19.09.2001, среда

 

Некоторые аспекты реализации политики информационной безопасности

Защищенность информационных систем и сетей напрямую связана с возможностью несанкционированного влияния на них со стороны источника угроз. В качестве потенциального канала воздействия на систему (сеть) следует рассматривать каждую "точку", через которую человек может влиять на работу информационной системы (если возможные воздействия не контролируются системой защиты).

Стандартная информационная технология условно может быть описана следующим образом:
  • ОПЕРАТОР
  • за ПЭВМ в ЛВС
  • с ОПЕРАЦИОННОЙ СИСТЕМОЙ,
  • используя ППО
  • и ДАННЫЕ,
  • формирует электронный документ (ЭлД),
  • передаваемый в автоматизированные системы (АС)
  • (в том числе в удаленные по КАНАЛАМ СВЯЗИ),
  • обрабатываемый в АС,
  • хранимый в АС,
  • используемый в АС.
Здесь выделены элементы (субъекты - ОПЕРАТОР, объекты - ПЭВМ, ОС и др.) системы, посредством которых может осуществляться влияние на состояния других элементов.

Как видно, первым критическим элементом в системе является ОПЕРАТОР. Как правило, несанкционированный доступ (НСД) осуществляется именно оператором, однако доказать его участие удается далеко не всегда. Известен случай, когда заведомо ложные финансовые документы были отправлены, а затем и исполнены. Расследование выявило, с какого терминала был отправлен поддельный документ, но доказать причастность оператора не удалось, хотя никто другой осуществить эту операцию не мог по техническим причинам. Действительно, на отправленном с терминала АС документе "отпечатков пальцев" оператора не остается. Обычной является ситуация, при которой можно определить терминал, с которого был осуществлен НСД, но невозможно установить оператора, управлявшего терминалом. Здесь проблема связана с тем, что с точки зрения информационной системы источником НСД является не оператор и не терминал, а именно пара <оператор - терминал>. Таким образом, важнейшим элементом информационной безопасности в этой части является аутентификация оператора относительно терминала и защита компьютера от НСД. Если для оператора аутентификация уже была осуществлена, то аналогично следует осуществить контроль ПЭВМ, а именно: установить факт отсутствия каких-либо изменений, т.е. целостность технического состава ПЭВМ, а также целостность операционной системы.

Следующий этап - выполнение функциональных работ оператором на ПЭВМ. Здесь определяются еще два элемента, влияющих на уровень защищенности - это прикладное программное обеспечение (ППО) и данные, размещенные на дисках ПЭВМ. Таким образом, перед началом этого этапа следует осуществить контроль целостности ППО и данных.

"Правильная" программа, использующая "правильные" данные, дает "правильный" результат далеко не всегда. Необходимым условием является еще и "правильность" окружения - для программы и данных это операционная система. Таким образом, нам необходимо установить также и целостность ОС.

Обеспечив безопасную работу оператора за ПЭВМ, следует обратить внимание на взаимодействие ПЭВМ со средствами ЛВС. Действительно, механизмы взаимодействия ПЭВМ и ЛВС представляют собой ту самую точку, посредством которой человеком может быть оказано влияние на информационную систему. Если с ЛВС взаимодействует защищенная ПЭВМ (как описано выше), то с её стороны нарушений информационной технологии быть не может. Однако со стороны любой несанкционированно подключенной к ЛВС ПЭВМ возможны негативные воздействия. В этой связи необходимым является контроль технического состава ЛВС.

Легальный оператор на проверенной ПЭВМ, с проверенными ОС, ППО и данными, без нарушения информационной технологии создает правильный электронный документ. Вслед за этим начинается "самостоятельная жизнь" электронного документа - он обрабатывается, хранится, передается и исполняется. Пока ЭлД находится "внутри" защищенной системы, его изменение возможно лишь в результате ошибок (сбоев) программных и технических средств. Более сложным является процесс передачи - как правило, каналы размещены вне охраняемой зоны. Свойства канала обычно неконтролируемые, и в этой связи сам документ должен обладать специфическими свойствами, позволяющими установить его (ЭлД) подлинность. Кроме того, критическим сегментом являются все точки взаимодействия информационных систем со средой - т.к. через любую из них может быть осуществлено разрушающее программное воздействие (РПВ).

Какими же средствами должна осуществляться защита компьютерных систем? Здесь основной спор между разработчиками средств защиты до недавнего времени проходил по плоскости "Hard" или "Soft", т.е. можно ли с помощью программных средств надежно защитить программные средства. В настоящее время этот вопрос решен - надежная защита возможна только на основе специализированных аппаратных средств. Строгое доказательство приведено в [1], ниже приведем условные, ассоциативные иллюстрации основным положениям концепции аппаратной защиты.

Одна из основных идей - так называемая "мультипликативная парадигма". Ее можно проиллюстрировать примерно так - вероятность того, что система защиты отразит атаку, описывается произведением аналогичных вероятностей для каждого элемента защиты. Естественно, что если даже всего один сомножитель в произведении равен нулю, то равно нулю и результат умножения. Иллюстрация очевидна - если в заборе есть дыры, то высота забора уже не влияет на защищенность. "Мягкая" защита - уже не защита. Современный уровень предполагает признание мультипликативной парадигмы защиты, и, как следствие, равное внимание реализации контрольных процедур на всех этапах работы АС;

МУЛЬТИПЛИКАТИВНАЯ ПАРАДИГМА
Уровень защищенности АС не выше уровня защищенности самого слабого звена

Если в комплексе мер
(О, ужасный пример!)
Слабое есть звено,
То защита систем
Ненадежна совсем, -
Даже если оно одно!
Ведь защита -
Такой деликатный предмет:
Если что-то забыл,
Безопасности нет!

Можно ли с помощью программных средств проконтролировать другие программные средства? Эта задача очевидно сводится к фундаментальным теоремам Геделя и Клини, к известной задаче о самоприменимости. На базе результатов теории алгоритмов можно с уверенностью утверждать, что попытка контроля программных средств посредством других программ полностью эквивалентна известной попытке вытащить себя за волосы из болота (синдром Мюнгхаузена). Не секрет также, что такая попытка может быть успешной лишь в одном случае - если стать на кочку рядом - "Принцип Архимеда". В этой связи для серьезных систем и сетей можно настаивать на последовательном отказе от программных методов контроля, как очевидно ненадежных (преодоление "синдрома Мюнхгаузена") и перенос наиболее критичных контрольных процедур на аппаратный уровень ("принцип Архимеда");

"СИНДРОМ МЮНХАУЗЕНА""ПРИНЦИП АРХИМЕДА"
Преодоление"Синдрома Мюнхаузена" состоит в последовательном отказе от программных методов контроля, как очевидно ненадежных "Принцип Архимеда"состоит в переносе наиболее критичных контрольных процедур на аппаратный уровень - создание "точки опоры"

Теперь в принятом нами духе формулируется и "основной вопрос информационной безопасности" - что первично - "Hard" или "Soft"? Как и в основном вопросе философии, решение его - дело вкуса. Однако строгий анализ позволяет настаивать на "материалистическом" решении "основного вопроса" информационной безопасности.

HARD ИЛИ SOFT?
Вопрос о первичности
Спорен всегда,
Мы против гаданий и карт,
Конечно, не нужен нам
Хард без Софта,
Но точка опоры - Хард

В любой защищенной компьютерной системе можно обнаружить, что защита основана либо на секретности алгоритма, либо на секретности данных. Где же нужно хранить пароли, ключи и др.? Ответ на этот вопрос дает принцип "Отчуждай и властвуй", состоящий в максимально возможном разделении условно-постоянных (программы) и условно-переменных (данные) элементов контрольных операций.

ОТЧУЖДАЙ И ВЛАСТВУЙ
Разделение программ и данных способствует повышению конфиденциальности

Отчуждая информацию, знаем и верим:
Чтоб хозяину вор помешать не мог,-
Запирая, ключ не клади под дверью,
А то не спасет никакой замок!
Чтобы все было в жизни правильно,
Надежно и безопасно,
Помни основополагающее правило:
Отчуждай и властвуй!

Защита электронных документов

Комплекс государственных стандартов "Унифицированные системы документации" содержит требования к построению, изложению и оформлению различных видов документов. Стандарты определяют виды применяемых бланков организации, состав реквизитов, обеспечивающих юридическую силу документов и позволяющих идентифицировать документы, унифицирующих процедуру подготовки, обработки и использования документов в условиях применения средств автоматизации, и некоторые другие аспекты документационного обеспечения управления.

Cам по себе бумажный носитель может являться источником реквизитов, позволяющих установить подлинность (а, следовательно, и юридическую значимость) документа. Носителем же электронного документа (ЭлД) является объект информатизации (например, магнитный носитель или Интернет). По этой причине необходимо установить связь реквизитов ЭлД и объекта информатизации (ОИ), являющегося носителем ЭлД в его жизненном цикле.

Электронный документ представляет собой не просто совокупность сведений, а, как и его бумажный аналог, должен содержать ряд специфических элементов - их можно назвать трейлерами безопасности - внедренных в документ и несущих в себе информацию о подлинности объекта.

Для ряда важных документов набор трейлеров безопасности, позволяющих восстановить с той или иной точностью характерные этапы техпроцесса, фиксирован нормативными документами. Сведения становятся документом лишь тогда, когда в процессе отображения их на материальный носитель используются специальные приемы нанесения меток, позволяющих установить подлинность сведений, придавая им тем самым юридическую значимость.

Представляется, что именно такой подход должен быть применен и в электронном документообороте.

Разница лишь в том, что для бумажного документа нарушение технологии определяется известными методами контроля, а вот методы контроля для ЭлД следует разработать. Нынешние наши представления об электронном документе состоят в том, что специфика электронного документа, его отличие от традиционного (бумажного), аналогового документа, имеет системный характер, а именно:
  1. Принципиально разная природа электронного и аналогового документа (АнД) обусловлена качественной несопоставимостью аналитического и образного мышления. АнД является агентом информационного взаимодействия в аналоговой среде - среде мыслящих субъектов, людей. При восприятии и обработки информации человеком доминирует образное мышление, базирующееся на предварительном обучении и накоплении опыта: поощрении правильной реакции на образ и наказании в случае ошибки. ЭлД является агентом информационного взаимодействия в электронной среде - среде неодушевленных объектов, программно-технических средств вычислительной техники и информатики. мыслящих субъектов. Восприятие и обработка информации этими объектами базируется на технической интерпретации логических правил и операций действий с дискретными множествами (конечными цифровыми последовательностями).
  2. Аналоговая среда существования документа - система субъектов (людей), взаимодействующих на основе неформальных (язык, традиции, обычаи и пр.) и формальных (нормативно-законодательная база) правил обработки, хранения и передачи информации, представленной в образной форме. Правила устанавливаются обществом и базируются на причинно-следственных взаимосвязях различных явлений (образов), установленных в процессе развития и становления общества.

    Электронная среда существования - система объектов (технических и программных средств вычислительной техники), взаимодействующих на основе формальных правил (архитектура, стандарты, технические параметры устройств, языки программирования и пр.) обработки, хранения и передачи информации, представленной в цифровой форме. Правила устанавливаются человеком и базируются на объективных логических законах.

  3. В силу одинакового функционального назначения при сравнении ЭлД и АнД должен выполняться принцип симметрии: каждой группе характеристик АнД в аналоговой среде соответствует подобная группа характеристик ЭлД в электронной среде.

  4. Электронная и аналоговая среды существования есть замкнутые среды. Взаимодействие сред реализуется на основе специального интерфейса. Интерфейс преобразует образ аналоговой среды (в том числе документы, включая и отдельный знак, как очень "короткий" документ) в дискретное множество сигналов электронной среды. И наоборот - дискретное множество в образ (аналоговый документ, знак).

  5. Аналоговый документ существует только в аналоговой среде и не может восприниматься объектом электронной среды, программно-техническим средством; в аналоговой среде нет места электронному документу. Электронный документ существует только в электронной среде и не может восприниматься субъектом аналоговой среды, человеком; в электронной среде нет места аналоговому документу.

    Изображение на мониторе или распечатка есть аналоговый, но не электронный, документ, имеющий, правда, некоторое фиксированное отношение к исходному ЭлД. При вводе текста с клавиатуры электронный документ формируется ЭВМ самостоятельно, независимо от желания печатающего, из множества "маленьких" ЭлД, генерируемых поочередным нажатием клавиш.

  6. Аналоговый документ отображается ограниченным непрерывным (информационным) множеством точек (элементов, сигналов), имеющим бесконечную мощность (количество элементов). Электронный документ отображается ограниченным дискретным, цифровым (информационным) множеством точек (элементов, сигналов), имеющим конечную мощность (количество элементов).

  7. Доминирующим в аналоговой среде существования документа является параллельный ввод информационных сигналов и их параллельная обработка. Доминирующим в электронной среде существования документа является последовательный ввод информационных сигналов и их последовательная обработка.

  8. Результат восприятия и/или обработки аналогового документа принципиально является приближенным, неоднозначным. Результат восприятия и/или обработки электронного документа принципиально является точным.

    В аналоговой среде нет места "тождественности", здесь существует только "похожесть". В электронной среде нет места "похожести", здесь существует только "тождественность, точность, однозначность".

  9. Аналоговый документ есть статический объект - в любой момент времени состояние АнД постоянно и может быть зафиксировано. Электронный документ при его активизации есть динамический объект: его состояние меняется во времени и не может быть зафиксировано.

    Адекватное восприятие АнД возможно в любой момент при сколь угодно малом, в принципе, времени наблюдения. Индикация ЭлД возможна только в дискретные моменты времени и для его адекватного восприятия принципиально необходим конечный, строго больший нуля, период индикации. Электронная среда есть среда дискретная не только в смысле отображения ЭлД конечным множеством, но и среда дискретной активизации, среда дискретного активного существования документа

  10. Множество подобных документов (реализаций документа) можно описать иерархией признаков эквивалентности, начиная от самого общего, совпадающего для всех документов множества, и переходя к более детальным, характеризующим подмножества. Если иерархия признаков эквивалентности позволяет дойти до отдельной реализации, экземпляра, то говорят, что реализации различимы.

    Понятия "идентичные, одинаковые документы, экземпляры документа" имеют смысл тогда и только тогда, когда не просто существует, но индицируется признак, параметр, позволяющий различать один документ (экземпляр) от другого, когда документы различимы.

  11. Любые две реализации аналоговых документа, как правило, различимы. В качестве признака эквивалентности низшего уровня, индикатора отдельной реализации (экземпляра), обычно могут быть использованы физические координаты носителя АнД. Применительно к аналоговому документу указанные понятия имеют, как правило, содержательный смысл, и их использование правомерно.

    Индикация признаков эквивалентности низких уровней иерархии для электронного документа требует неоправданно высоких затрат и, чаще всего, практически нереальна. Любые две реализации электронного документа, как правило, неразличимы. Применительно к электронному документу понятия "идентичные", "одинаковые", "экземпляры" ЭлД теряют содержательный смысл, и их использование возможно только как исключение из правил.

    Аналоговый документ есть, в общем случае, множество различимых реализаций. Электронный документ есть, в общем случае, множество неразличимых (эквивалентных) реализаций.

  12. В отличие от аналогового документа, проблема практического применения электронного документа не может базироваться на предпосылке различимости его реализаций. Идентификация электронного документа, т.е. множества реализаций, должна решаться в предположении существования множества эквивалентных неразличимых реализаций.

    Юридическую силу имеет электронный документ, рассматриваемый только как множество реализаций, но не как отдельная реализация. Так как все реализации ЭлД-множества эквиваленты (одинаковы), то любая реализация представительна с позиций описания характеристик множества, за исключением его мощности (числа элементов). Для применения электронных документов многократного действия достаточно регистрации любой реализации. Для применения электронных документов однократного действия необходимо дополнительно гарантировать однократность регистрации множества реализаций. Разработка теоретических основ электронного документооборота продолжается, но уже сейчас можно предположить, что решение этой задачи будет связано с ощутимыми изменениями как в наших представлениях о документе, так и в инфраструктуре информационного взаимодействия.

    Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS