Модель оценивания защищенности информации в вычислительных системах и сетях тема диссертации и автореферата по ВАК РФ 05.13.13, кандидат технических наук Шишкин, Владимир Михайлович

Наиболее значимой, после угроз, связанных с биологическим выживанием человечества, в условиях современного мира представляется проблема информационной безопасности. Ее необеспеченность способна оказать негативное влияние на все ключевые аспекты деятельности человека, сводя на нет усилия по достижению безопасности в широком ее понимании. При этом информационная безопасность неразрывно связана с вопросами обеспечения безопасности информации в вычислительных системах.

Проблема обеспечения безопасности информации в различных своих аспектах крайне многообразна, при этом бесспорно, что факторы, влияющие на безопасность, образуют неразрывный, сложно взаимосвязанный и, к тому же, противоречивый комплекс, что признается, но в явном виде не учитывается действующими нормативами по защищенности. Значимость составляющих этого комплекса с точки зрения обеспечения и оценки защищенности информационных систем в разных условиях их функционирования и, что часто совсем упускается из виду, с учетом целей защиты, ресурсных ограничений и, соответственно, эффективности защиты может существенно изменяться. Действующая нормативная база не потеряла своей актуальности, но она разработана в качественно иных условиях и в классическом виде не способна дать адекватное современным и, тем более, перспективным потребностям методическое обеспечение целенаправленного выбора (проектирования) систем защиты информации (СЗИ) и метрического оценивания интегральной защищенности автоматизированных систем (АС).

Стало очевидным, что одноуровневые методы и средства защиты информации в вычислительных системах, распространенные в настоящее время, способны дать лишь ограниченный эффект при защите от избирательного вида угроз, то есть не исключено, что глобальный эффект от их применения может оказаться нулевым, если средства не сбалансированы по уровням и объектам защиты, выбраны случайным образом или без целенаправленного анализа источников и видов угроз. Причем сбалансированность следует понимать прежде всего как принцип, реализация которого в конкретных решениях зависит от условий и требований пользователей, тенденций технического развития и потому не имеет окончательного вида. Обеспечиваться она должна в гармоничном сочетании мер и средств на организационном, пользовательском, программном и аппаратном уровнях.

Становится очевидным, что динамика развития информационных технологий, технических и программных средств их поддержки, с одной стороны, и, как следствие, постоянная модификация поля угроз безопасности информации, а не только простое изменение номенклатуры угроз, с другой стороны, опережают процесс развития концептуальной и методической базы обеспечения информационной безопасности, как в широком, так и в узком смысле этого понятия. Ощущается недостаток исследований проблемы информационной безопасности с системологических позиций. В результате, с учётом постоянно изменяющихся условий, имеет место ситуация нарастающего хронического отставания решения проблем интегральной защищенности информационных объектов, в частности, ее оценивания.

Ведущим источником возникновения новых факторов при рассмотрении проблемы информационной безопасности стало фундаментальное противоречие между тенденцией к объединению и совместному использованию ресурсов, с одной стороны, и обеспечением защищенности информации, с другой. Противоречие это неустранимо, и пути решения возникающих отсюда проблем безопасности, как представляется, связаны прежде всего с гармоничным сочетанием централизации и децентрализации контроля в сети. Такое сочетание невозможно без адекватной оценки ситуации, разработки концептуальных основ существования в конфликтном, но уже неразрывно связанном, информационном пространстве, и создания необходимой материальной базы, способной обеспечить равноправные отношения субъектов информационных процессов.

Новейшие технологии обработки данных, глобализация компьютерных сетей и лавинообразный рост количества пользователей в них, распространение идеологии открытых систем способствуют возникновению качественно новых проблем, сущность и значимость которых с точки зрения обеспечения информационной безопасности не всегда ясна, тем более, что открытость нередко имеет односторонний характер. В то же время большинство коммерческих фирм применяют многоуровневые системы защиты, причём многие из них внутреннюю сеть строят по своим протоколам, что входит в противоречие с указанной идеологией. Например, DEC имеет сложную систему защиты SEAL, включающую идентификационный сервер, CRAY - защиту корпоративной сети, подобную Kerberos [39]. Следует также упомянуть среди получивших наибольшее распространение средств защиты в сети системы анализа трафика Firewall (брандмауеры) [45].

Множество используемых средств свидетельствует о том, что проблема безопасности в сети требует тщательного исследования как в каждом конкретном случае, при построении систем обработки данных, так и в общем, методологическом, плане. При этом важно отметить тот факт, что все перечисленные средства защиты через некоторое время подвергаются массированному "взлому", и рано или поздно защита может оказаться прёодолённой.

Интенсивный процесс включения России в мировое информационное пространство при отсутствии соответствующего нашим информационных ресурсам развитого технологического сервиса территориального уровня при очевидной полезности несёт в себе многочисленные угрозы безопасности, поскольку такое включение носит неравноправный характер [41]. Возникает возможность и соблазн информационной агрессии в той или иной форме, так что понятие "информационная война" перестаёт быть принадлежностью исключительно политической фразеологии и вполне обоснованно входит в научное употребление. Анализ имеющихся тенденций свидетельствует, что в XXI веке информационные конфликты громко заявят о себе [29].

Современный этап в развитии вычислительной техники и информационных технологий в целом отличается противоречивостью своего характера, и наиболее значимо данное обстоятельство проявляется в вопросах информационной безопасности, как многоуровневой и многоаспектной, понимаемой системно, причём это касается не только технических аспектов. Проблема "защиты от информации", уже назревшая, являясь пока скорее организационной или гуманитарной, должна будет найти свое решение и на техническом уровне. Наоборот, технические средства в открытых системах могут быть регламентированы международным правом или иными гуманитарными нормативами. Во всяком случае, становится актуальным рассмотрение правовых, психологических, политических и других нетрадиционных аспектов, при этом важность традиционных программно-технических и коммуникационных - не уменьшается, но изолированно они уже не обеспечивают полноты решения проблемы. Глобальные сетевые структуры, объединяющие большое количество локальных сетей, начинают проявлять свойства живых саморазвивающихся образований, эволюционируя по законам открытых биологических систем, поэтому чисто аналитические, одноуровневые подходы, являясь полезными, проблему защищенности в целом решить не способны, требуются адекватные подходы.

Следует отметить, что смысл открытых систем класса моделей ISO/OSI и открытых систем в биологии совпадают, так как и те, и другие являются неравновесными. В противоположность им полностью защищенные - закрытые - системы становятся равновесными, то есть теряют возможность развития и быстро устаревают, что делает опасным и бесперспективным использование технической и информационной изоляции в качестве средства защиты. Подобно биологическим открытым системам компьютерные системы защиты должны строиться согласно объектно ориентированной стратегии [25].

Для построения научно обоснованной системы защиты необходим глубокий объективный анализ поведения таких сложных систем как Internet. Однако информационная безопасность в сети никоим образом не может быть сведена, как это часто делается, лишь к рассмотрению криптографической защищённости трафика. Например, замечено, что при атаках, использующих чужое имя, могут происходить так называемые "ICMP-взрывы" (ICMP - протокол, используемый в Internet для ведения таблиц рассылки), которые при продуманной системе взлома приводят к лавинообразному выходу из строя сетевых компьютеров, так как при этом таблицы рассылки портятся, и часть машин в них будут помечены как недостижимые. Оказывается, что подобным образом ведут себя многие сложные системы различной природы [23]. Такое явление предлагается описывать в терминах теории "самоорганизованной критичности" [43]. В соответствии с этой теорией безопасность в сети должна оцениваться, исходя из её рассмотрения как целого объекта со сложной внутренней динамикой, а не как набора отдельных защищаемых элементов.

Предугадать поведение такой сложной системы на основе регламентированных средств обеспечения безопасности оказывается за пределами человеческих возможностей, то есть предвидеть слабые места в этой системе чрезвычайно трудно, но через них как раз и будет действовать потенциальный взломщик, и успешность его действий будет статистически закономерна, поскольку идеология средств защиты не учитывает такого рода эффекты.

Необходимо строить такую стратегию защиты, которая базировалась бы не на применении мощных средств для каждого узла, а на выработке индивидуальной концепции защиты узла, как неразделимого элемента всей сети. В дополнение к концепции сбалансированной защиты [2] в условиях открытых систем необходимо строить взаимосвязанную систему обеспечения безопасности, ключевым звеном которой должен быть объект, имеющий механизмы защиты, связанные с сетевой структурой в целом [25].

Существует разрыв между уровнями декларативной постановки проблем интегрального характера и конструктивных решений, имеющих частную значимость, который необходимо преодолеть. Реализация этого требования неизбежно предполагает создание адекватных по сложности и обладающих прогностическими свойствами моделей защищенности, для чего, возможно, требуется не только увеличение количества или детализация уровней в стандартных моделях, но и усложнение их структуры, поиск принципиально новых подходов, рассчитывать обойтись простыми моделями неправомерно. Тем не менее, пока не выработана концептуальная база опережающих разработок по защите информационных объектов, методов получения интегральной оценки их защищенности, следует приветствовать многообразие подходов и моделей, если они дают конструктивные результаты.

Владельцы и разработчики информационных систем должны принять уже как бесспорное требование, что концепция защиты в них должна разрабатываться по крайней мере синхронно с самой информационной системой, являясь её органической составляющей, а в особо критичных случаях быть ведущей, определяя системотехнические решения. При этом предварительно и однозначно должны определяться цель и критерии оценки защищенности, а модель защиты следует сделать по возможности полной и связной.

Очевидно, назрела потребность в наличии и использовании инструментальных средств, позволяющих автоматизировать процесс выбора средств и конфигурации систем защиты информации и оценки защищенности объектов как в терминах стандартных моделей классификации уровня защищённости, так и индивидуализированных показателей. В связи с этим актуальной задачей является разработка гибких, способных к развитию моделей, не отвергающих классические и частные подходы к оценке защищенности, но увязывающие в единую структуру, замкнутую на цель, все элементы и факторы, имеющие значимость с точки зрения безопасности информации, что позволит настраивать их на решение разнообразных прикладных задач.

Выводы.

1. Конструктивный анализ защищенности невозможен без хорошо структурированной модели, в которой должны быть определить принципы, порождающие классы объектов, субъектов и событий воздействий, что следует из классических представлений, позволяющей определить принадлежность элементов моделируемой системы к тому или иному классу и отношения между ними. Одним из необходимых принципов следует считать разделение системы на защищаемый объект и среду и их противопоставление.

2. Анализ системы и синтез СЗИ должны быть целенаправленны, оценка защищенности, произведенная без учета цели защиты и конкретных условий функционирования защищаемого объекта, которые отражаются на значимости всех элементов, не может считаться обоснованной.

3. На основе предложенных принципов разработана модель, способная отобразить при анализе и оценке результативности СЗИ сложное взаимодействие элементов моделируемой системы, учитывающая трудно предсказуемые мультипликативные эффекты удаленных косвенных влияний и циклических связей между элементами.

4. Представленная методика анализа защищенности, поддержки синтеза СЗИ и оценки результативности защиты, включающая разработанную модель, расчетный алгоритм и технологию применения, рассчитана на использование в современной объектно-ориентированной среде проектирования и показала на практике свою применимость и целесообразность.

Заключение

1. Проведено исследование различных аспектов современного состояния проблемы информационной безопасности в вычислительных системах и сетях, показывающее необходимость изменения подхода к проектированию систем защиты и оцениванию защищенности: от отдельных устройств и методов защиты и измерения отдельных показателей к технологии обеспечения защиты и объективно обоснованным интегральным оценкам защищенности.

2. Проведен анализ нормативной базы и существующих подходов к построению и оценке защищенных систем, подтверждающий важность понятийного базиса, определяемого действующими нормативами, но показывающий при этом, что они морально устарели и требуют для своего развития преодоления концептуальной ограниченности.

3. Предложена концептуальная модель «объект-среда-защита», основанная на причинной обусловленности связей между ее элементами.

4. Разработана модель комплексного целевого анализа безопасности информационных объектов, поддержки проектирования, оценки и выбора СЗИ.

5. Предложен комплекс объективно обусловленных показателей и критерии эффективности применения СЗИ, сформулировано и обосновано необходимое условие его экономической эффективности.

6. Разработан унифицированный матричный алгоритм, позволяющий производить полный комплекс расчетов на модели.

7. Разработана методика и технология применения модели, рассчитанная на использование в современной объектно-ориентированной среде проектирования.

1. Акофф Р., Эмери Ф. О целеустремленных системах. М.: Советское радио, 1976. - 272 с.

2. Афанасьев С.В., Воробьёв В.И., Шишкин В.М. Угрозы безопасности информации и проблема защищённости вычислительных систем.// IV Санкт-Петербургская меж д. конф. "Региональная ин-форматика-95".Труды конф. СПб, 15-18 мая 1995 г., с.118-120.

3. Афанасьев С.В., Солнцев Ю.А. Объектно-ориентированный подход в безопасности INTRANET. //VI Санкт-Петербургская межд. конф. «Региональная информатика-98». Сб.тез.докл. СПб, 2-4 июня 1998 г. С.109-111.

4. Беллман Р. Введение в теорию матриц. М.: Наука, 1969. -368 с.

5. Вовченко В.В., Степанов И.О. Проблемы защиты информации от экономическогно шпионажа. // «Защита информации», №1, СПб.: "Конфидент", 1994. С.48-64.

6. Воеводин В.В., Кузнецов Ю.А. Матрицы и вычисления. М.: Наука, 1984. - 320 с.

7. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Военное издательство, 1992. -36 с.

8. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Военное издательство, 1992. -12 с.

9. Дейтел Г. Введение в операционную систему. М.: Мир, 1986 г., том.1,2. - 546 с.

10. Дружинин В.В., Конторов Д.С. Проблемы системологии. -М.: Советское радио, 1976. 296 с.

11. Зарубежная радиоэлектроника. №12, 1989 г.

12. Защита информации в компьютерных системах. Теоретические аспекты защиты от вирусов. /Под редакцией проф. Шмакова Э.М. СПБ.: Изд. СПбГТУ, 1993 г. 102 с.

13. Защита программного обеспечения. /Под редакцией Д.Гроувера. М.: Мир, 1993 г. - 285 с.

14. Иванов В., Залогин Н. Активная маскировка побочных излучений вычислительных систем. // КомпьютерПресс. № 10, 1993 г.

15. Карпов А.Г. Нормативно-правовое обеспечение защиты информации. // «Защита информации», № 1, СПб.: "Конфидент", 1994. С.6-12.

16. Кемени Дж., Снелл Дж. Конечные цепи Маркова. М.: Наука, 1970. - 337 с.

17. Кристофидес Н. Теория графов. Алгоритмический подход. -М.: Мир, 1978. 432 с.

18. Кузнецов О.П., Адельсон-Вельский Г.М. Дискретная математика для инженера. М.: Энергоатомиздат, 1988. - 480 с.

19. Липаев В.В. Программно-техническая безопасность информационных систем. М.: Изд. МИФИ, 1996 г. - 248 с.

20. Малинецкий Г.Г., Митин Н.А. Нелинейная динамика в проблеме безопасности. // Новое в синергетике. Загадки мира неравновесных структур. М.: Наука,1996. 196 с.

21. Математика в социологии: моделирование и обработка информации. Часть 1, Причинный анализ, структура и динамика. -М.:Мир, 1977. 551 с.

22. Митчел Дж., Гиббоне Дж. и др. Система Spring.// Открытые системы, № 1, 1995, с.40-46.

23. Моисеенков И. Компьютер Пресс, № 12, 1991, с.64.

24. Новожилов В.В. Проблемы измерения затрат и результатов при оптимальном планировании. М.: Наука, 1972. - 354 с.2 8. Панфилов И. В., По ловко A.M. Вычислительные системы. /Под ред. проф. Половко A.M. М.: Советское радио, 1980. - 304 с.

25. Папикян В.М. Информационная война и региональная безопасность.// V Санкт-Петербургская межд. конф. "Региональная ин-форматика-96", Сб.тезисов докл. СПб, 14-17 мая 1996 г. С.118-119.

26. Першин А. Организация защиты вычислительных систем. // КомпьютерПресс. №№ 10,11, 1992 г.31 .Политехнический словарь. М.: Советская энциклопедия, 1977. - С.124.

27. Президент Российской Федерации. Указ от 3 апреля 1995 г. № 334 "О мерах по соблюдению законности в области разработки,производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации".

28. Спесивцев А.В., Вегнер В.А. и др. Защита информации в персональных ЭВМ. М.: Радио и связь, 1992 г. - 190 с.

29. Теория и практика обеспечения информационной безопасности. /Под ред. П.Д.Зегжды. М.:Изд.Агенства «Яхтсмен», 1996 г.-192 с.

30. Тихонов В.П., Миронов В.А. Марковские процессы. М.: Советское радио, 1977. - 488 с.

31. Толковый словарь по вычислительным системам. /Под ред.

32. B.Иллингуорта и др.: Пер.с англ. М.: Машиностроение, 1991.1. C.505.

33. Федеральный Закон "Об информации, информатизации и защите информации". // "Российская газета", 22 февраля, 1995.

34. Хованов Н.В. Анализ и синтез показателей при информационном дефиците. СПб: Изд СПбГУ, 1996. - 196 с.

35. Храмцев П. Лабиринт Internet. М.: Электроинформ, 1996.

36. Хэйс Д. Причинный анализ в статистических исследованиях. /Пер.с англ. М.: Финансы и статистика, 1981. - 255 с.

37. Юсупов P.M. и др. Безопасность информационных ресурсов региона при интеграции в международные телекоммуникационные сети. //V Санкт-Петербургская межд. конф. «Региональная инфор-матика-96». Сб.тез.докл. СПб, 13-16 мая 1996 г. С.131-132.

38. Abrams Marshall D. and Podell Harold J. Computer and Network Security, 1991.

39. Bak P., Tang C., Wiesenfeld K. Self-Organized Criticality.// Phys.Rev.A., 1988, Vol.38, № 1, p.364-374.

40. Bell D.E. and LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. // MTR-2997 Review, Vol 1, MITRE Corp., Bedford, Mass., March 1976.

41. Cheswick W.R., Bellovin S.M. Firewalls and Internet Security: Repelling the Wily Hacker. Addison-Wesley, 1994.

42. Clark D., Wilson D. A Comparison of Commercial and Military Computer Security Policies. //Proceedings of the IEEE Symposium on Research in Security and Privacy, 1990.

43. Denning D.E. A Lattice Model of Secure Information Flow. // Communications of the ACM, Vol. 19, № 5, 1976.

44. DoD 5200.28-STD Trusted Computer System Evaluation Criteria, CSC-STD-001-83.

45. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France Germany - the Netherlands - the United Kingdom. - Department of Trade and Industry, London, 1991.

46. Lampson B.W. Protection. // ACM Operating Systems Review, Vol 8, №1, 1974.

47. Landwehr C.E. Formal Models for Computer Security. // ACM Computing Surveys, Vol. 13, № 3, 1984.

48. McLean J. Security Models. // Enciclopedia of Software en-geneering, 1994.

49. Millen J.K. Security Kernel Validation in Practice. //Communications of the ACM, Vol 19, № 5, 1976.

50. Saltzer J.H. and Shroeder M.D. The Profection of Information in Computer Systems. //Proceedings of the IEEE, Vol 63, № 9, 1975.

51. Seawright L.H.and MacKinnon R.A. :VM/370 A Study of Multiplicity and Usefulness". //IBM Systems Journal, Vol 18, № 1, 1979.

52. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800. CCITT, Geneva, 1991. 57.Sobell Mark Ct. A Practical to the UNIX System, 1994.

53. The Generally Accepted System Security Principles (GSSP). Exposure Draft. GSSP Draft Sub-committee, 1994.

54. Trusted Computer System Evaliation Criteria. // Department of Defense. DoD 5200.28-STD, 1983.