Экономическая информатика

Московский государственный университет
путей сообщения (МИИТ)

Кафедра “Экономическая информатика”

Защита информации
в вычислительных системах
УЧЕБНОЕ ПОСОБИЕ

М о с к в а - 2008

Московский государственный университет
путей сообщения (МИИТ)

Кафедра “Экономическая информатика”
Защита информации
в вычислительных системах

под редакцией доцента В.И.Морозовой

Рекомендовано редакционно-издательским

советом университета в качестве учебного пособия

для студентов специальности 080801
«Прикладная информатика (в экономике)»

М о с к в а - 2008

УДК 004.056.57

М 80

Морозова В.И., Врублевский К.Э. Защита информации в вычислительных системах. Учебное пособие/ Под ред. В.И.Морозовой - М.: МИИТ, 2008 - 122 c.

В учебном пособии изложены особенности организации защиты информации в вычислительных системах. Рассмотрены методы защиты информации; информационная, функциональная безопасность корпоративных систем; криптографические методы защиты; криптографические протоколы; методы и средства борьбы с компьютерными вирусами; правовые и организационные методы защиты информации. Представлено описание некоторых программных методов и средств по криптографии и стеганографии.

Учебное пособие предназначено для студентов специальности 080801 «Прикладная информатика (в экономике)».

Рецензенты: доцент каф. УИТС МИИТа, к.т.н. В.М.Максимов,

С.н.с. ВЦ РАН, к.ф.-м.н. А.Н.Соломатин.

университет путей сообщения

(МИИТ), 2008
С о д е р ж а н и е : стр.

Введение 4

1. Методы защиты информации 6

1.1. Предмет и объект защиты информации 6

1.2. Угрозы безопасности информации в компьютерных системах 9

1.3. Краткий обзор современных методов защиты информации 10

1.4. Вопросы для самоконтроля 13

2. Информационная безопасность корпоративных систем 14

2.1. Интегрированная система информационной безопасности 14

2.2. Защита документооборота в вычислительных системах 17

2.3. Вопросы для самоконтроля 22

3. Функциональная безопасность корпоративных систем 23

3.1. Основные этапы построения систем безопасности корпоративных систем 26

3.2. Вопросы для самоконтроля 31

4. Комплексные системы защиты информации 33

4.1. Основные этапы создания комплексной системы защиты информации 35

4.2. Моделирование комплексных систем защиты информации 38

4.3. Методы оценки систем защиты информации 41

4.4. Эффективность комплексных систем защиты информации 48

4.5. Организационная структура комплексных систем защиты информации 58

4.6. Вопросы для самоконтроля 66

5. Криптографические методы защиты 68

5.1. Сообщение и шифрование 73

5.1.1. Методы замены (подстановки) и перестановки 74

5.1.2. Аддитивные методы шифрования 78

5.1.3. Криптографические алгоритмы и ключи 79

5.1.4. Стойкость алгоритмов 80

5.1.5. Компьютерные алгоритмы 81

5.2. Стеганография 82

5.2.1. Защита от стеганографии. 88

5.3. Кодирование 88

5.4. Сжатие 89

5.5. Сравнение аппаратного и программного шифрования 92

5.6. Вопросы для самоконтроля 93

6. Криптографические протоколы 95

6.1. Атаки на криптографические протоколы 95

6.2. Элементы и понятия протоколов 96

6.3. Методы криптографии 98

6.4. Управление ключами 99

6.5. Типы алгоритмов и режимов шифрования 100

6.6. Примеры практических реализаций 103

6.7. Вопросы для самоконтроля 105

7. Компьютерные вирусы 106

7.1. Методы и средства борьбы с компьютерными вирусами 108

7.2. Вопросы для самоконтроля 109

8. Правовые и организационные методы защиты информации в Компьютерных системах 110

8.1. Вопросы для самоконтроля 112

9. Программные методы и средства по криптографии 113

10. Программные средства по стеганографии 116

Глоссарий 118

Список литературы 120

Введение
Информационная безопасность в компьютерных и коммуникационных системах является одной из самых актуальных тем на сегодняшний день. В настоящее время многие организации столкнулись с потерей жизненно важной информации, вызванной сбоями компьютерных систем, несанкционированным проникновением злоумышленников в их корпоративные сети.

С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т.д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки для доступа к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного несанкционированного доступа к информации (НСД).

С появлением сложных АСУ, связанных с автоматизированным вводом, обработкой, накоплением, хранением, выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали:

увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью вычислительной техники;
сосредоточение в единых базах данных информации различного назначения и принадлежности;
расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных;
усложнение режимов функционирования технических средств вычислительной системы: широкое внедрение многопрограммного режима, режима разделения времени и реального времени;
автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях;
увеличение количества технических средств и связей в автоматизированных системах управления и обработки данных.

Актуальной задачей на сегодняшний день является организация защиты информации в корпоративных сетях. Главными отличительными особенностями корпоративной сети можно считать централизованное управление сетью связи и заданный уровень сохранности информации, накапливаемой и обрабатываемой в сети корпорации, а также учет средств и каналов связи всех существующих подсетей.

Функциональные требования обуславливают концепцию защищенности сети. Они определяют не только конфигурацию корпоративной сети, но и ограничения на использование сетевых протоколов. В корпоративной локальной вычислительной сети (ЛВС) должно обеспечиваться физическое разделение (подключение к различным связным ресурсам) серверов и рабочих мест, т.е. необходима организация подсетей рабочих мест и серверов. Для эффективного функционирования сети централизованно должны быть реализованы службы административного управления, перечень которых определяется архитектурой управления взаимодействием открытых систем. В этот перечень входят службы управления: эффективностью функционирования, конфигурацией и именами, учетными данными, при отказах и сбоях.

Для выработки политики информационной безопасности необходимо осуществить сбор информации, отражающей структуру организации; перечень и характеристики функций, выполняемых каждым подразделением и сотрудниками; описание функциональных связей между подразделениями и отдельными рабочими местами; перечень информационных объектов, циркулирующих в системе; перечень применяемых прикладных и системных программ; описание топологии комплекса технических средств. Полученные данные обрабатываются и систематизируются. Информационные объекты можно классифицировать: по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери того или иного вида информации, по сложности ее восстановления. Для осуществления поставленной задачи необходимо создание независимого подразделения информационной безопасности, основными функциями которого являются предоставление пользователям доступа к информации в соответствии с принятой в организации политикой безопасности, а также контролем за ее выполнением.
1. Методы защиты информации
1.1. Предмет и объект защиты информации
В Федеральном законе РФ «Об информации, информатизации и защите информации» (принят 25.01.1995г. Государственной Думой) определено, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления.

Информации присущи следующие свойства:

1. информация доступна человеку, если она содержится на материальном носителе;

2. информация имеет ценность;

Ценность информации определяется степенью ее полезности для владельца. Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственную и коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т.п. Государственную тайну могут содержать сведения, принадлежащие государству (госучреждению).

Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение которых (передача, утечка) могут нанести ущерб его интересам.

Порядок защиты государственной тайны регулируется Законом РФ "О государственной тайне" и постановлением Правительства РФ "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 4.09.95 г. № 870. Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Государственной Думой 25 января 1995 г.

3. ценность информации изменяется во времени;

Ценность информации, как известно, со временем уменьшается. Зависимость ценности информации от времени приближенно определяется по формуле (1.1):

C(t) = C₀ * e ^{-2,3 t/}^ , (1.1)

где C₀ – ценность информации в момент ее возникновения (получения);

t - время от момента возникновения информации до момента определения ее стоимости;

 - время от момента возникновения информации до момента ее устаревания.

4. информация покупается и продается;

Информация может быть получена тремя путями: проведением научных исследований, покупкой, противоправным добыванием информации.

5. сложность объективной оценки количества информации.

Существуют следующие подходы к измерению количества информации:

Энтропийный подход – широко используется при определении количества информации, передаваемой по каналам связи. В теории информации количество информации оценивается мерой уменьшения у получателя неопределенности (энтропии) выбора или ожидания событий после получения информации. Этот подход абсолютно не отражает насколько полезна полученная информация, а позволяет определить лишь затраты на передачу сообщения.
Тезаурусный подход – основан на рассмотрении информации как знаний, когда количество информации, получаемое человеком из сообщения, можно оценить степенью его знаний. Структурированные знания, представленные в виде понятий и отношений между ними, называются тезаурусом. Структура тезауруса иерархическая. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.
Практический подход – измеряется «объемом информации» (бит/байт, страницы текста, длина магнитной ленты с видео/аудиозаписью и т.д.).

В качестве предмета защиты рассматривается информация, хранящаяся, обрабатываемая и передаваемая в компьютерных системах.

Объектом защиты информации является компьютерная система (КС) или автоматизированная система обработки данных (АСОД). Компьютерная система - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации [8].

Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для сосредоточенных КС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию.

Одним из основных понятий теории защиты информации являются понятия «безопасность информации». Безопасность информации в КС - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя [8]. Таким образом, меры, принимаемые при защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе называют информационной безопасностью.

Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности. Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности. Этот документ разрабатывается и принимается высшими органами управления государством, ведомством, организацией как официальный руководящий документ. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты информации в КС, общие требования и принципы построения систем защиты информации в КС.

1.2. Угрозы безопасности информации в компьютерных системах
С позиции обеспечения безопасности информации в компьютерных систем (КС) такие системы целесообразно рассматривать в виде единства трех компонент, оказывающих взаимное влияние друг друга (см. рис. 1.1).

Рис.1.1. Компоненты КС
Целью создания любой КС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности.

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации [8] (см. рис. 1.2).

Рис.1.2. Угрозы безопасности информации в КС
Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.

1.3. Краткий обзор современных методов защиты информации

При наличии простых средств хранения и передачи информации существовали и не потеряли значения и сегодня следующие методы ее защиты от преднамеренного доступа:

ограничение доступа;
разграничение доступа;
разделение доступа (привилегий);
криптографическое преобразование информации;
контроль и учет доступа;
законодательные меры.

С увеличением объемов, сосредоточением информации, увеличением количества пользователей и другими причинами повышается вероятность преднамеренного НСД. В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:

методы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
методы повышения достоверности информации;
методы защиты информации от аварийных ситуаций;
методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи;
методы разграничения и контроля доступа к информации;
методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;
методы защиты от побочного излучения и наводок информации.

Ограничение доступа заключается в создании некоторой физически замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям. Ограничение доступа к комплексам средств автоматизации (КСА) обработки информации заключается:

в выделении специальной территории для размещения КСА;
в сооружении по периметру зоны специальных ограждений с охранной сигнализацией;
в выделении специальных помещений в здании;
в создании контрольно-пропускного режима на территории, в зданиях и помещениях.

Задача средств ограничения доступа — исключить случайный и преднамеренный доступ посторонних лиц на территорию размещения КСА и непосредственно к аппаратуре. В указанных целях создается защитный контур, замыкаемый двумя видами преград: физической и контрольно-пропускной. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа.

В целях контроля доступа к аппаратуре, а также к внутреннему монтажу, линиям связи технологическим органам управления используется аппаратура контроля вскрытия аппаратуры. Это означает, что внутренний монтаж аппаратуры и технологические органы и пульты управления закрыты крышками, дверцами или кожухами, на которые установлены датчики. Датчики срабатывают при вскрытии аппаратуры и выдают электрические сигналы, которые по цепям сбора поступают па централизованное устройство контроля. Установка такой системы имеет смысл при наиболее полном перекрытии всех технологических подходов к аппаратуре, включая средства загрузки программного обеспечения, пульт управления электронно-вычислительной машиной (ЭВМ) и внешние кабельные соединители технических средств, входящих в состав вычислительной системы.

Разграничение и контроль доступа к информации в вычислительной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.

Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т.е. защита информации от нарушителя среди допущенного к ней персонала.

При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.

Разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа. Этой группе предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.

Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.

5. Идентификация и установление подлинности объекта.

Идентификация — это присвоение какому-либо объекту или субъекту уникального имени или числа.

Аутентификация - установление подлинности, заключающееся в проверке, является ли проверяемый объект (субъект) тем, за кого себя выдает.

Конечная цель идентификации и установления подлинности объекта в вычислительной системе — допуск его к информации ограниченного пользования в случае положительного исхода проверки, или отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и установления подлинности в вычислительной системе могут быть:

человек (оператор, пользователь, должностное лицо);
техническое средство (терминал, дисплей, ЭВМ, КСА);
документы (распечатки, листинги и др.);
носители информации (магнитные ленты, диски и др.);
информация на дисплее, табло и т. д.

Идентификатором установления подлинности личности в повседневной жизни является его внешний вид: фигура, форма головы, черты лица, характер, его привычки, поведение и другие свойственные данному человеку признаки, которые создают образ данного человека.
1.4. Вопросы для самоконтроля
1. Охарактеризуйте информацию и ее свойства

2. Что такое коммерческая тайна?

3. Что является объектом защиты информации?

4. Перечислите составляющие компоненты КС

5. Что понимается под угрозой безопасности информации?

6. Перечислите случайные и преднамеренные угрозы

7. Перечислите методы защиты КС от преднамеренного доступа

8. В чем заключается задача средств ограничения доступа

9. В чем заключается задача разграничения доступа

10. В чем заключается задача разделения привилегий на доступ

11. Что такое идентификация?

12. Что такое аутентификация?

2. Информационная безопасность корпоративных систем
Под информационной безопасностью автоматизированной системы (АС) понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре. В соответствии с Руководящими документами Гостехкомиссии информационная безопасность определяется наличием у системы следующих свойств:

доступность — возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью;
целостность — актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;
конфиденциальность — защита от несанкционированного ознакомления.

2.1. Интегрированная система информационной безопасности

Сегодня уже недостаточно создание защиты информации только на одном локальном уровне (программном, техническом и др.). В современных условиях все острее стоит задача защиты информации на всех уровнях. В этих целях рассматривается создание интегрированной системы информационной безопасности. Такая система должна включать в себя:

1. выработку политики информационной безопасности, определяющую какую информацию и от кого следует защищать; кому и какая информация требуется для служебного использования; требования к степени защиты для каждого вида информации; размеры ущерба от потери того или иного вида информации; организация работ по защите информации (см. рис. 2.1).

Рис. 2.1. Уровни политики безопасности
Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информационной безопасности. Высшее руководство должно предоставить задокументированную политику информационной безопасности всем подразделениям организации (см. рис. 2.2).

Рис. 2.2. Структура документа о политике информационной безопасности
2. средства обеспечения информационной безопасности:

- системы контроля доступа управляют правами доступа пользователей, регистрируют обращения к данным, осуществляют аутентификацию пользователей и сетевых систем;

- системы шифрования информации (кодирование данных, хранящихся на дисках пользователей и передаваемые по телекоммуникационным каналам);

- системы электронно-цифровой подписи обеспечивают аутентификацию получаемой информации и контроль ее целостности;

- системы антивирусной защиты контролируют состояние памяти вычислительной системы (ВС), предотвращают заражение файлов на локальных и сетевых дисках, а также распространение вирусов по сети;

- системы защиты firewall осуществляют авторизацию входящего и исходящего трафика между локальной компьютерной сетью и Internet;

- системы резервного хранения и восстановления информации.

3. планирование обеспечения безопасности заключается в разработке документа (плана), содержащего описание мер, средств и способов обеспечения информационной безопасности, а также последовательности их выполнения.

4. анализ рисков, заключающийся в оценке ситуаций, в результате которых произошли потеря или рассекречивание данных.

5. планирование действий в чрезвычайной ситуации подразумевает определение резервных средств для обеспечения функционирования организации и восстановления работоспособности системы. План действий в чрезвычайной ситуации разрабатывается на основе результатов анализа рисков.

Объединение различных сервисов в рамках единой интегрированной системы безопасности организации позволяет решать вопросы комплексного обеспечения безопасности объекта.
2.2. Защита документооборота в вычислительных системах
Защита документооборота – один из важнейших вопросов для предприятий с территориально распределенной структурой.

При электронном документообороте возникают различные угрозы со стороны пользователей, которые можно разделить на две основные категории:

- угрозы конфиденциальности информации;

- угрозы целостности информации.

Конфиденциальность информации можно обеспечить с помощью шифрования, а сохранить целостность информации поможет использование электронной цифровой подписи (ЭЦП) (см. главу 5 настоящего пособия). ЭЦП позволит также установить авторство посланного документа. Для наиболее надежного подхода к защите следует использовать в комплексе шифрование и ЭЦП, что также можно совместить с каким-либо дополнительным сервисом, например, сжатием информации (архивацией).

В качестве примера таких систем можно привести специализированный архиватор электронных документов Crypton ArcMail, предлагаемый фирмой "Анкад". Алгоритм создания специализированного архива (архива для передачи по сети) приведен на рис. 2.3.

Рис. 2.3. Алгоритм создания специализированного архива
Организованный таким образом файл-архив можно передавать по сети без каких-либо опасений. При создании архива исходные файлы подписываются на секретном ключе (СК) ЭЦП абонента сети, после чего файлы сжимаются и получаемый в результате сжатия архив шифруется на случайном временном ключе. Абоненты, которым предназначается архив, могут расшифровать его с помощью записанного в архив зашифрованного временного ключа. Временный ключ зашифровывается на парно-связном ключе, вычисляемом по алгоритму Диффи-Хеллмана из СК отправителя и открытого ключа (ОК) ЭЦП абонента-адресата.

Предположим, что существует некий сертификационный центр, в котором на специальном ключе (ключе-сертификате) подписывается ОК абонента сети перед передачей его другим абонентам. Открытый ключ-сертификат должен храниться у всех абонентов сети для проверки целостности всех используемых в сети ОК. При таком варианте рекомендуется при проверке ЭЦП какого-либо документа автоматически проверять подпись соответствующего ОК (что обычно и делается автоматически программными средствами).

Таким образом, сами открытые ключи могут храниться в открытом виде, а персональная дискета, помимо СК владельца, должна содержать еще и ключ-сертификат.

Сертификационный центр можно совместить с центром распределения ключей. Это будет выделенное рабочее место, используемое как для генерации ключей абонентов, так и для их сертификации и рассылки абонентам. Даже в случае генерации ключей непосредственно абонентами на местах сертификационный центр можно использовать для рассылки абонентам заверенных открытых ключей, как показано на рис.2.4.

Данная схема особенно рекомендуется при организации электронного документооборота между несколькими юридическими лицами.

Рис. 2.4. Обмен ключами через сертифицированный центр
Порядок распределения ключей состоит в следующем:

- абонент создает персональную дискету с собственными ключами; СК закрывается паролем;

- для собственного ОК формируется подпись на собственном СК; ОК записывается на дискету для передачи;

- создается юридический документ на бумаге (например, письмо), в котором указываются: данные о владельце (Ф. И. О., должность, место работы), сам ОК (распечатка в шестнадцатеричном коде), полномочия владельца (перечень документов, которые уполномочен удостоверять владелец ОК). Данный документ должен быть оформлен таким образом, чтобы иметь юридическую силу в случае возникновения спорных вопросов о принадлежности подписи и полномочиях владельца. Если в письме не установлено полномочий, то они определяются по должности и месту работы;

- данный документ вместе с ОК пересылается в сертификационный центр;

- сертификационный центр проверяет юридическую силу полученного документа, а также идентичность ОК на дискете и в документе.

В ответ абонент получает:

- сертифицированные открытые ключи всех абонентов (в т.ч., и свой);

- сертифицированные файлы с полномочиями владельцев открытых ключей;

- ключ-сертификат как в виде файла, так и в виде юридического документа;

- владелец проверяет истинность ключа-сертификата, а также подписи всех полученных им открытых ключей и файлов. При успешной проверке ОК записываются в соответствующий каталог, а ключ-сертификат - на персональную дискету.

При большом числе абонентов сети рекомендуется использовать базы данных ОК. В этом случае вместо отдельных ОК сертификационный центр пересылает абоненту одинаковый для всех абонентов файл базы данных, содержащий все используемые ОК.

Согласно сказанному выше, персональная дискета должна содержать следующее:

- секретный ключ владельца;

- открытые ключи-сертификаты по числу сертификационных центров.

В качестве ключа сертификационного центра может быть использован собственный СК абонента; в этом случае при получении ОК другого абонента его необходимо подписать. При этом на персональную дискету следует записать свой ОК для проверки целостности ОК других абонентов.

Удачным решением ряда проблем, связанных с выбором шифратора, является использование криптосервера. Криптосервер представляет собой отдельный компьютер в ЛВС, оснащенный аппаратным шифратором и используемый для шифрования информации для абонентов сети по их запросам. Зашифрованная информация может впоследствии использоваться абонентом по его усмотрению, в том числе для передачи по глобальную вычислительную систему (ГВС). Информация абонента может быть также автоматически подписана криптосервером.

Порядок работы криптосервера может быть, например, таким:

- абонент направляет на криптосервер открытые данные;

- происходит взаимная аутентификация абонента и криптосервера. Для идентификации абонента используется его персональная смарт-карта, содержащая используемые для аутентификации СК абонента и ОК криптосервера;

- после успешной аутентификации криптосервер зашифровывает данные на персональном ключе абонента (выбираемом из хранящейся на сервере таблицы ключей абонентов) и подписывает их;

- абонент получает зашифрованные и подписанные данные.

2.3. Вопросы для самоконтроля
1. Перечислите основные свойства информационной безопасности

2. Назовите основные элементы интегрированной системы информационной безопасности

3. Что включает в себя документ о политике ИБ?

4. Что такое открытый и секретный ключи?

5. Назначение сертифицированного центра

6. Каково содержание персональной дискеты?

7. Что такое криптосервер?

8. Перечислите порядок использование криптсерверов

3. Функциональная безопасность корпоративных систем
Требования информационной безопасности привязываются к цели обеспечения оптимального функционирования информационной системы на всех уровнях. Такой подход можно назвать «функциональной безопасностью».

Особенностью функциональной безопасности является расстановка приоритетов по защите каждого уровня функционирования информационной системы в целом (см. рис. 3.1). На рис. 3.2, 3.3, 3.4 и 3.5 представлены основные элементы, составляющие уровни функциональной безопасности корпоративных систем.

Рис. 3.1. Основные уровни функциональной безопасности

Рис. 3.2. Нормативно-законодательный уровень функциональной безопасности

Рис. 3.3. Организационный уровень функциональной безопасности

Рис. 3.4. Процедурный уровень функциональной безопасности

Рис. 3.5. Программно-технический уровень функциональной безопасности
Составными частями концепции функциональной безопасности являются организационные меры и программно-технические средства (см. рис. 3.6), реализующие механизмы безопасности. В качестве третьего компонента следует назвать оптимизацию архитектуры информационной системы. В строго структурированной системе с четко выделенными компонентами (клиент, сервер приложений, ресурсный сервер) контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обеспечения невозможности обхода этих средств потенциальным нарушителем.

Рис. 3.6. Программно-технические средства защиты информации
3.1. Основные этапы построения систем безопасности корпоративных систем
Основные этапы построения систем безопасности корпоративных систем представлены на рис. 3.7.

Рис. 3.7. Основные этапы построения систем безопасности
Составляющие этапа обследования показаны на рис. 3.8.

Рис. 3.8. Структура этапа «Обследование»
Если «тестовый взлом» оказался успешным, то, предотвратив потенциальное развитие возможных сценариев "взлома", работу надо начинать сначала и искать следующие. Неуспех "взлома" может означать в равной мере как защищенность системы, так и недостаточность тестов.

В рамках экспресс-обследования оценивается общее состояние механизмов безопасности в обследуемой системе на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результате интервьюирования, так и в результате работы автоматизированных сканеров защищенности.

При аттестации систем происходит формальная проверка набора требований как организационного, так и технического аспектов. Рассматриваются полнота и достаточность реализации механизмов безопасности.

Предпроектное обследование предполагает анализ организационной структуры предприятия в приложении к информационным ресурсам, правила доступа сотрудников к тем или иным приложениям. Затем выполняется анализ самих приложений. После этого должны учитываться конкретные службы доступа с одного уровня на другой, а также службы, требуемые для информационного обмена. Затем картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования рисков, существующих в информационной системе, и выработки адекватных контрмер. Успешное проведение предпроектного обследования и анализа рисков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой - соответствовать угрозам.

Составляющие этапа проектирования показаны на рис. 3.9.

Рис. 3.9. Структура этапа «Проектирование»
Основные этапы построения систем безопасности корпоративных систем представлены на рис. 3.7.

В рамках продуктового подхода выбирается набор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам. Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто является единственно возможным в условиях дефицита решений (например, для криптографической защиты применяется исключительно такой подход).

Проектный подход предпочтительнее при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа.

К основным элементам объектов и приложений относятся:

- объектный подход, который строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т.д. К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений;

- прикладной подход, который строит механизмы безопасности в привязке к конкретному приложению. Пример прикладного подхода - защита подсистемы либо отдельных задач автоматизации (бухгалтерия, кадры и т.д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно необходимость увязывать различные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже существующие средства защиты информации для сохранения инвестиций;

- смешанный подход, при котором информационная система представляется как совокупность объектов, каждому из которых определена область использования универсальных средств реализации механизмов безопасности. Такой подход оказывается более трудоемким на стадии проектирования, однако часто дает преимущества в стоимости внедрения и эксплуатации системы защиты информации.

К основным элементам служб и механизмов безопасности относятся:

- ресурсный подход, при котором задачу защиты информации необходимо решать без дополнительных ограничений на структуру служб, что в условиях неоднородной системы не представляется возможным;

- сервисный подход, который привязывается к реализованным в системе службам и позволяет исключить широкий класс угроз при помощи отказа от "лишних" служб, делая структуру подсистемы информационной безопасности более логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности, ISO 15408.

Этап внедрения и аттестации систем безопасности корпоративных систем включает целый комплекс последовательно проводимых мероприятий, включая установку и конфигурирование средств защиты, обучение персонала работе со средствами защиты, проведение предварительных испытаний и сдача в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования подсистемы информационной безопасности, прежде чем запустить систему в "боевой" режим.

Если в процессе опытной эксплуатации выявлены факты некорректной работы компонентов, проводится корректировка настроек средств защиты, режимов их функционирования и т.п. По результатам опытной эксплуатации проводится внесение корректировок (при необходимости) и уточнение настроек средств защиты. Далее следует проведение приемосдаточных испытаний, ввод в штатную эксплуатацию и оказание технической поддержки и сопровождения.

Подтверждение функциональной полноты подсистемы безопасности и обеспечения требуемого уровня защищенности системы обеспечивается проведением аттестации системы уполномоченным центром Гостехкомиссии.

Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности. Аттестация проводится в соответствии со схемой, составляемой на подготовительном этапе исходя из следующего перечня работ:

анализа исходных данных, предварительное ознакомление с аттестуемым объектом и информатизации;
экспертного обследования объекта информатизации и анализ документации по защите информации на предмет соответствия требованиям;
испытания отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольной аппаратуры и тестовых средств;
испытания отдельных средств и систем защиты информации в испытательных центрах (лабораториях);
комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
анализа результатов экспертного обследования и аттестационных испытаний и утверждение заключения по результатам аттестации объекта информатизации.

По результатам испытаний готовится отчетная документация, проводится оценка результатов испытаний и выдается аттестат соответствия установленного образца. Наличие аттестата дает право обработки информации со степенью конфиденциальности на установленный период времени.

Этап сопровождения систем безопасности корпоративных систем включает комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения подсистемы информационной безопасности, включая текущее администрирование, работы, проводимые в экстренных случаях, а также периодически проводимые профилактические работы. Данный комплекс мероприятий включает в себя:

техническое обслуживание средств защиты;
администрирование штатных средств защиты;
контроль состояния системы, профилактическое обследование конфигурации, выявление потенциальных проблем;
мониторинг и установка выпускаемых обновлений средств защиты, а также используемых операционных систем (ОС), систем управления базами данных (СУБД) и приложений;
диагностику неисправностей и проведение восстановительных работ при возникновении аварийных и нештатных ситуаций;
регулярный поиск и анализ уязвимостей в защищаемой системе с использованием специальных средств сканирования;
периодическое тестирование подсистемы информационной безопасности и оценка эффективности защиты.

Концепция функциональной безопасности предлагает набор базовых положений, определяющих основные подходы, решения и методы обеспечения защиты информационных ресурсов современных корпоративных систем.

Использование основных положений концепций при организации и проведении работ по защите служит основой построения эффективной и надежной системы обеспечения информационной безопасности, способной развиваться и модифицироваться вместе с общим развитием корпоративной системы.

3.2. Вопросы для самоконтроля
1. Что такое функциональная безопасность?

2. Перечислите основные уровни функциональной безопасности

3. Что содержит нормативно-законодательный уровень?

4. Что содержит организационный уровень?

5. Что содержит процедурный уровень?

6. Что содержит программно-технический уровень?

7. Перечислите составляющие функциональной безопасности

8. Какие существуют программно-технические средства защиты информации?

9. Назовите основные этапы построения системы безопасности

10. Что входит в этап обследования?

11. Что входит в этап проектирования?

12. Что входит в этап внедрения и аттестации?

13. Что должна включать в себя аттестация системы безопасности Гостехкомиссией?

14. Что входит в этап сопровождения?

4. Комплексные системы защиты информации
Системы защиты информации (СЗИ) относятся к классу сложных систем. Для их построения могут использоваться основные принципы построения сложных систем с учетом особенностей решаемых задач:

параллельная разработка КС и С3И;
системный подход к построению защищенных КС;
многоуровневая структура С3И;
иерархическая система управления С3И;
блочная архитектура защищенных КС;
возможность развития С3И;
дружественный интерфейс защищенных КС с пользователями и обслуживающим персоналом.

Построение С3И необходимо проводить одновременно и параллельно с разработкой КС, механизмов защиты, что положительно скажется на обеспечении реализации всех остальных принципов. В процессе разработки защищенных КС должен соблюдаться разумный компромисс между созданием встроенных неразделимых механизмов защиты и блочных унифицированных средств и процедур защиты [6].

На этапе разработки КС можно полностью учесть взаимное влияние блоков и устройств собственно КС и механизмов защиты, добиться системности защиты оптимальным образом.

Одним из основных принципов построения защищенных КС является принцип системности, предполагающий:

анализ всех возможных угроз безопасности информации;
обеспечение защиты на всех жизненных циклах КС;
защиту информации во всех звеньях КС;
комплексное использование механизмов защиты.

Защита ресурсов КС должна осуществляться на этапах разработки, производства, эксплуатации и модернизации, а также по всей технологической цепочке ввода, обработки, передачи, хранения и выдачи информации. Реализация этих принципов позволяет обеспечить создание СЗИ, в которой отсутствуют слабые звенья как на различных жизненных циклах КС, так и в любых элементах и режимах работы КС.

Механизмы защиты, которые используются при построении защищенных систем, должны быть взаимоувязаны по месту, времени и характеру действия.

Комплексность подразумевает использование в оптимальном сочетании различных методов и средств защиты информации: технических, программных, криптографических, организационных и правовых. Любая, даже простая СЗИ является комплексной.

Система защиты информации должна иметь несколько уровней, перекрывающих друг друга, т. е. такие системы целесообразно строить по принципу построения матрешек.

Комплексные системы защиты информации (КСЗИ) всегда должны иметь централизованное управление. В распределенных КС управление защитой может осуществляться по иерархическому принципу. Централизация управления защитой информации объясняется необходимостью проведения единой политики в области безопасности информационных ресурсов в рамках предприятия, организации, корпорации, министерства. Для осуществления централизованного управления в СЗИ должны быть предусмотрены специальные средства дистанционного контроля, распределения ключей, разграничения доступа, изготовления атрибутов идентификации и другие.

Одним из важных принципов построения защищенных КС является использование блочной архитектуры, позволяющей получить преимущества:

упрощение разработки, отладки, контроля и верификации устройств (программ, алгоритмов);
возможность параллельной разработки блоков;
использование унифицированных стандартных блоков;
упрощение модернизации систем;
удобство и простота эксплуатации.

При разработке сложной КС, например, вычислительной сети, необходимо предусматривать возможность ее развития в двух направлениях: увеличения числа пользователей и наращивания возможностей сети по мере совершенствования информационных технологий.
4.1. Основные этапы создания комплексной системы защиты информации
Основными этапами создания КСЗИ являются:

- разработка технического задания (ТЗ);

- эскизное проектирование (ЭП);

- техническое проектирование (ТП);

- рабочее проектирование (РП);

- производство опытного образца.

Одним из основных этапов разработки КСЗИ является этап разработки ТЗ. Именно на этом этапе решаются практически все специфические задачи, характерные именно для разработки КСЗИ. Процесс разработки систем, заканчивающийся выработкой технического задания, называют научно-исследовательской разработкой, а остальную часть работы по созданию сложной системы называют опытно-конструкторской разработкой. Опытно-конструкторская разработка аппаратно-программных средств ведется с применением систем автоматизации проектирования, алгоритмы проектирования хорошо изучены и отработаны. Поэтому особый интерес представляет рассмотрение процесса научно исследовательского проектирования.

Техническое задание содержит основные технические требования к разрабатываемой КСЗИ, а так же согласованные взаимные обязательства заказчика и исполнителя разработки. Технические требования определяют значения основных технических характеристик, выполняемые функции, режимы работы, взаимодействие с внешними системами и т.д.

Аппаратные средства оцениваются следующими характеристиками: быстродействие, производительность, емкость запоминающих устройств, разрядность, стоимость, характеристики надежности и др.

Программные средства характеризуются требуемым объемом оперативной и внешней памяти, системой программирования, в которой разработаны эти средства, совместимостью с ОС и другими программными средствами, временем выполнения, стоимостью и т.д.

Получение значений этих характеристик, а также состава выполняемых функций и режимов работы средств защиты, порядка их использования и взаимодействия с внешними системами составляют основное содержание этапа научно-исследовательской разработки. Для проведения исследований на этом этапе заказчик может привлекать исполнителя или научно-исследовательское учреждение, либо организует совместную их работу.

Научно-исследовательская разработка начинается с анализа угроз безопасности информации, анализа защищаемой КС и анализ, конфиденциальности и важности информации в КС.

Прежде всего, производится анализ конфиденциальности и важности информации, которая должна обрабатываться, храниться и передаваться в КС. На основе анализа делается вывод о целесообразности создания КС3И. Если информация не является конфиденциальной и легко может быть восстановлена, то создавать КСЗИ нет необходимости. Не имеет смысла также создавать КСЗИ в КС, если потеря целостности и конфиденциальности информации связана с незначительными потерями.

В этих случаях достаточно использовать штатные средства КС и, возможно, страхование от утраты информации.

При анализе информации определяются потоки конфиденциальной информации, элементы КС, в которых она обрабатывается и хранится. На этом этапе рассматриваются также вопросы разграничения Доступа к информации отдельных пользователей и целых сегментов КС. На основе анализа информации определяются требования к ее защищенности. Требования задаются путем присвоения определенного грифа конфиденциальности, установления правил разграничения доступа.

Очень важная исходная информация для построения КСЗИ получается в результате анализа защищаемой КС. Так как КСЗИ является подсистемой КС, то взаимодействие системы защиты с КС можно определить как внутреннее, а взаимодействие с внешней средой – как внешнее.

Внутренние условия взаимодействия определяются архитектурой КС. При построении КСЗИ учитываются:

географическое положение КС;
тип КС (распределенная или сосредоточенная);
структуры КС (техническая, программная, информационная и т. д.);
производительность и надежность элементов КС;
типы используемых аппаратных и программных средств и режимы их работы;
угрозы безопасности информации, которые порождаются внутри КС;
(отказы аппаратных и программных средств, алгоритмические ошибки и т. п.).

Учитываются следующие внешние условия:

взаимодействие с внешними системами;
случайные и преднамеренные угрозы.

Анализ угроз безопасности является одним из обязательных условий построения КСЗИ. По результатам проведенного анализа строится модель угроз безопасности информации в КС. Модель угроз безопасности информации в КС содержит систематизированные данные о случайных и преднамеренных угрозах безопасности информации в конкретной КС. Систематизация данных модели предполагает наличие сведений обо всех возможных угрозах, их опасности, временных рамках действия, вероятности реализации. Часто модель угроз рассматривается как композиция модели злоумышленника и модели случайных угроз. Модели представляются в виде таблиц, графов или на вербальном уровне.

При построении модели злоумышленника используются два подхода:

1) модель ориентируется только на высококвалифицированного злоумышленника-профессионала, оснащенного всем необходимым и имеющего легальный доступ на всех рубежах защиты;

2) модель учитывает квалификацию злоумышленника, его оснащенность (возможности) и официальный статус в КС.

Первый подход проще реализуется и позволяет определить верхнюю границу преднамеренных угроз безопасности информации.

Второй подход отличается гибкостью и позволяет учитывать особенности КС в полной мере.

Класс злоумышленника, его оснащенность и статус на объекте КС определяют возможности злоумышленника по несанкционированному доступу к ресурсам КС.

Угрозы, связанные с непреднамеренными действиями хорошо изучены, и большая часть их может быть формализована. Сюда следует отнести угрозы безопасности, которые связаны с конечной надежностью технических систем. Угрозы, порождаемые стихией или человеком, формализовать сложнее. Но с другой стороны, по ним накоплен большой объем статистических данных. На основании этих данных можно прогнозировать проявление угроз этого класса.

Модель злоумышленника и модель случайных угроз позволяют получить полный спектр угроз и их характеристик. В совокупности с исходными данными, полученными в результате анализа информации, особенностей архитектуры проектируемой КС, Модели угроз безопасности информации позволяют получить исходные данные для построения модели КСЗИ.

При разработке сложных систем распространенным методом проектирования является синтез с последующим анализом. Система синтезируется путем согласованного объединения блоков, устройств, подсистем и анализируется (оценивается) эффективность полученного решения. Из множества синтезированных систем выбирается лучшая по результатам анализа, который осуществляется с помощью моделирования.

4.2. Моделирование комплексных систем защиты информации
Моделирование КСЗИ заключается в построении образа (модели) системы, с определенной точностью воспроизводящего процессы, происходящие в реальной системе. Реализация модели позволяет получать и исследовать характеристики реальной системы.

Существуют следующие модели оценки систем:

аналитические;
имитационные.

В аналитических моделях функционирование исследуемой системы записывается в виде математических или логических соотношений. Для этих целей используется мощный математический аппарат: алгебра, функциональный анализ, разностные уравнения, теория вероятностей, математическая статистика, теория множеств, теория массового обслуживания и т. д.

При имитационном моделировании система представляется в виде некоторого аналога реальной системы. В процессе имитационного моделирования на ЭВМ реализуются алгоритмы изменения основных характеристик реальной системы в соответствии с эквивалентными реальным процессам математическими и логическими зависимостями.

Модели делятся также на детерминированные и стохастические. Модели, которые оперируют со случайными величинами, называются стохастическими. Так как на процессы защиты информации основное влияние оказывают случайные факторы, то модели систем защиты являются стохастическими.

Моделирование КСЗИ является сложной задачей, так как такие системы относятся к классу сложных организационно технических систем, которым присущи следующие особенности:

сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;
многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;
большое число взаимосвязанных между собой элементов и подсистем;
сложность функций, выполняемых системой;
функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;
наличие множества критериев оценки эффективности функционирования сложной системы;
существование интегрированных признаков, присущих Системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах);
наличие управления, часто имеющего сложную иерархическую структуру;
разветвленность и высокая интенсивность информационных потоков.

Для преодоления этих сложностей применяются:

специальные методы неформального моделирования;
декомпозиция общей задачи на ряд частных задач;
макромоделирование.

Специальные методы неформального моделирования включают в себя:

структурирование архитектуры и процессов функционирования сложных систем;
неформальные методы оценивания;
неформальные методы поиска оптимальных решений.

Структурирование является развитием формального описания систем, распространенного на организационно-технические системы.

Примером структурированного процесса является конвейерное производство. В основе такого производства лежат два принципа:

строгая регламентация технологического процесса производства;
специализация исполнителей и оборудования.

Предполагается, что конструкция производимой продукции отвечает следующим требованиям:

изделие состоит из конструктивных иерархических элементов (блоков, узлов, схем, деталей и т.п.);
максимальная простота, унифицированность и стандартность конструктивных решений и технологических операций.

В настоящее время процесс производства технических средств КС достаточно полно структурирован. Структурное программирование также вписывается в рамки структурированных процессов. На основе обобщения принципов и методов структурного программирования могут быть сформулированы условия структурированного описания изучаемых систем и процессов их функционирования:

полнота отображения основных элементов и их взаимосвязей;
адекватность;
простота внутренней организации элементов описания и взаимосвязей элементов между собой;
стандартность и унифицированность внутренней структуры элементов и структуры взаимосвязей между ними;
модульность;
гибкость, под которой понимается возможность расширения и изменения структуры одних компонентов модели без существенных изменений других компонентов;
доступность изучения и использования модели любому специалисту средней квалификации соответствующего профиля.

4.3. Методы оценки систем защиты информации

В процессе проектирования систем необходимо получить их характеристики. Некоторые характеристики могут быть получены путем измерения. Другие получаются с использованием аналитических соотношений, а также в процессе обработки статистических данных. Однако существуют характеристики сложных систем, которые не могут быть получены приведенными методами. К таким характеристикам СЗИ относятся вероятности реализации некоторых угроз, отдельные характеристики эффективности систем защиты и другие.

Указанные характеристики могут быть получены единственно доступными методами – методами неформального оценивания. Сущность методов заключается в привлечении для получения некоторых характеристик специалистов-экспертов в соответствующих областях знаний.

Наибольшее распространение из неформальных методов оценивания получили метод экспертных оценок. Метод экспертных оценок представляет собой алгоритм подбора специалистов-экспертов, задания правил получения независимых оценок каждым экспертом и последующей статистической обработки полученных результатов. Методы экспертных оценок используются давно, хорошо отработаны. В некоторых случаях они являются единственно возможными методами оценивания характеристик систем.

Неформальные методы поиска оптимальных решений могут быть распределены по двум группам:

методы неформального сведения сложной задачи к формальному описанию и решение задачи формальными методами;
неформальный поиск оптимального решения.

Для моделирования СЗИ целесообразно использовать следующие теории и методы, позволяющие свести решение задачи к формальным алгоритмам:

теория нечетких множеств;
теория конфликтов;
теория графов;
формально-эвристические методы;
эволюционное моделирование.

Методы теории нечетких множеств позволяют получать аналитические выражения для количественных оценок нечетких условий принадлежности элементов к тому или иному множеству.

Теория нечетких множеств хорошо согласуется с условиями моделирования систем защиты, так как многие исходные данные моделирования (например, характеристики угроз и отдельных механизмов защиты) не являются строго определенными.

Теория конфликтов является относительно новым направлением исследования сложных человеко-машинных систем. Конфликт между злоумышленником и системой защиты, разворачивающийся на фоне случайных угроз, является классическим для применения теории конфликта. Две противоборствующие стороны преследуют строго противоположные цели. Конфликт развивается в условиях неоднозначности и слабой предсказуемости процессов, способности сторон оперативно изменять цели. Теория конфликтов является развитием теории игр. Теория игр позволяет:

структурировать задачу, представить ее в обозримом виде, найти области количественных оценок, упорядочений, предпочтений, выявить доминирующие стратегии, если они существуют;
до конца решить задачи, которые описываются стохастическими моделями.

Теория игр позволяет найти решение, оптимальное или рациональное в среднем. Она исходит из принципа минимизации среднего риска. Такой подход не вполне адекватно отражает поведение сторон в реальных конфликтах, каждый из которых является уникальным. В теории конфликтов предпринята попытка преодоления этих недостатков теории игр. Теория конфликтов позволяет решать ряд практических задач исследования сложных систем, однако она еще не получила широкого распространения и открыта для дальнейшего развития.

Из теории графов для исследования систем защиты информации в наибольшей степени применим аппарат сетей Петри. Управление условиями в узлах сети Петри позволяет моделировать процессы преодоления защиты злоумышленником. Аппарат сетей Петри позволяет формализовать процесс исследования эффективности СЗИ.

К формально-эвристическим методам отнесены методы поиска оптимальных решений не на основе строгих математических, логических соотношений, а основываясь на опыте человека, имеющихся знаниях и интуиции. Получаемые решения могут быть далеки от оптимальных, но они всегда будут лучше решений, получаемых без эвристических методов.

Наибольшее распространение из эвристических методов получили лабиринтные и концептуальные методы.

В соответствии с лабиринтной моделью задача представляется человеку в виде лабиринта возможных путей решения. Предполагается, что человек обладает способностью быстрого отсечения бесперспективных путей движения по лабиринту. В результате среди оставшихся путей с большой вероятностью находится путь, ведущий к решению поставленной задачи.

Концептуальный метод предполагает выполнение действий с концептами. Под концептами понимаются обобщенные элементы и связи между ними. Концепты получаются человеком, возможно и неосознанно, в процессе построения структурированной модели. В соответствии с концептуальным методом набор концепт универсален и ему соответствуют имеющиеся у человека механизмы вычисления, трансформации и формирования отношений. Человек проводит мысленный эксперимент со структурированной моделью и порождает ограниченный участок лабиринта, в котором уже несложно найти решение.

Эволюционное моделирование представляет собой разновидность имитационного моделирования. Особенность его заключается в том, что в процессе моделирования совершенствуется алгоритм моделирования.

Сложность выполняемых функций, значительная доля нечетко определенных исходных данных, большое количество механизмов защиты, сложность их взаимных связей и многие другие факторы делают практически неразрешимой проблему оценки эффективности системы в целом с помощью одного какого-либо метода моделирования.

Для решения этой проблемы применяется метод декомпозиции (разделения) общей задачи оценки эффективности на ряд частных задач. Так, задача оценки эффективности КСЗИ может разбиваться на частные задачи:

оценку эффективности защиты от сбоев и отказов аппаратных и программных средств;
оценку эффективности защиты от НСД;
оценку эффективности защиты от ПЭМИН (побочные электромагнитные излучения и наводки) и т.д.

При оценке эффективности защиты от отказов, приводящих к уничтожению информации, используется, например, такая величина, как вероятность безотказной работы P(t) системы за время t.

Этот показатель вычисляется по формуле (4.1):

P(t) = 1-Р_отк (t) , (4.1)

где Р_отк(t) - вероятность отказа системы за время t.

Величина Р_отк(t), в свою очередь, определяется в соответствии с известным выражением, представленным в формуле (4.2):

Р_отк (t) = е ^– ^^t , (4.2)

где  - интенсивность отказов системы.

Таким образом, частная задача оценки влияния отказов на безопасность информации может быть довольно просто решена известными формальными методами.

Довольно просто решается частная задача оценки эффективности метода шифрования при условии, что атака на шифр возможна только путем перебора ключей, и известен метод шифрования.

Среднее время взлома шифра при этих условиях определяется по формуле (4.3):

T = A^S * t / 2 , (4.3)

где Т - среднее время взлома шифра;

А - число символов, которые могут быть использованы при выборе ключа (мощность алфавита шифрования);

S - длина ключа, выраженная в количестве символов;

t - время проверки одного ключа.

Время t зависит от производительности, используемой для атаки на шифр КС и сложности алгоритма шифрования. При расчете криптостойкости обычно считается, что злоумышленник имеет в своем распоряжении КС наивысшей производительности, уже существующей или перспективной.

В свою очередь частные задачи могут быть декомпозированы на подзадачи.

Главная сложность метода декомпозиции при оценке систем заключается в учете взаимосвязи и взаимного влияния частных задач оценивания и оптимизации. Это влияние учитывается как при решении задачи декомпозиции, так и в процессе получения интегральных оценок.

Например, при решении задачи защиты информации от электромагнитных излучений используется экранирование металлическими экранами, а для повышения надежности функционирования системы необходимо резервирование блоков, в том числе и блоков, обеспечивающих бесперебойное питание. Решение этих двух частных задач взаимосвязано, например, при создании КСЗИ на летательных аппаратах, где существуют строгие ограничения на вес. При декомпозиции задачи оптимизации комплексной системы защиты приходится всякий раз учитывать общий лимит веса оборудования.

Эффективность систем оценивается с помощью показателей эффективности. Иногда используется термин – показатель качества. Показателями качества, как правило, характеризуют степень совершенства какого-либо товара, устройства, машины. В отношении сложных человеко-машинных систем предпочтительнее использование термина показатель эффективности функционирования, который характеризует степень соответствия оцениваемой системы своему назначению.

Показатели эффективности системы, как правило, представляют собой некоторое множество функций Y_k от характеристик системы X_i, представленные в формуле (4.4):

Y_k = f(x_i) (4.4)

где k – количество показателей, принимает значения от 1 до К,

К – мощность множества показателей эффективности системы,

n – количество характеристик, принимает значения от 1 до N,

N – мощность множества характеристик системы.

Характеристиками системы Х₁, Х₂, ..., X_n называются первичные данные, отражающие свойства и особенности системы. Используются количественные и качественные характеристики. Количественные характеристики систем имеют числовое выражение. Их называют также параметрами.

Количественные характеристики – разрядность устройства, быстродействие процессора и памяти, длина пароля, длина ключа шифрования и т.п.

Качественные характеристики определяют наличие (отсутствие) определенных режимов, защитных механизмов или сравнительную степень свойств систем («хорошо», «удовлетворительно», «лучше», «хуже»).

Примером показателя эффективности является криптостойкость шифра, которая выражается временем или стоимостью взлома шифра. Этот показатель для шифра DES, например, зависит от одной характеристики - разрядности ключа. Для методов замены криптостойкость зависит от количества используемых алфавитов замены, а для методов перестановок - от размерности таблицы и количества используемых маршрутов Гамильтона.

Для того чтобы оценить эффективность системы защиты информации или сравнить системы по их эффективности, необходимо задать некоторое правило предпочтения. Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности. Для получения критерия эффективности при использовании некоторого множества k показателей используют ряд подходов.

1. Выбирается один главный показатель, и оптимальной считается система, для которой этот показатель достигает экстремума. При условии, что остальные показатели удовлетворяют системе ограничений, заданных в виде неравенств. Например, оптимальной может считаться система, удовлетворяющая критерию эффективности, представленному в формуле (4.5):

P_нз = P_нз^max при C  C_доп , G  G_доп , (4.5)

где Р_нз – вероятность непреодоления злоумышленником системы защиты за определенное время,

С и G - стоимостные и весовые показатели, соответственно, которые не должны превышать допустимых значений (C_доп и G_доп).

2. Методы, основанные на ранжировании показателей по важности. При сравнении систем одноименные показатели эффективности сопоставляются в порядке убывания их важности по определенным алгоритмам.

Примерами таких методов могут служить лексикографический метод и метод последовательных уступок.

Лексикографический метод применим, если степень различия показателей по важности велика. Две системы сравниваются сначала по наиболее важному показателю. Оптимальной считается такая система, у которой лучше этот показатель. При равенстве самых важных показателей сравниваются показатели, занимающие по рангу вторую позицию. При равенстве и этих показателей сравнение продолжается до получения предпочтения в i-м показателе.

Метод последовательных уступок предполагает оптимизацию системы по наиболее важному показателю У₁.

Определяется допустимая величина изменения показателя У₁, которая называется уступкой.

Измененная величина показателя: У'₁= У₁  ₁ (₁- величина уступки) фиксируется. Определяется оптимальная величина показателя Y₂ при фиксированном значении У'₁, выбирается уступка ₂ и процесс повторяется до получения Y_k-1.

3. Мультипликативные и аддитивные методы получения критериев эффективности основываются на объединении всех или части показателей с помощью операций умножения или сложения в обобщенные показатели (Z_п,Z_c). Показатели, используемые в обобщенных показателях, называют частными (Y_i, Y_j).

Если в произведение (сумму) включается часть показателей, то остальные частные показатели включаются в ограничения. Показатели, образующие произведение (сумму), могут иметь весовые коэффициенты k_i (k_j). В общем виде эти методы можно представить в виде формул (4.6) и (4.7):

Z_П = extr П k_i y_i (4.6)

i

Z_C = extr  k_j y_j (4.7)

j

4. Оценка эффективности СЗИ может осуществляться также методом Парето. Сущность метода заключается в следующем. При использовании n показателей эффективности системе соответствует точка в n-мерном пространстве. В этой области располагаются несравнимые решения, для которых улучшение какого-либо показателя невозможно без ухудшения других показателей эффективности. Выбор наилучшего решения из числа парето-оптимальных может осуществляться по различным правилам.

4.4. Эффективность комплексных систем защиты информации
Эффективность КСЗИ оценивается как на этапе разработки, так и в процессе эксплуатации. В оценке эффективности КСЗИ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода:

классический;
официальный;
экспериментальный.

Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной кс. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.

Большую практическую значимость имеет подход к определению эффективности КСЗИ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.

Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в КС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является ее класс защищенности.

Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем защиты является то, что не определяется эффективность конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно подробных требований к этим механизмам защиты.

Во всех развитых странах разработаны свои стандарты защищенности компьютерных систем критического применения. Так, в министерстве обороны США используется стандарт TCSEC (Department of Defence Trusted Computer System Evaluation Criteria), который известен как Оранжевая книга.

Согласно Оранжевой книге для оценки информационных систем рассматривается четыре группы безопасности: А, В, С, D. В некоторых случаях группы безопасности делятся дополнительно на классы безопасности.

Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный уровень безопасности. Методы защиты, реализованные в системе, могут быть проверены формальными методами. В этой группе имеется только один класс – А1.

Группа В (полномочная или полная защита) представляет полную защиту КС. В этой группе выделены классы безопасности В1, В2 и В3. Класс В1 (защита через грифы или метки) обеспечивается использованием в КС грифов секретности, определяющих доступ пользователей к частям системы. Класс В2 (структурированная защита) достигается разделением информации на защищенные и незащищенные блоки и контролем доступа к ним пользователей. Класс В3 (области или домены безопасности) предусматривает разделение КС на подсистемы с различным уровнем безопасности и контролем доступа к ним пользователей.

Группа С (избирательная защита) представляет избирательную защиту подсистем с контролем доступа к ним пользователей. В этой группе выделены классы безопасности С1 и С2. Класс С1 (избирательная защита информации) предусматривает разделение в КС пользователей и данных. Этот класс обеспечивает самый низкий уровень защиты КС. Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается раздельным доступом пользователей к данным.

Группу D (минимальной безопасности) составляют КС, проверенные на безопасность, но которые не могут быть отнесены к классам А, В или С.

Организация защиты информации в вычислительных сетях Министерства обороны США осуществляется в соответствии с требованиями руководства «The Trusted Network Interpretation of Department of Defense Trusted Computer System Evaluation Guidelines». Этот документ получил название Красная книга (как и предыдущий - по цвету обложки).

Подобные стандарты защищенности КС приняты и в других развитых странах. Так, в 1991 году Франция, Германия, Нидерланды и Великобритания приняли согласованные «Европейские критерии», в которых рассмотрено 7 классов безопасности от Е0 до Е6.

В Российской Федерации аналогичный стандарт разработан в 1992 году Государственной технической комиссией (ГТК) при Президенте РФ. Этим стандартом является руководящий документ ГТК «Концепция защиты средств вычислительной техники и автоматизированных систем от НСД».

Устанавливается семь классов защищенности средств вычислительной техники (СВТ) от НСД (см. табл. 4.1). Самый низкий класс - седьмой, самый высокий - первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.
Таблица 4.1
следующая страница >>