Анализ запасов

Анализ запасов

Iii__ I л I IIITM I ) (Д5.11 П7 П8 I I I i I I i о т I I щи I I I I I I м м Н I I м I|| I I I Д 7 - 1 Отлип I I | I I м м Н I I м I|| I I I IMIII I Д 9 . 1 П10 П11 П12 Р I i I I т | | | I HI I I I | м I Н т | | i i 4Д10.1) Р т I I i I 0 I - с | | м | || Д11.1} Р т I I

Ммт I Рис. 9.3. Технологическая сеть проектирования диалоговых систем с языком общения типа «меню» Следующей операцией является «Выбор языка общения и разработка сценария диалога» (ПЗ). На вход операции посту­пают универсум языков общения (U3.1) и функциональная струк­тура задачи (Д2.1). На выходе получают «сценарий диалога» (Д3.1). Далее выполняется операция (П4) «Разработка структуры программного обеспечения». В результате выполнения этой опе­рации строится дерево программных модулей (Д4.1). Операция (П5) «Разработка информационного обеспечения» должна включать проектирование системы классификаторов и документов (Д5Л), системы экранных кадров (Д5.2) и информа­ционной базы (Д5.3). Элементы информационного обеспечения и состав программ­ных модулей позволяют выполнить операцию «Разработка блок-схемы работы системы» (П6) и получить документ «Укрупнен­ный алгоритм решения задачи» (Д6.1). Операция «Разработка кодов программных модулей и выбор алгоритмического языка» (П7) осуществляется на основе универ­сума языка программирования (U7.1). На выходе получают до­кументы с кодами программных модулей (Д7.1). Разработанные программные модули (Д7.1) подвергаются «локальной отладке» (П8), в результате чего получают совокуп­ность отлаженных модулей (Д8.1), а затем на базе исход­ных данных «Контрольного примера» (Д9Л) проходят «комп­лексную отладку» (П9), в результате чего получают результат­ные данные (Д9.3) и отлаженный комплекс программных моду­лей (Д9.2). Далее следуют «Разработка программной документации» (П10) и получение всей совокупности документов (Д10.1), пос- ле которой разрабатывается блок-схема технологического про- цесса решения задачи в диалоговом режиме и получают до- кумент - блок-схему ТП (Д11.1), содержащую перечень ручных, машинно-ручных и автоматических операций, выполняемых в определенной последовательности пользователем при решении задачи. Заключительной операцией (П12) является разработка и получение полного комплекта технологической документации и инструкционных карт (Д12.1). При использовании средств автоматизации проектирования диалоговой обработки данных, т.е. ППП генерирующего или ин­терпретирующего типа разработанные исполнительные програм­мы с помощью диалоговых процедур объединяются в единую про­граммную систему. В этом случае проектировщики будут выпол­нять следующие дополнительные работы: разработку управляющей таблицы, отражающей структуру сценария диалога, макетов сообщений, исполнительских про­грамм; генерацию сценария и формирование файла сценария для каж­дой задачи или настройку системы на параметры предметной области; формирование контрольных примеров и их отладку по каж­дой задаче; подготовку программной и технологической документации. Вопросы для сомопроверки Каковы особенности экономических задач, влияющих на со­держание проектирования технологии обработки данных? Каков состав основных параметров и каковы классы эконо­мических задач? 1. Каков состав операций проектирования технологии обра­ботки информации при решении задачи в пакетном режиме? 4. Какие методы разработки программного обеспечения вы знаете? i. Каковы методы выделения функциональных и программных блоков? Каков типовой состав операций технологии обработки ин­формации в пакетном режиме? Каков состав критериев выбора алгоритмических языков? Каков состав средств частичной автоматизации использует­ся для проектирования процедур обработки данных для за­дач, решаемых в пакетном режиме? Что такое «диалоговая система» и каковы классы диалого­вых систем? Каковы методы формализованного описания работы диало­говых систем и их содержание? Каковы основные стратегии проектирования процессов обработки данных в диалоговом режиме и их содержание? Гпава 10 ПРОЕКТИРОВАНИЕ ПРОЦЕССОВ ЗАЩИТЫ ДАННЫХ 10.1 Основные понятия и методы защиты данных Интерес к вопросам защиты информации в последнее время вырос, что связывают с возрастанием роли информационных ре­сурсов в конкурентной борьбе, расширением использования се­тей, а следовательно, и возможностью несанкционированного до­ступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Информация, цир­кулирующая в них, может быть незаконно изменена, похищена или уничтожена. Основными факторами, способствующими по­вышению ее уязвимости, являются следующие: увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации; сосредоточение в единых базах данных информации различного назначения и принадлежности; расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и информацион­ной базы; усложнение режимов работы технических средств вычисли­тельных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени; автоматизация межмашинного обмена информацией, в том числе на больших расстояниях. Поэтому основной проблемой, которую должны решить про­ектировщики при создании системы защиты данных в ИБ, явля­ется проблема обеспечения безопасности хранимых данных, пре­дусматривающая разработку системы мер обеспечения безопас­ности, направленных на предотвращение несанкционированного получения информации, физического уничтожения или модифи­кации защищаемой информации. Вопросы разработки способов и методов защиты данных в информационной базе являются толь­ко частью проблемы проектирования системы защиты в ЭИС и в настоящее время получили большую актуальность. Этим вопро­сам посвящено много работ, но наиболее полно и системно они изложены в работах [2,12,38,41,59,68]. Чтобы разработать систему защиты, необходимо прежде все­го определить, что такое «угроза безопасности информации», вы­явить возможные каналы утечки информации и пути несанкцио­нированного доступа к защищаемым данным. В литературе пред­ложены различные определения угрозы в зависимости от ее специфики, среды проявления, результата ее воздействия, при­носимого ею ущерба и т. д. Так, в работе [2 ] под угрозой понима­ется целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой в системе информа­ции и приводит к ее случайному или предумышленному измене­нию или уничтожению. В работе [12 ] предлагается под «угрозой безопасности ин­формации» понимать «действие или событие, которое может при­вести к разрушению, искажению или несанкционированному ис­пользованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также про­граммные и обрабатываемые средства». Случайные угрозы включают в себя ошибки, пропуски и т. д., а также события, не зависящие от человека, например природ­ные бедствия. Бедствия бывают природными или вызванными деятельностью. Меры защиты от них в основном организацион­ные. К ошибкам аппаратных и программных средств относятся повреждения компьютеров и периферийных устройств (дисков, лент и т. д.), ошибки в прикладных программах и др. К ошибкам по невниманию, довольно часто возникающим во время технологического цикла обработки, передачи или хране­ния данных, относятся ошибки оператора или программиста, вмешательство во время выполнения тестовых программ, повреж­дение носителей информации и др. Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т. д.), так и люди, внешние по отношению к системе, так называемые «хакеры». Авторы на примере практической деятельности коммерчес­ких банков перечисляют основные виды угроз безопасности храни­мой информации, к которым они относят: копирование и кражу программного обеспечения; несанкционированный ввод данных; изменение или уничтожение данных на магнитных носителях; саботаж; кражу информации; раскрытие конфиденциальной информации, используя несан­кционированный доступ к базам данных, прослушивание ка­налов и т.п.; компрометацию информации посредством внесения несанк­ционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо пред­принимать дополнительные усилия для выявления изменений и восстановления истинных сведений; несанкционированное использование информационных ресур­сов, которое может нанести определенный ущерб, и этот ущерб может варьироваться от сокращения поступления фи­нансовых средств до полного выхода ЭИС из строя; ошибочное использование информационных ресурсов, кото­рое может привести к их разрушению, раскрытию или комп­рометации, что является следствием ошибок, имеющихся в программном обеспечении ЭИС; несанкционированный обмен информацией между абонента­ми, который может привести к получению одним из них све­дений, доступ к которым ему запрещен, что по своим послед­ствиям равносильно раскрытию содержания хранимой инфор­мации; отказ в обслуживании, представляющий собой угрозу, источ­ником которой может являться ЭИС, особенно опасен в ситу­ациях, когда задержка с предоставлением информацион­ных ресурсов, необходимых для принятия решения, может стать причиной нерациональных действий руководителей предприятия. Под несанкционированным доступом понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользова­телей или других субъектов системы разграничения, являющейся составной частью системы защиты информации. Субъекты, со­вершившие несанкционированный доступ к информации, назы­ваются нарушителями. Нарушителем может быть любой человек из следующих категорий: штатные пользователи ЭИС; сотруд­ники-программисты, сопровождающие системное, общее и при- кладное программное обеспечение системы; обслуживающий пер­сонал (инженеры); другие сотрудники, имеющие санкционирован­ный доступ к ЭИС. С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабаты­ваемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспо­собности ЭИС. Под каналом несанкционированного доступа к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанк­ционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, приводящих к несан­кционированному доступу. Действия нарушителя можно разде­лить на четыре основные категории. Прерывание - прекращение нормальной обработки инфор­мации, например, вследствие разрушения вычислительных средств. Отметим, что прерывание может иметь серьезные послед­ствия даже в том случае, когда сама информация никаким воз­действиям не подвергается. Кража, или раскрытие, - чтение или копирование инфор­мации с целью получения данных, которые могут быть исполь­зованы либо злоумышленником, либо третьей стороной. Видоизменение информации. Разрушение - необратимое изменение информации, напри­мер стирание данных с диска. К основным способам несанкционированного получения информации, сформулированным по данным зарубежной печа­ти, относят: применение подслушивающих устройств (закладок); дистанционное фотографирование; перехват электронных излучений; принудительное электромагнитное облучение (подсветка) ли­ний связи с целью осуществления паразитной модуляции не­сущей; мистификация (маскировка под запросы системы); перехват акустических излучений и восстановление текста принтера; хищение носителей информации и производственных отходов; считывание данных из массивов других пользователей; чтение остаточной информации из памяти системы после вы­полнения санкционированных запросов; копирование носителей информации с преодолением мер за­щиты; маскировка под зарегистрированного пользователя; использование программных ловушек; незаконное подключение к аппаратуре и линиям связи; вывод из строя механизмов защиты. Для обеспечения защиты хранимых данных используется не­сколько методов и механизмов их реализации. В литературе вы­деляют следующие способы защиты: физические (препятствие); законодательные; управление доступом; криптографическое закрытие. Физические способы защиты основаны на создании физичес­ких препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на терри­торию и в помещения с аппаратурой или с носителями информа­ции). Эти способы дают защиту только от «внешних» злоумыш­ленников и не защищают информацию от тех лиц, которые обла­дают правом входа в помещение. Законодательные средства защиты составляют законодатель­ные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавлива­ют меры ответственности за нарушение этих правил. Управление доступом представляет способ защиты информа­ции путем регулирования доступа ко всем ресурсам системы (тех­ническим, программным, элементам баз данных). В автоматизи­рованных системах для информационного обеспечения должны быть регламентированы порядок работы пользователей и персо­нала, право доступа к отдельным файлам в базах данных и т. д. Управление доступом предусматривает следующие функции защиты: идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификато­ра: имени, кода, пароля и т.п.); аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентифика­тору; авторизацию - проверку полномочий (проверку соответствия дня недели, времени суток, запрашиваемых ресурсов и про­цедур установленному регламенту); разрешение и создание условий работы в пределах установлен­ного регламента, регистрацию (протоколирование) обращений к защищаемым ресурсам; реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных дей­ствий. Самым распространенным методом установления подлинно­сти является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т п ). Если введенный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д. Используют различные виды паролей. Простой пароль. Пользователь вводит такой пароль с клавиатуры после запроса, а компьютерная программа (или специальная микросхема) кодирует его и сравнивает с хранящимся в памяти эталоном. Преимущество простого пароля в том, что его не нужно записывать, а недостаток - в относительной легкости снятия защиты. Простой пароль рекомендуется использовать для защиты данных небольшого значения и стоимости. Пароль однократного использования Пользователю выдается список из N паролей, которые хранятся в памяти ком­пьютера в зашифрованном виде. После использования пароль стирается из памяти и вычеркивается из списка, так что перехват пароля теряет смысл. Такой пароль обеспечивает более высо­кую степень безопасности, но более сложен. Имеет он и другие недостатки Во-первых, необходимо где-то хранить список паролей, так как запомнить его практически невозможно, а в случае ошибки в процессе передачи пользователь оказывается в затруднительном положении: он не знает, следует ли ему снова передать тот же самый пароль или послать следующий Во-вторых, возникают чисто организационные трудности, список может занимать много места в памяти, его необходимо постоян­но изменять и т д. 3. Пароль на основе выборки символов. Пользователь выводит из пароля отдельные символы, позиции которых задаются с помощью преобразования случайных чисел или генератора псевдослучайных чисел. Очевидно, пароль следует менять доста­точно часто, поскольку постороннее лицо может в конце концов составить пароль из отдельных символов. 4 Метод «запрос-ответ». Пользователь должен дать правиль­ные ответы на набор вопросов, хранящихся в памяти компьютера и управляемых операционной системой. Иногда пользователю задается много вопросов, и он может сам выбрать те из них, на которые он хочет ответить. Достоинство этого метода состоит в том, что пользователь может выбрать вопросы, а это дает весьма высокую степень безопасности в процессе включения в работу. 5. Пароль на основе алгоритма. Пароль определяется на осно­ве алгоритма, который хранится в памяти компьютера и извес­тен пользователю. Система выводит на экран случайное число, а пользователь, с одной стороны, и компьютер - с другой, на его основе вычисляют по известному алгоритму пароль. Такой тип пароля обеспечивает более высокую степень безопасности, чем многие другие типы, но более сложен и требует дополнительных затрат времени пользователя. 6 Пароль на основе персонального физического ключа. В памяти компьютера хранится таблица паролей, где они записаны как в зашифрованном, так и в открытом виде. Лицам, допущенным к работе в системе, выдается специальная магнитная карточка, на которую занесена информация, управляющая процессом шифро­вания. Пользователь дожен вставить карточку в считывающее устройство и ввести свой пароль в открытом виде. Введенный пароль кодируется с использованием информации, записанной на карточке, и ищется соответствующая точка входа в таблицу паролей. Если закодированный пароль соответствует хранящемуся эталону, подлинность пользователя считается установленной. Для такого типа пароля существует угроза того, что на основе анализа пары «шифрованный пароль - открытый пароль» злоумышленник сможет определить алгоритм кодирования. Поэтому рекоменду­ется применять стойкие схемы шифрования. Парольная защита широко применяется в системах защиты информации и характеризуется простотой и дешевизной реали­зации, малыми затратами машинного времени, не требует боль­ших объемов памяти. Однако парольная защита часто не дает дос­таточного эффекта по следующим причинам. Обычно задают слишком длинные пароли. Будучи не в состоянии запомнить пароль, пользователь записывает его на клочке бумаги, в записной книжке и т. п., что сразу делает пароль уязвимым. Пользователи склонны к выбору тривиальных паролей, которые можно подобрать после небольшого числа попыток. Процесс ввода пароля в систему поддается наблюдению даже в том случае, когда вводимые символы не отображаются на экране. Таблица паролей, которая входит обычно в состав програм­много обеспечения операционной системы, может быть изменена, что нередко и происходит. Поэтому таблица паролей должна быть закодирована, а ключ алгоритма декодирования должен нахо­диться только у лица, отвечающего за безопасность информации. В систему может быть внесен «троянский конь», перехва­тывающий вводимые пароли и записывающий их в отдельный файл, поэтому при работе с новыми программными продуктами необходима большая осторожность. При работе с паролями рекомендуется применение следующих правил и мер предосторожности: не печатать пароли и не выводить их на экран; часто менять пароли - чем дольше используется один и тот же пароль, тем больше вероятность его раскрытия; каждый пользователь должен хранить свой пароль и не позволять посторонним узнать его; всегда зашифровывать пароли и обеспечивать их защиту недорогими и эффективными средствами; правильно выбирать длину пароля (чем она больше, тем более высокую степень безопасности будет обеспечивать система), так как труднее будет отгадать пароль. Основным методом защиты информации от несанкциониро­ванного доступа является метод обеспечения разграничения функ­циональных полномочий и доступа к информации, направленный на предотвращение не только возможности потенциального на­рушителя «читать» хранящуюся в ПЭВМ информацию, но и воз­можности нарушителя модифицировать ее штатными и нештат­ными средствами. Требования по защите информации от несанкционированно­го доступа направлены на достижение (в определенном сочета­нии) трех основных свойств защищаемой информации: конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена); целостность (информация, на основе которой принимаются важные решения, должна быть достоверной и точной и долж­на быть защищена от возможных непреднамеренных и зло­умышленных искажений); готовность (информация и соответствующие информацион­ные службы должны быть доступны, готовы к обслуживанию всегда, когда в этом возникает необходимость). Вторым методом, дополняющим основной, является разра­ботка процедуры контроля доступа к данным, которая призвана для решения двух задач: сделать невозможным обход системы разграничения доступа действиями, находящимися в рамках выбранной модели; гарантировать идентификацию пользователя, осуществляю­щего доступ к данным. Одним из основных методов увеличения безопасности ЭИС яв­ляется регистрация пользователей и всех их действий, для чего не­обходимо разработать «Систему регистрации и учета», ответствен­ную за ведение регистрационного журнала, которая позволяет про­следить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В «Регистрационном жур­нале» фиксируются все осуществленные и неосуществленные по­пытки доступа к данным или программам и ведется список всех контролируемых запросов, осуществляемых пользователями сис­темы. Одним из потенциальных каналов несанкционированного доступа к информации является несанкционированное изменение прикладных и специальных программ нарушителем с целью по­лучения конфиденциальной информации. Эти нарушения могут преследовать цель - изменение правил разграничения доступа или обхода их (при внедрении в прикладные программы системы за­щиты) либо организацию незаметного канала получения конфи­денциальной информации непосредственно из прикладных про­грамм (при внедрении в прикладные программы). Например, в работе [68] приводятся следующие виды вредительских программ. 1. Лазейки (trapdoors). Лазейка представляет собой точку вхо­да в программу, благодаря чему открывается непосредственный доступ к некоторым системным функциям. Лазейки обычно встав­ляют во время проектирования системы. Системные программи- сты организуют их при отладке программы, но по завершении ее разработки их надо устранить. Обнаружить лазейки можно пу­тем анализа работы программ. Логические бомбы (logic bombs). Логическая бомба - это компьютерная программа, которая приводит к повреждению файлов или компьютеров. Повреждение варьируется от искаже­ния данных до полного стирания всех файлов и/или поврежде­ния компьютера. Логическую бомбу, как правило, вставляют во время разработки программы, а срабатывает она при выполне­нии некоторого условия (время, дата, кодовое слово). Троянские кони (trojan horses). «Троянский конь» - это про­грамма, которая приводит к неожиданным (и обычно нежелатель­ным) последствиям в системе. Особенностью троянского коня' является то, что пользователь обращается к этой программе, счи­тая ее полезной. «Троянские кони» способны раскрыть, изменить или уничтожить данные или файлы. Их встраивают в програм­мы широкого пользования, например в программы обслужива­ния сети, электронной почты и др. Антивирусные средства не обнаруживают эти программы, но системы управления доступом в больших компьютерах обладают механизмами идентификации и ограничения их действия. В «Оранжевой книге» Национально­го центра защиты компьютеров США ведется постоянно обнов­ляемый список известных программ этого рода. Червяки (worms). Червяк - это программа, которая распро­страняется в системах и сетях по линиям связи. Такие программы подобны вирусам в том отношении, что они заражают другие программы, а отличаются от них тем, что они не способны само­воспроизводиться. В отличие от троянского коня червяк входит в систему без ведома пользователя и копирует себя на рабочих станциях сети. Бактерии (bacteria). Этот термин вошел в употребление недавно и обозначает программу, которая делает копии самой себя и становится паразитом, перегружая память и процессор. Вирусы (viruses). Определения вируса весьма разнообраз­ны, как и сами вирусы. Утвердилось определение доктора Фре­дерика Коуэна (Frederick Cohen): «Компьютерный вирус - это программа, которая способна заражать другие программы, мо­дифицируя их так, чтобы они включали в себя копию вируса (или его разновидность)». Объектами вируса являются: операционная система, системные файлы, секторы начальной загрузки дисков, командный файл, таблица размещения файлов (FAT), файлы типа g-2639 СОМ или EXE, файл CONFIG.SYS. В зависимости от области распространения и воздействия вирусы делятся на разрушитель­ные и неразрушительные, резидентные и нерезидентные, заража­ющие сектор начальной загрузки, системные файлы, прикладные программы и др К числу методов противодействия этому относится метод контроля целостности базового программного обеспечения специ­альными программами. Однако этот метод недостаточен, по­скольку предполагает, что программы контроля целостности не могут быть подвергнуты модификации нарушителем. Надежность защиты может быть обеспечена правильным под­бором основных механизмов защиты, некоторые из них рассмот­рим ниже. Механизм регламентации, основанный на использовании ме­тода защиты информации, создает такие условия автоматизиро­ванной обработки, хранения и передачи защищаемой информа­ции, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Механизм аутентификации. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодей­ствующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной. Криптографические методы защиты информации Эти мето­ды защиты широко применяются за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи, зашифровываются и тем самым преобразуются в шифрограмму или закрытый текст. Санкционированный пользо­ватель получает данные или сообщение, дешифрует их или рас­крывает посредством обратного преобразования криптограммы, в результате чего получается исходный открытый текст. Методу преобразования в криптографической системе соответствует ис­пользование специального алгоритма. Действие такого алгорит­ма запускается уникальным числом (или битовой последователь­ностью), обычно называемым шифрующим ключом. В современной криптографии существуют два типа крипто­графических алгоритмов: 1) классические алгоритмы, основанные на использовании закрытых, секретных ключей (симметричные); 2) алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ (асимметричные). В на­стоящее время находят широкое практическое применение в сред­ствах защиты электронной информации алгоритмы с секретным ключом. Рассмотрим кратко особенности их построения и применения / Симметричное шифрование, применяемое в классической криптографии, предполагает использование одной секретной единицы - ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрова­ния данных, хранимых на магнитных или иных носителях инфор­мации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него. Секретные ключи представляют собой основу криптографических преобразований, для которых, следуя правилу Керкхофа, стойкость хорошей шиф­ровальной системы определяется лишь секретностью ключа Все многообразие существующих криптографических мето­дов специалисты сводят к следующим классам преобразований Моно- и многоалфавитные подстановки - наиболее простой вид преобразований, заключающийся в замене символов исход­ного текста на другие (того же алфавита) по более или менее слож­ному правилу. Для обеспечения высокой криптостойкости тре­буется использование больших ключей. Перестановки - несложный метод криптографического пре­образования, используемый, как правило, в сочетании с другими методами. Гаммирование - метод, который заключается в наложении на открытые данные некоторой псевдослучайной последовательно­сти, генерируемой на основе ключа. Блочные шифры - представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого тек­ста. Блочные шифры на практике встречаются чаще, чем чистые преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шиф­рования основаны именно на этом классе шифров Самым простым способом шифрования является способ, ко­торый заключается в генерации гаммы шифра с помощью гене­ратора псевдослучайных чисел при определенном ключе и нало­жении полученной гаммы на открытые данные обратимым спо- 15* NataHaus.ru собом. Под гаммой шифра понимается псевдослучайная двоич­ная последовательность, вырабатываемая по заданному алгорит­му, для шифрования открытых данных и расшифровывания за­шифрованных данных. Для генерации гаммы применяют программы для ЭВМ, ко­торые называются генераторами случайных чисел. При этом тре­буется, чтобы, даже зная закон формирования, но не зная ключа в виде начальных условий, никто не смог бы отличить числовой ряд от случайного. В работе [47] формулируются три основных требования к крип­тографически стойкому генератору псевдослучайной последова­тельности или гамме. Период гаммы должен быть достаточно большим для шиф­рования сообщений различной длины. Гамма должна быть труднопредсказуемой. Это значит, что если известны тип генератора и кусок гаммы, то невозможно пред­сказать следующий за этим куском бит гаммы с вероятностью выше х. Если криптоаналитику станет известна какая-то часть гаммы, он все же не сможет определить биты, предшествующие ей или следующие за ней. Генерирование гаммы не должно быть связано с больши­ми техническими и организационными трудностями. Таким образом, стойкость шифрования с помощью генера­тора псевдослучайных чисел зависит как от характеристик гене­ратора, так и - причем в большей степени - от алгоритма получе­ния гаммы. Процесс расшифровывания данных сводится к повторной ге­нерации гаммы шифра при известном ключе и наложению такой гаммы на зашифрованные данные. Этот метод криптографичес­кой защиты реализуется достаточно легко и обеспечивает доволь­но высокую скорость шифрования, однако недостаточно стоек к дешифрованию и поэтому неприменим для серьезных информа­ционных систем. Сегодня реализовано довольно много различных алгоритмов криптографической защиты информации. Среди них можно на­звать алгоритмы DES, Rainbow (США); FEAL-4 и FEAL-8 (Япо­ния); B-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147-89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты. Рассмотрим алгоритмы, наиболее широко при­меняемые в зарубежной и отечественной практике. Алгоритм, изложенный в стандарте DES (Data Encryption Standard), принят в качестве федерального стандарта в 1977 г., наиболее распространен и широко применяется для шифрования данных в США. Этот алгоритм был разработан фирмой IBM для собственных целей. Однако после проверки Агентством Нацио­нальной Безопасности (АНБ) США он был рекомендован к при­менению в качестве федерального стандарта шифрования. Этот стандарт используется многими негосударственными финансо­выми институтами, в том числе банками и службами обращения денег. Алгоритм DES не является закрытым и был опубликован для широкого ознакомления, что позволяет пользователям сво­бодно применять его для своих целей. При шифровании применяется 64-разрядный ключ. Для шиф­рования используются только 56 разрядов ключа, а остальные восемь разрядов являются контрольными. Алгоритм DES доста­точно надежен. Он обладает большой гибкостью при реализации различных приложений обработки данных, так как каждый блок данных шифруется независимо от других. Это позволяет расшиф­ровывать отдельные блоки зашифрованных сообщений или струк­туры данных, а следовательно, открывает возможность незави­симой передачи блоков данных или произвольного доступа к за­шифрованным данным. Алгоритм может реализовываться как программным, так и аппаратным способом. Существенный не­достаток этого алгоритма - малая длина ключа. В настоящее время близится к завершению разработка ново­го американского стандарта шифрования AES (aes.nist.gov). На­циональный институт стандартов и технологий США (NIST) объявил о соответствующем конкурсе, предъявив следующие ус­ловия: длина ключа должна составлять 128, 192 или 256 бит, дли­на блоков данных - 128 бит. Кроме того, новый алгоритм дол­жен работать быстрее DES. Алгоритм шифрования, определяемый российским стандартом ГОСТ 28.147-89 «Системы обработки информации. Защита крип­тографическая. Алгоритм криптографического преобразования», является единым алгоритмом криптографической защиты данных для крупных информационных систем, локальных вычислитель­ных сетей и автономных компьютеров. Этот алгоритм может реа-лизовываться как аппаратным, так и программным способом, удовлетворяет всем криптографическим требованиям, сложив­шимся в мировой практике, и, как следствие, позволяет осуществ­лять криптографическую защиту любой информации независимо от степени ее секретности. В алгоритме ГОСТ 28.147 - 89 в отличие от алгоритма DES используется 256-разрядный ключ, представляемый в виде вось­ми 32-разрядных чисел. Расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы. Алгоритм ГОСТ 28.147 - 89 полностью удовлетворяет всем тре­бованиям криптографии и обладает теми же достоинствами, что и другие алгоритмы (например, DES), но лишен их недостатков. Он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. Крупный недоста­ток этого алгоритма - большая сложность его программной реа­лизации и низкая скорость работы. Из алгоритмов шифрования, разработанных в последнее вре­мя, большой интерес представляет алгоритм RC6 фирмы RSA Data Security. Этот алгоритм обладает следующими свойствами: адаптивностью для аппаратных средств и программного обес­печения, что означает использование в нем только примитив­ных вычислительных операций, обычно присутствующих на типичных микропроцессорах; быстротой, т.е. в базисных вычислительных операциях опе­раторы работают на полных словах данных; адаптивностью на процессоры различных длин слова. Число w бит в слове - параметр алгоритма; наличием параметра, отвечающего за «степень перемешива­ния», т.е. число раундов (итераций до 255). Пользователь мо­жет явно выбирать между более высоким быстродействием и более высоким перемешиванием; низким требованием к памяти, что позволяет реализовывать алгоритм на устройствах с ограниченной памятью; использованием циклических сдвигов, зависимых от данных, с переменным числом; простотой и легкостью выполнения. Алгоритм RC6 работает на четырех модулях w-бит слов и использует только четыре примитивных операции (и их инвер­сии), длина ключа до 2040 бит (255 байт). Алгоритм открыт для публикаций и полностью документирован, т.е. процедуры шиф­рования и расшифровывания «прозрачны» для пользователя. 2. Алгоритмы с обратным ключом. Асимметричные алгорит­мы шифрования. Эти алгоритмы, называемые также системами с открытым ключом, являются перспективными системами крип­тографической защиты. Их суть состоит в том, что ключ, исполь­зуемый для шифрования, отличен от ключа расшифровывания. При этом ключ шифрования не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помо­щью известного ключа шифрования невозможно. Для расшиф­ровывания используется специальный секретный ключ. При этом знание открытого ключа не позволяет определить ключ секрет­ный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом. Суть криптографических систем с открытым ключом сводит­ся к тому, что в них используются так называемые необратимые функции (иногда их называют односторонними или однонаправ­ленными), которые характеризуются следующим свойством: для данного исходного значения с помощью некоторой известной функции довольно легко вычислить результат, но рассчитать по этому результату исходное значение чрезвычайно сложно. Известно несколько криптосистем с открытым ключом, на­пример схема Т. Эль-Гамаля (Т. El Gamal), в которой использу­ется идея криптосистемы, предложенная У. Диффи (W. Diffie) и М. Э. Хеллманом (М. Е. Hellman), криптосистема RSA и др. Наиболее разработана система RSA, предложенная в 1978 г. Алгоритм RSA назван по первым буквам фамилий его авторов: Р. Л. Райвеста (R. L. Rivest), А. Шамира (A. Shamir) и Л. Адлема-на (L. Adleman). RSA - это система коллективного пользования, в которой каждый из пользователей имеет свои ключи шифрова­ния и расшифровывания данных, причем секретен только ключ расшифровывания. Специалисты считают, что системы с открытым ключом боль­ше подходят для шифрования передаваемых данных, чем для за­щиты данных, хранимых на носителях информации. Существует еще одна область применения этого алгоритма - цифровые под­писи, подтверждающие подлинность передаваемых документов и сообщений. Асимметричные криптосистемы считаются перспективными, так как в них не используется передача ключей другим пользова­телям и они легко реализуются как аппаратным, так и програм­мным способом. Однако системы типа RSA имеют свои недостатки. Они ра­ботают значительно медленнее, чем классические, и требуют дли­ны ключа порядка 300 - 600 бит. Поэтому все их достоинства могут быть сведены на нет низкой скоростью их работы. Кроме того, для ряда функций уже найдены алгоритмы инвертирова­ния, т.е. доказано, что они не являются необратимыми. Для фун­кций, используемых в системе RSA, такие алгоритмы не найде­ны, но нет и строгого доказательства необратимости используе­мых функций. Проектируемая надежная криптографическая система долж­на удовлетворять таким требованиям: процедуры шифрования и расшифровывания должны быть «прозрачны» для пользователя; дешифрование закрытой информации должно быть макси­мально затруднено; содержание передаваемой информации не должно сказывать­ся на эффективности криптографического алгоритма; • надежность криптозащиты не должна зависеть от содержания в секрете самого алгоритма шифрования (примерами этого являются как алгоритм DES, так и алгоритм ГОСТ 28.147 - 89). Стойкость любой системы закрытой связи определяется сте­пенью секретности используемого в ней ключа. Криптографичес­кие системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. Механизм обеспечения целостности данных применяется как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостнос­ти потока. Целостность блока обеспечивается выполнением вза­имосвязанных процедур шифрования и дешифрования отправи­телем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с крип­тографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в бло­ке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности пото­ка, который реализуется посредством шифрования с использова­нием ключей, изменяемых в зависимости от предшествующих блоков. Защита от несанкционированного копирования ценной компью­терной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему защиты интеллектуальной собственности, воплощенной в виде ценных баз данных. Данная защита обычно осуществляется с помощью спе­циальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверки по обращению к устройствам хра­нения ключа и ключевым дискетам и т.д), которые приводят исполняемый код защищаемой базы данных в состояние, препят­ствующее его выполнению на чужих машинах. Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или системной шине ПЭВМ. Необходимо иметь в виду, что подлежащие защите сведения могут быть получены «противником» не только за счет осуще­ствления проникновения к ЭВМ, которое с достаточной степенью надежности может быть предотвращено (например, все данные хранятся в зашифрованном виде), но и за счет побочных элект­ромагнитных излучений и наводок на цепи питания и заземления ЭВМ, а также на каналы связи. Все без исключения электронные устройства, блоки и узлы ЭВМ в той или иной мере имеют излучение, причем подобные побочные сигналы могут быть достаточно мощными и могут рас­пространяться на расстояние от нескольких метров до нескольких километров. При этом наибольшую опасность представляет по­лучение «противником» информации о ключах. Восстановив ключ, можно предпринять ряд успешных действий по овладению зашифрованными данными, которые, как правило, охраняются менее тщательно, чем соответствующая открытая информация. С этой точки зрения выгодно отличаются аппаратные и про­граммно-аппаратные средства защиты от несанкционирован­ного доступа, для которых побочные сигналы о ключевой инфор­мации существенно ниже, чем для чисто программных реали­заций. 10.2 Стандарты на создание систем защиты данных При создании корпоративных ЭИС возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация специализи­рованными организациями на соответствие международным и национальным стандартам. В этом случае повышаются эффек­тивность и качество разрабатываемых систем защиты данных и возрастает степень доверия заказчиков к внедряемым ЭИС. Основные понятия, требования, методы и средства проек­тирования и оценки системы информационной безопасности для ЭИС отражены в следующих основополагающих докумен­тах [12, 38-41]- «Оранжевая книга» Национального центра защиты компью­теров США (TCSEC); Гармонизированные критерии Европейских стран (ITSEC); Рекомендации Х.800; • Концепция защиты от НСД Госкомиссии при Президенте РФ . Знание критериев оценки информационной безопасности, из­ложенных в этих документах, способно помочь проектировщикам при выборе и комплектовании аппаратно-программной конфигу­рации ЭИС. Кроме того, в процессе эксплуатации администратор системы защиты информации должен ориентироваться на действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени будет претерпевать изменения, и нужно, во-первых, оценивать целесообразность модификаций и их последствия, во-вторых, соответствующим образом корректиро­вать технологию пользования и администрирования системой. При этом целесообразно знать, на что обращают внимание при серти­фикации, поскольку это позволяет сконцентрироваться на анали­зе критически важных аспектов, повышая качество защиты. Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защи­ты информации в ЭИС, изложенных в этих документах. «Оранжевая книга» Национального центра защиты компьютеров США (TCSEC) «Оранжевая книга» - это название документа, который был впервые опубликован в августе 1983 г в Министерстве обороны США. В этом документе дается пояснение понятия «безопасная система», которая «управляет посредством соответствующих средств доступом к информации так, что только должным обра­зом авторизованные лица или процессы, действующие от их име­ни, получают право читать, писать, создавать и удалять инфор­мацию». Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах. В «Оранжевой книге» надежная система определяется как «си­стема, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку инфор­мации разной степени секретности группой пользователей без нарушения прав доступа». Степень доверия, или надежность про­ектируемой или используемой системы защиты или ее компонен­тов, оценивается по двум основным критериям: 1) концепция безопасности; 2)гарантированность. /. Концепция безопасности системы защиты Концепция безопасности разрабатываемой системы - «это на­бор законов, правил и норм поведения, определяющих, как орга­низация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечи­вающие безопасность системы. Концепция безопасности - это активный компонент защиты, включающий в себя анализ возмож­ных угроз и выбор мер противодействия» [12]. Концепция безопасности разрабатываемой системы соглас­но «Оранжевой книге» должна включать в себя следующие эле­менты: произвольное управление доступом; безопасность повторного использования объектов; метки безопасности; • принудительное управление доступом. Рассмотрим содержание перечисленных элементов. 1.1. Произвольное управление доступом — это метод ограниче­ния доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управ­ления состоит в том, что некоторое лицо (обычно владелец объек­та) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту. С концептуальной точки зрения текущее состояние прав дос­тупа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, за­писываются способы доступа, допустимые для субъекта по отно­шению к объекту (например, чтение, запись, выполнение, возмож­ность передачи прав другим субъектам и т.п.). Очевидно, прямолинейное представление подобной матрицы невозможно, поскольку она очень велика и разрежена (т.е. боль­шинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (например, владе­лец/группа/прочие), или на механизме списков управления дос­тупом, т.е. на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры спис­ков управления доступом в разумных рамках. Большинство операционных систем и систем управления ба­зами данных реализуют именно произвольное управление досту­пом. Главное его достоинство - гибкость, главные недостатки -рассредоточенность управления и сложность централизованно­го контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы. 1.2. Безопасность повторного использования объектов - важ- ное на практике дополнение средств управления доступом, пре- дохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оператив- ной памяти (в частности, для буферов с образами экрана, рас- шифрованными паролями и т.п.), для дисковых блоков и магнит- ных носителей в целом. 1.3. Метки безопасности ассоциируются с субъектами и объек- тами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации. Согларно «Оранжевой книге» метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядочен­ное множество, которое может выглядеть, например, так: совершенно секретно; секретно; конфиденциально; несекретно. Главная проблема, которую необходимо решать в связи с мет­ками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной бе­зопасности появятся легкоиспользуемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правиль­ными. Одним из средств обеспечения целостности меток безопасно­сти является разделение устройств на многоуровневые и одно­уровневые На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в оп­ределенном диапазоне уровней). Одноуровневое устройство мож­но рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уро­вень устройства, система может решить, допустимо ли записы­вать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на прин­тере общего пользования с уровнем «несекретно» потерпит не­удачу. 1.4. Принудительное управление доступом основано на сопос­тавлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта до­минирует над меткой объекта. Смысл сформулированного пра­вила понятен, читать можно только то, что положено. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В част­ности, конфиденциальный субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий). После того как зафиксированы метки безопасности субъек­тов и объектов, оказываются зафиксированными и права досту­па. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту X еще и для пользова­теля 7». Конечно, можно изменить метку безопасности пользо­вателя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X. Принудительное управление доступом реализовано во мно­гих вариантах операционных систем и СУБД, отличающихся по­вышенными мерами безопасности. Независимо от практическо­го использования принципы принудительного управления явля­ются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удоб­нее проектировать в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. На прак­тике произвольное и принудительное управление доступом соче­тается в рамках одной системы, что позволяет использовать силь­ные стороны обоих подходов. Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является до­полнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории: идентификация и аутентификация; предоставление надежного пути; анализ регистрационной информации. Рассмотрим эти категории подробнее. Идентификация и аутентификация. Прежде чем получить право совершать какие-либо действия в системе, каждый пользо­ватель должен идентифицировать себя. Обычный способ иден­тификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользо­вателя, т.е. что он является именно тем, за кого себя выдает. Стан­дартное средство проверки подлинности (аутентификации) - па­роль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование ро­говицы или отпечатков пальцев) или их комбинация. Предоставление надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной ба­зой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути - дать пользователю воз­можность убедиться в подлинности обслуживающей его системы. Задача обеспечения надежного пути становится чрезвычайно сложной, если пользователь общается с интеллектуальным тер­миналом, персональным компьютером или рабочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «троянским конем». Анализ регистрационной информации - аудит имеет дело с дей­ствиями (событиями), затрагивающими безопасность системы. К таким событиям относятся: вход в систему (успешный или нет); выход из системы; обращение к удаленной системе; операции с файлами (открыть, закрыть, переименовать, уда­лить), • смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.). Полный перечень событий, потенциально подлежащих реги­страции, зависит от избранной системы безопасности и от специ­фики ЭИС. Протоколирование помогает следить за пользовате­лями и реконструировать прошедшие события. Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем. При протоколировании события записывается следующая инфор­мация: • дата и время события; уникальный идентификатор пользователя - инициатора дей­ствия; тип события; результат действия (успех или неудача); источник запроса (например, имя терминала); имена затронутых объектов (например, открываемых или уда­ляемых файлов); описание изменений, внесенных в базы данных защиты (на­пример, новая метка безопасности объекта); • метки безопасности субъектов и объектов события. Необходимо подчеркнуть важность не только сбора инфор­мации, но и ее регулярного и целенаправленного анализа. В пла­не анализа выгодное положение занимают средства аудита СУБД, поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы. Следователь­но, появляется возможность для выявления подозрительных дей­ствий применять сложные эвристики. 2. Гарантированностъ системы защиты Гарантированность - «мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (фор­мальной или нет) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выб­ранной концепции безопасности. Гарантированность можно счи­тать пассивным компонентом защиты, надзирающим за самими защитниками» [12]. Гарантированность - это мера уверенности, с которой мож­но утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий набор средств и что каждое из этих средств правильно исполняет отведенную ему роль. В «Оранжевой книге» рассматриваются два вида гаранта-рованности - операционная и технологическая. Операционная гарантированность относится к архитектурным и реализацион­ным аспектам системы, в то время как технологическая - к мето­дам построения и сопровождения. 2.1. Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и вклю­чают в себя проверку следующих элементов: архитектуры системы; целостности системы; анализа тайных каналов передачи информации; надежного администрирования; надежного восстановления после сбоев. Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подоб­ных архитектурных решений в рамках аппаратуры и операцион­ной системы - разделение команд по уровням привилегирован­ности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра ОС. В принципе меры безопасности не обязательно должны быть заранее встроены в систему - достаточно принци­пиальной возможности дополнительной установки защитных продуктов надежности компонентов. Целостность системы в данном контексте означает, что ап­паратные и программные компоненты надежной вычислитель­ной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки цело­стности. А нализ тайных каналов передачи информации - тема, специфич­ная для режимных систем, когда главное - обеспечить конфиден­циальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Обычно тайные каналы используются не столько для передачи информации от одного злоумышленника к другому, сколько для получения злоумышленником сведений от внедренного в систе­му «троянского коня». Надежное администрирование в трактовке «Оранжевой кни­ги» означает, что должны быть логически выделены три роли -системного администратора, системного оператора и админист­ратора безопасности. Физически эти обязанности может выпол­нять один человек, но в соответствии с принципом миними­зации привилегий в каждый момент времени он должен выпол­нять только одну из трех ролей. Конкретный набор обязаннос­тей администраторов и оператора зависит от специфики орга­низации. Надежное восстановление после сбоев - метод обеспечения гарантированное™, при котором должна быть сохранена це­лостность информации, в частности целостность меток безопас­ности. Надежное восстановление включает в себя два вида дея­тельности - подготовку к сбою (отказу) и собственно восста­новление. Подготовка к сбою - это и регулярное выполнение резервного копирования, и выработка планов действий в экст­ренных случаях, и поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или административных процедур. 2.2. Технологическая гарантированность охватывает весь жиз­ненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стан­дартами, чтобы обезопаситься от утечки информации и нелегаль­ных «закладок». Критерии, изложенные в «Оранжевой книге», позволили спе­циалистам ранжировать информационные системы защиты инфор­мации по степени надежности. В этом документе определяются четыре уровня безопасности (надежности) - D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он содержит две подсистемы управления дос­тупом. По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В под­разделяются на классы (CI, С2, Bl, В2, ВЗ) с постепенным возрас­танием надежности. Таким образом, всего имеется шесть классов безопасное™ - С1, С2, Bl, В2, ВЗ, А1. Чтобы система в результате процедуры сертафикации могла быть отаесена к некоторому клас­су, ее концепция безопасности и гарантарованность должны удов­летворять разработанной системе требований, соответствующей этому классу. 16-2639 Гармонизированные критерии Европейских стран (ITSrO) Следуя по пути интеграции, Европейские страны приняли со­гласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC) [12, 122], опубликованные в июне 1991 г. от имени соответствующих органов четырех стран - Фран­ции, Германии, Нидерландов и Великобритании. Принципиально важной чертой европейских критериев явля­ется отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запра­шивающая сертификационные услуги, формулирует цель оцен­ки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защит­ные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функци­ями, т.е. насколько корректны и эффективны архитектура и реа­лизация механизмов безопасности в описанных разработчиком условиях. Таким образом, в терминологии «Оранжевой книги» европей­ские критерии относятся к оценке степени гарантированное™ безопасной работы спроектированной системы. Европейские критерии рассматривают следующие основные понятия, составляющие базу информационной безопасности: конфиденциальность, т.е. защиту от несанкционированного получения информации; целостность, т.е. защиту от несанкционированного изменения информации; доступность, т.е. защиту от несанкционированного удержа­ния информации и ресурсов. В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд каса­ется лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем нужны функции безопасности? Второй уровень содержит спецификации функций безопасности, т. е. здесь вы­является, какая функциональность на самом деле обеспечи­вается. На третьем уровне содержится информация о механиз­мах безопасности, показывающих, как реализуется указанная функция. Критерии рекомендуют выделить в спецификациях реализуе­мых функций обеспечения безопасности более расширенный по сравнению с «Оранжевой книгой» состав разделов или классов функций. Идентификация и аутентификация. Управление доступом. Подотчетность. Аудит. Повторное использование объектов. Точность информации. Надежность обслуживания. Обмен данными. Чтобы облегчить формулировку цели оценки, европейские критерии содержат в качестве приложения описание десяти при­мерных классов функциональности, типичных для правитель­ственных и коммерческих систем. Пять из них (F-Cl, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги». Кроме того, в критериях определены три уровня мощности механизмов защиты- базовый, средний и высокий. Согласно кри­териям мощность можно считать базовой, если механизм спосо­бен противостоять отдельным случайным атакам Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностя­ми. Наконец, мощность можно считать высокой, если есть уве­ренность, что механизм может быть побежден только злоумыш­ленником с высокой квалификацией, набор возможностей и ре­сурсов которого выходит за пределы практичности. Важной характеристикой является простота использования продукта или системы. Должны существовать средства, инфор­мирующие персонал о переходе объекта в небезопасное состоя­ние (что может случиться в результате сбоя, ошибок админист­ратора или пользователя). Эффективность защиты признается неудовлетворительной, если выявляются слабые места, они не исправляются до оконча­ния процесса оценки. В таком случае объекту оценки присваива­ется уровень гарантированное™ ЕО. При проверке корректности объекта оценки - разработан­ной системы защиты применяются две группы критериев Пер­вая группа относится к конструированию и разработке системы или продукта, вторая - к эксплуатации разработанной системы. 16* Концепция защиты от НСД Госкомиссии при Президенте РФ В 1992 г. Гостехкомиссия при Президенте РФ опубликовала пять руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации [38-42]. Идейной основой набора руководящих документов является «Концепция защиты СВТ и АС от НСД к информации». Концеп­ция «излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от не­санкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации». Выделяют различные способы покушения на информацион­ную безопасность - радиотехнические, акустические, программ­ные и т.п. Среди них НСД выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированной систе­мой (АС). Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС. В Концепции формулируются следующие основные принципы защиты от НСД к информации: защита АС обеспечивается комплексом программно-техничес­ких средств и поддерживающих их организационных мер; защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функцио­нирования, в том числе при проведении ремонтных и регла­ментных работ; программно-технические средства защиты не должны суще­ственно ухудшать основные функциональные характеристи­ки АС (надежность, быстродействие, возможность изменения конфигурации АС); неотъемлемой частью работ по защите является оценка эф­фективности средств защиты, осуществляемая по методик


3953991634474791.html
3954031292923559.html

3953991634474791.html
3954031292923559.html
    PR.RU™