каналах создают другие средства, которые обеспечивают шифрование информации (хранимой или транспортируемой на носителях), ее удаление с помощью наложения на исходные данные случайной последовательности символов, гарантированное физическое уничтожение неремонтируемых носителей с остатками данных, уменьшение электромагнитного излучения и активного зашумления полезного сигнала. К показателям прочности выбранных средств защиты для каждой оболочки следует добавить показатель прочности защиты от НСД при <эзаконном> входе в систему пользователя с помощью пароля. Количество символов пароля и алфавит символов, из которых он выбирается, должны отвечать специальным условиям. Эти условия определяют зависимость длины пароля и набора символов от вероятности проникновения в систему за определенное число (набор) попыток. После каждого такого набора должно вырабатываться сообщение о НСД. Специалисты наверняка обратят внимание на то, что в данной концепции не указывается на необходимость присутствия в оболочке средств регистрации, контроля за целостностью ПО и антивирусных средств. Безусловно, они необходимы, но - лишь для проведения следствия по уже произошедшему событию. К этим средствам обращаются относительно редко - в основном, в начале или по окончании работы, а также по инициативе оператора. В системах с распределенной обработкой данных (сетях и АСУ) к возможным каналам НСД следует отнести средства автоматизации и каналы связи. Сначала рассмотрим каналы связи. Как и ранее, наиболее опасный случай - когда потенциальный нарушитель имеет свободный доступ к таким каналам, а следовательно, к кодограмме, которая содержит не только информацию, но и адресацию системных связей между средствами автоматизации. Кажется, что при отсутствии защиты нарушитель может воспользоваться кодограммой как угодно. На самом деле, максимальный перечень его несанкционированных действий хорошо известен. В него входят:
Правда, в последнее время к этому перечню добавляются действия нарушителей особого рода: отказ отправителя от собственного сообщения, а получателя - от принятого, повторы сообщений и передача различного рода информационного <эмусора>. В зависимости от ожидаемой модели поведения нарушителя перечень может быть сокращен. В любом случае он конечен, т. е. задачу можно достаточно строго определить. Все ожидаемые действия нарушителя следует разделить на контролируемые и не контролируемые техническими средствами. И здесь существенную роль играет время. При попытках несанкционированного чтения кодограммы время противостояния защиты, или ожидаемое время преодоления ее нарушителем, должно превышать время жизни защищаемой информации. Поэтому необходимы средства своевременного обнаружения и блокировки попыток НСД. Отсутствие таких средств в современных системах и является основной причиной успешных действий нарушителей, и здесь следует признать некоторую положительную роль межсетевых экранов (МЭ). В настоящее время в системах с распределенной обработкой информации широко применяются средства криптографического преобразования данных (линейное и абонентское шифрование, цифровая подпись) и упомянутые МЭ. При этом в тракте передачи данных от пользователя к пользователю криптосредства не всегда защищают содержательную и служебную части кодограммы. Выполняемые такими средствами функции не объединены общей целью - создания единой прочной оболочки защиты, в которой применяемые средства безопасности дополняют друг друга. А отсутствие конечного перечня возможных угроз не позволяет обосновать расчетами степень защищенности, которую обеспечивают средства предупреждения. При проектировании защиты служебной части кодограммы следует сохранять некоторые адреса и служебные признаки в открытом виде. Отдельные части кодограммы формируются и читаются на разных этапах ее обработки разными устройствами, узлами сети и аппаратуры абонентов. Для каждого из формируемых признаков и частей кодограммы должен быть свой ключ шифрования, а также лицо или служба, ответственные за их распределение и последующую замену. Обратим внимание на существенную разницу во времени жизни содержательной и служебной частей кодограммы. Содержательная часть может сохраняться десятки лет, а служебная - не более 10 мин (время доведения сообщения до адресата). Это позволяет снизить требования к стойкости шифрования служебных частей, упростить само шифрование и уменьшить время обработки кодограммы. Не останавливаясь подробно на уже известных средствах защиты и их возможностях, подчеркнем, что перечень <этипичных> НСД конечен, а значит, соответствующие им средства защиты можно точно определить (см. таблицу). Защита: действие и противодействие
Очевидно, что полнота защиты от перечисленных в таблице НСД будет определять степень защищенности оболочек (как контролирующей, так и превентивной). Их прочность раcсчитывается аналогично защите средств автоматизации. Заметим, что средства защиты от таких нарушений, как отказы законных пользователей от принадлежащих им документов, не должны входить в состав средств оболочки - они выполняют другую задачу. Эти отказы регистрируются в центре управления и контроля за сообщениями. Вполне возможно, что средства защиты сетевых ресурсов от повторов сообщений и информационного <эмусора> также будут автономными, - практика покажет. Объединение функций контроля, подготовки ключей шифрования и создания цифровой подписи в рамках управляющего элемента защиты АСУ и СПД позволит создать в каждой системе единую структуру защиты с гарантированными показателями - автоматизированную систему безопасности информации. Для уменьшения времени, которое требуется системе контроля для реакции на сигнал о НСД, в региональных и глобальных системах предлагается передавать сигнал в первую очередь на средства управления защитой того элемента АСУ (сети), который подвергся нападению, а только затем - на централизованные средства управления. Следовательно, необходимо иметь подобные средства на каждом элементе АСУ и сети. В настоящее время в роли датчиков обнаружения НСД могут выступать МЭ. В конечном итоге, оценка прочности защиты в системе с распределенной обработкой данных будет состоять из группы показателей, число которых зависит от степени важности защищаемой информации. В общем виде это следующие показатели:
В группу показателей прочности защиты кодограммы войдут показатели прочности контролируемой и превентивной оболочек защиты кодограммы. Группа показателей СПД будет содержать показатели минимальной прочности контролируемой и превентивной защиты, а также показатель стойкости пароля пользователя (КСА СПД). Если степень важности инфомации, циркулирующей в отдельных КСА и каналах связи, выше среднего показателя, то их показатели защиты задаются дополнительно отдельным перечнем. От простого к сложномуПредложенный подход построения защиты применим как для простых, так и для сложных систем. В ЛВС системы с централизованной обработкой данных - это серверы или рабочие станции. Перечень возможных несанкционированных действий на линиях связи можно сократить, так как ЛВС размещаются на контролируемой территории. Одна система безопасности имеет право существовать только в вычислительной системе с централизованной обработкой данных. В системах с распределенной обработкой данных (особенно в региональных и глобальных) их должно быть несколько, в зависимости от количества входящих в АСУ самостоятельных структур, которые выполняют системные и собственные задачи, имеют свои средства администрирования и управления. Если эти структуры входят в АСУ, то их отношения имеют иерархический характер. * * * По мнению автора, предлагаемый концептуальный подход отвечает привычному и понятному всем смыслу защиты. В то же время он позволяет точно и юридически строго обозначить предмет защиты в соответствии с его важностью, выбрать ожидаемую модель поведения нарушителя, провести на ее основе глубокий всесторонний анализ любой компьютерной системы для выявления возможных каналов НСД к информации и перекрыть такие каналы средствами, защитные показатели которых подтверждены расчетами. Все это обеспечивает построение научно обоснованной оболочки защиты с гарантированной заданной прочностью. Кроме того, за счет определенности постановки задачи и точности ее решения предлагаемый подход позволяет значительно упростить систему оценок уровня безопасности информации и одновременно усилить защиту. Реализация изложенной методики потребует разработки новых нормативных документов, необходимость в которых уже очевидна. Применение существующих средств защиты отнюдь не исключено, более того, может оказаться успешным, но - в рамках данного подхода. |
<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a> |