СРЕДНЕЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЕ Серия основана в 2001 году А.В. Васильков, И.А. Васильков БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ДОСТУПОМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ УЧЕБНОЕ ПОСОБИЕ по Рекомендовано Методическим советом Учебно-методического центра профессиональному образованию Департамента образования города Москвы в качестве учебного пособия для студентов образовательных учреждений среднего профессионального образования гпапшт.сот Москва 2022 ИНФРА-М УДК 004.056.5(075.32) ББК 32.973-018.2я723 В19 Рецензенты: ведущий специалист отдела ПД ИТР информации ОАО «ОКБ Сухого» О.Г. Пикалов', кандидат педагогических наук, руководитель отдела информацион¬ ных и образовательных технологий Учебно-методического центра по кандидат технических наук, и технической защиты профессиональному образовванию Департамента образования города Москвы Н.Л. Демкина Васильков А.В. Безопасность В19 мах : и управление доступом в информационных систе¬ пособие Москва : учебное / А.В. Васильков, И.А. Васильков. — ФОРУМ : ИНФРА-М, 2022. — 368 с. — (Среднее профессиональное образование). 18ВК 978-5-91134-360-6 (ФОРУМ) 18ВК 978-5-16-012933-4 (ИНФРА-М, рпп!) I8В^ 978-5-16-104336-3 (ИНФРА-М, опйпс) В пособии предложены для изучения подходы, базовая концепция, принципы построения систем безопасности и оценки уровня безопасно¬ сти информации в информационных системах, сетях и автоматизирован¬ С этих позиций рассматриваются информация ных системах управления. и условия ее обработки в информационных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, сред¬ ства и системы управления учебного пособия в условиях обеспечения безопасности. Цель будущему специалисту возможность созда¬ ния системы безопасности информации с гарантированными характери¬ — показать стиками, качеством и оптимальными затратами. Для студентов среднего профессионального образования и бакалавров, информации в инфор¬ обработки и управления. специалистов в области зашиты и безопасности мационных и автоматизированных системах ее Может быть рекомендована разработчикам, пользователям и владельцам информационных различным систем, государственным и военным организациям, финансовым и корпоративным структурам. УДК 004.056.5(075.32) ББК 32.973-018.2я723 I8В^ 978-5-91134-360-6 (ФОРУМ) 18ВИ 978-5-16-012933-4 (ИНФРА-М, рпШ) I8В^ 978-5-16-104336-3 (ИНФРА-М, опНпе) © Васильков А.В., Васильков И.А., 2009 © ФОРУМ, 2009 Предисловие Развитие применения компьютерной техники и информаци¬ онных систем в экономике, управлении, связи, научных иссле¬ дованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности является определяю¬ информатизации и развития общества в це¬ лом. Эффект, достигаемый за счет применения компьютерной техники, возрастает при увеличении масштабов обработки ин¬ формации, т. е. концентрации по возможности больших объемов информации и процессов их обработки в рамках одной техниче¬ щим направлением ской системы, включая территориально рассредоточенные ком¬ пьютерные сети и автоматизированные системы управления. Масштабы и сферы применения этой техники стали таковы, что наряду с проблемами надежности и устойчивости ее функ¬ проблема обеспечения безопасности циркулирующей в ней информации. Безопасность информации это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требо¬ ваний по величине вероятности наступления событий, выра¬ жающихся в утечке, модификации или утрате информации, представляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случай¬ ционирования возникает — ные воздействия либо воздейсзвия в результате преднамеренною несанкционированного доступа человека-нарушителя (злоумыш¬ ленника). Утечка информации заключается в раскрытии какой-либо тайны: государственной, военной, служебной, коммерческой или личной (персональной). Защите должна подлежать не толь¬ ко секретная информация. Модификация несекретной инфор¬ мации может привести к утечке секретных либо к не обнаружен¬ ному получателем приему ложной информации. Разрушение или исчезновение накопленной с большим трудом информации мо¬ жет привести к невосполнимой ее утрате. 4 Предисловие В зависимости от сферы и масштабов применения той или иной системы обработки информации потеря или утечка ее мо¬ жет к привести последствиям различной тяжести: от невинных шуток до исключительно больших потерь экономического и литического по¬ характера. информатизации общества проблема безопасности информации весьма актуальна и оста¬ В связи с высокими темпами таковой навсегда. Специалисты нется в данной области без ра¬ боты не останутся. Началом работы по построению системы информационной безопасности и управлением доступом к информации в любой организации начинается с разработки концепции. Ключевыми моментами в разработке концепции являются четкость и ясность постановки задачи. В первую очередь это ка¬ определений объекта и предмета защиты, а также потен¬ сается циальных угроз. Предметом защиты принято считать «информационные ресур¬ сы». Это понятие имеет множественный характер и представляет собой Границы этого множества никем и ничем не определены и устанавливаются разработчиком информационной системы по своему усмотрению с учетом реко¬ множество предметов защиты. мендаций специалистов. Далее определяется множество потенци¬ альных подобранное на ос¬ нове угроз этим ресурсам экспертных оценок и адекватное им множество средств защиты, которые в образовать в автоматизированной системе и вокруг нее некую защищенную среду обработки информации. Понятие информационный ресурс более емкое и включает в себя понятие информации. Поэтому специалисту, разрабаты¬ совокупности должны вающему и реализующему данную систему, надо постараться не отодвинуть в тень основной предмет защиты информацию. — Таким образом основными положениями концепции обеспечения безопасности при информации разработке и управле¬ ния доступом в информационных системах организации должны стать • следующие: выбор информации в качестве предмета защиты (ресурсы тоже защищаются, но только в • использование в ни • расчетах прочности защиты времени жиз¬ информации; использование в построении защиты матизированных систем и необходимых случаях); по обработки информации; видам, классификации авто¬ принципам построения 5 Предисловие • • применение различных подходов к случайным и преднаме¬ ренным угрозам информации; приложение известной стратегии и тактики защиты любого предмета к защите информации в компьютерных системах; • сведение всех потенциальных угроз бытиям • — информации к трем со¬ утечке, модификации и утрате; разработка и использование в постановке задачи простой классифи¬ модели ожидаемого поведения нарушителя и его кации; • информационных системах возможных ка¬ несанкционированного доступа к информации со определение налов в стороны нарушителя того или иного класса; • разработка расчетных соотношений для построения средств и системы защиты, перекрывающих возможные каналы не¬ санкционированного доступа к информации, в целях созда¬ ния замкнутого контура защиты нем его с гарантированным уров¬ прочности. Следуя перечисленным положениям, специалист независимо от того, на какой компьютерной платформе он работает и какие инструментальные ресурсы у него в наличии, получит: • базис для дальнейшей деятельности, основанный на еди¬ ной для всех видов компьютерных систем теории безопас¬ ности • информации; возможность создания в заданной компьютерной системе встроенной автоматизированной подсистемы безопасно¬ сти информации в виде единого механизма с гарантиро¬ ванными количественными и качественными характери¬ стиками; • • возможность получения с позиций безопасности информа¬ требований к аппаратным ции оптимальных ным средствам компьютерных систем; возможность включения типовых и требований программ¬ по безопас¬ информации в техническое задание на разработку компьютерной системы; возможность разработки четких и ясных руководящих ности • внутренних регламентирующих и нормативных документов при создании компьютерных систем на основе государст¬ венных нормативных документов по безопасности инфор¬ мации и других вышестоящих органов. В каким данном учебном пособии последовательно показывается, образом предполагается получить указанные результаты. 6 Предисловие В разделе I рассматривается информация как предмет защи¬ ты, ее свойства, виды и формы представления в автоматизирован¬ ных системах ее обработки и управления. С позиций безопасно¬ информации приводятся классификация, состав технических средств и обобщенные свойства систем обработки информации как объектов, содержащих предмет защиты. Систематизируются потенциальные угрозы безопасности информации в информаци¬ сти онных системах и их компонентах автоматизации и подводится база под постановку задачи. В разделе II рассматриваются современные методы защиты информации в информационных системах и их компонентах ав¬ томатизации, изложенные в определенной последовательности, без которых пособие было бы неполным. В разделе III предлагаются новные принципы основы концептуальные обеспечения безопасности и ос¬ информации в информационных системах и их компонентах автоматизации. Проводится более строгий анализ типовых информационных систем и средств автоматизации как объектов защиты инфор¬ мации: комплексов средств автоматизации обработки информа¬ ции, информационных сетей и глобальных автоматизирован¬ ных систем управления; производится постановка задачи и на элементарных моделях выводятся расчетные соотношения и концептуальные ности основы для построения в них систем безопас¬ информации. В разделе IV предлагаются принципы построения системы безопасности в комплексах средств автоматизации обработки информации на основе рассмотренной концепции. В разделе V излагаются принципы построения системы пасности безо¬ информации в информационных сетях и автоматизи¬ рованных системах управления, построенных на их базе. В разделе VI рассматривается оценка уровня безопасности информации в автоматизированных системах обработки ин¬ формации и управления и предложены основные методы ре¬ шения. Учитывая особенности развития компьютерной техники и принципов построения информационных систем с комплексами автоматизации на основе получивших широкое распространение персональных компьютеров и локальных компьютерных сетей, в учебном пособии показывается, что к ним также применимы рассмотренные концепция и технология обеспечения безопасно¬ сти информации. 7 Предисловие VII рассмотрены принципы построения и методы эффективности системы безопасности информации в В разделе оценки подобных системах. В разделе VIII рассмотрены кратко документы основные нормативные библиографические данные орга¬ обеспечения информационной безопас¬ со ссылками на их низационно-правового ности. При написании учебного пособия был выдержан данного ряд принципов. Во-первых, это четкое ограничение предмета изложения. Поскольку это учебное пособие по дисциплине «Безопасность и управление доступом в информационных системах», то изложение материала посвящено прежде всего фундаментальным вопро¬ сам — концепции, принципам и построения методам ожидаемой эффективности защиты информации системах онных системах и автоматизированных управления, овладев которыми, формации и достаточно эффективные и экономичные оценки информаци¬ обработки ин¬ в можно построить ее безопас¬ чтобы служить системы ности. Во-вторых, пособие не рассчитано на то, информационной безопасности, предлагаемым конкретными фирмами-поставщи¬ справочником ками. по существующим Упоминаемые по ходу средствам изложения материала отдельные средства защиты приведены для примера и при необходимости могут быть заменены другими, более совершенными, так как средства и технологии развиваются достаточно быстро и моменту выхода пособия вполне могут оказаться морально данные к устаревшими. Третий принцип касается уровня изложения материала. По¬ скольку учебное пособие рассчитано на студентов среднего про¬ бакалавров, в пособии выдержи¬ вается метод изложения, доступный обеим аудиториям. От сту¬ фессионального образования и дента не требуется знания продвинутых специальных дисциплин в области компьютерной техники и программирования, но необ¬ ходимые тельны. общеспециальные дисциплины жела¬ Учебное пособие не является свободным экскурсом на предваряющие актуальную тему. В-четвертых, преследовался принцип — при сохранении фундаментальности вопросов, касающихся работы с информацией вообще и с информационными системами в част¬ ности, сохранить практическую направленность материала. Приизлагаемых 8 Предисловие ведено достаточное количество табличного материала, мого для необходи¬ быстрого проектирования, реализации системы инфор¬ мационной безопасности и последующей ее эксплуатации. При составлении плана пособия не включены правовые просы, в принципе очень важные, но достаточно во¬ подробно рас¬ смотренные в пособии авторов [3], выпущенном в этом же изда¬ тельстве. Законодательные меры упоминаются в соответствую¬ щих аспектах и технологиях лишь как средство предупреждения сдерживания потенциального нарушителя, а также как основа для регламентации действий. и Цели данного учебного пособия: дать студентам соответствую¬ щих специальностей, как будущим специалистам, так и заказчи¬ кам их работ и владельцам информационных систем и автома¬ тизированных систем обработки информации и управления, практические подходы к решению проблем, связанных с безо¬ пасностью информации, с построением системы управления доступом, и оказать им помощь в поиске оптимальных реше¬ ний. Достижение целей основывается на единстве теории, прак¬ тических принципов построения, ожидаемой эффективности системы методов расчета и оценки безопасности информации информационных системах. Данное учебное пособие рассчитано прежде всего на студен¬ тов среднего профессионального образования и бакалавров вузов, но будет полезно студентам других соответствующих спе¬ циальностей, а также специалистам и всем интересующимся данным комплексом проблем. в Введение Проблема защиты информации от постороннего доступа и воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человече¬ нежелательных ского общества, появлением частной собственности, государст¬ борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой венного строя, существующему и потенциальному владельцам по¬ лучить какой-либо выигрыш: материальный, политический, во¬ позволит ее енный и т. д. В период существования примитивных носителей ции ее защита осуществлялась в основном информа¬ организационными методами, которые включали ограничение и разграничение досту¬ па, определенные меры наказания за разглашение тайны. По свиде¬ тельству Геродота, уже в V в. до н. э. использовалось преобразо¬ информации методом кодирования. Коды появились в глу¬ бокой древности в виде криптограмм (по-гречески тайнопись). вание — Спартанцы специальный механический прибор, с по¬ мощью которого важные сообщения можно было писать особым имели способом, обеспечивающим сохранение тайны. Собственная сек¬ ретная азбука была у Юлия Цезаря. В средние века и эпоху Воз¬ рождения над изобретением тайных шифров трудились многие выдающиеся люди, в их числе кон, крупные математики Джон Валлис. С переходом информация и известный философ Френсис Бэ¬ Франсуа Виет, Джироламо Кардано, использование подвергается неисправностям и т. на — сбоям технических средств связи воздействию случайных процессов: оборудования, ошибкам операторов д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторон¬ них лиц. С дальнейшим усложнением и широким распростране- 10 Предисловие нием технических связи средств возросли возможности преднамеренного доступа к информации. С появлением сложных автоматизированных связанных с ления, для систем управ¬ автоматизированным вводом, хранением, об¬ работкой и выводом информации, проблема ее защиты приобре¬ тает еще большее значение. Этому способствовали: увеличение объемов информации, накапливаемой, храни¬ мой и обрабатываемой с помощью ЭВМ (компьютеров) и других средств компьютерной техники; сосредоточение в единых базах информации различного назначения, принадлежности и формы представления; • • • • расширение круга пользователей, имеющих доступ к ресур¬ сам вычислительной системы и вам информации; находящимся в ней масси¬ усложнение режимов функционирования технических средств вычислительной системы широкое внедрение — многопрограммного режима, режима разделения времени и реального времени; • автоматизация межмашинного обмена информацией, больших расстояниях; числе и на • в том увеличение количества технических томатизированных системах средств управления и и связей в ав¬ обработки ин¬ формации; • появление ного персональных компьютеров, а затем интенсив¬ развития глобальной сети Интернет, расширяющих возможности не только пользователя, но и К настоящему времени нарушителя. и в самом человеческом обществе, и обработки информации произошли большие изме¬ нения, которые повлияли на саму суть проблемы защиты ин¬ формации, безопасности и управления доступом. в технологии Индустрия переработки информации уровня. Появление терную сеть с возможности домашнего кредитных карточек создает выхода компьютера, еще достигла в глобального глобальную компью¬ «электронных» денег, большую долю риска в сфере работы с информацией. Особую обеспокоенность представляет появление в рядах киберзлоумышленников и хулиганов высокоинтеллектуальных разработчиков, зачастую действующих от лица и во исполнение целей определенных организаций. С помощью телефона и персональных компьютеров, связан¬ ных с почти всеми крупными компьютерами экономики, науч- И Введение но-исследовательских центров, банков и т. п., они подключают¬ передаче информации. Все большее распространение получил новый вид ся к терного преступления честве — создание компьютерных вирусов, в ка¬ выступают специально которых компью¬ разработанные програм¬ работать в определенных условиях или по определенному сигналу. При этом вирус может размножаться, словно возбудитель болезни, когда соприкасается с другим про¬ мы, начинающие Последствия от «заражения» программ подобными вирусами могут быть различными: от безобидных шуток в виде юмористических помех до разрушения программ¬ ного обеспечения, восстановление которого может оказаться не¬ граммным обеспечением. возможным, а потери невосполнимыми. Последствия несанкционированных воздействий ционированного использования ма серьезный характер, Специалисты несанк¬ информации могут носить весь¬ включая опасностью возникновения и политический, связанный с войны. называют много возможных способов несанк¬ ционированного доступа к информации в системе обработки ин¬ формации: просмотр; копирование и подмена информации; ввод ложных программ, команд и сообщений; подключение с этой целью к линиям и каналам связи; использование отладочных и аварийных программ и устройств; чтение остатков информации; побочного электромагнитного излучения и на¬ водок информации; использование неисправностей и сбоев ап¬ прием сигналов паратуры, ошибок операторов, программных ошибок и т. д. Для того чтобы остановить нарушителя, необходимо опреде¬ лить возможные точки ной приложения его усилий в информацион¬ системе и установить на его пути систему соответствующих преград достаточной прочности. Начало пособия посвящено анализу автоматизированных обработки информации (ядра любой информационной системы) как объектов защиты информации. систем Раздел I АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ КАК ОБЪЕКТЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Глава 1 ПРЕДМЕТ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Свойства информации Информация — веческом сознании ния это результат отражения и обработки в чело¬ многообразия окружающего мира, это сведе¬ об окружающих человека предметах, явлениях природы, деятельности других людей и т. д. Сведения, которыми обмени¬ вается человек через машину с другим человеком или с маши¬ ной, и являются предметом защиты. Однако защите подлежит не всякая информация, а только та, становится та которая имеет информация, обладание которой цену. Ценной позволит ее су¬ ществующему и потенциальному владельцу получить какой-либо выигрыш: моральный, материальный, политический и т. д. По¬ скольку в человеческом обществе всегда существуют люди, же¬ лающие незаконным путем получить ценную владельца возникает информацию, у ее необходимость в ее защите. Ценность информации является критерием при принятии любого решения о ее защите. Хотя было предпринято много раз¬ формализовать этот процесс с использованием методов теории информации, анализа решений, экспертных сис¬ тем, процесс оценки до сих пор остается весьма субъективным. личных попыток Глава 1. Предмет безопасности информации 13 Для оценки требуется распределение информации на категории не только вестно в соответствии с ее ценностью, но следующее разделение информации по и важностью. Из¬ важности: уровню 1) информация, наличие кото¬ рой необходимо для функционирования организации; 2) важная информация информация, которая может быть жизненно важная незаменимая — заменена или восстановлена, но восстановления процесс очень труден и связан с большими затратами; 3) полезная информация информация, которую трудно вос¬ становить, однако организация может эффективно функциони¬ — ровать и без нее; 4) несущественная информация — информация, которая боль¬ ше не нужна организации, или организация может без нее обой¬ тись. На практике отнесение рий может одна и та информации к одной из этих катего¬ представлять собой же информация очень быть может подразделениями организации, каждое так трудную задачу, использована из которых как многими может отне¬ эту информацию к различным категориям важности. Катего¬ рия важности, как и ценность информации, обычно изменяется сти со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей. Существуют определения групп лиц, связанных с обработкой информации: • держатель формации; • источник — — и/или лицо организация организация и/или лицо, обладатель ин¬ поставляющее ин¬ — формацию; • нарушитель — отдельное лицо и/или организация, стремя¬ щееся получить информацию. Отношение этих групп к значимости одной и той мации может быть различно: для одной — инфор¬ важная, для другой же — Например: нет. важная оперативная информация, такая, например, как спи¬ сок заказов на данную неделю и график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка; персональная информация, например медицинская, имеет большую ценность для источника (лица, к которо¬ му относится информация), чем для сс держателя или наруши¬ значительно теля; Раздел I. Автоматизированные системы обработки информации... 14 информация, используемая руководством для выработки ре¬ шений, например, о перспективах развития рынка, может быть значительно более ценной для нарушителя, чем для источника или который уже завершил анализ этой информации. Приведенные категории важности заслуживают внимания и могут быть применены к любой информации. Это также согла¬ суется с существующим принципом деления информации по ее держателя, уровням секретности. Уровень секретности тельная мера, — это административная соответствующая мере или законода¬ ответственности лица за потерю конкретной секретной информации, регла¬ ментируемой специальным документом, с учетом государствен¬ утечку или ных, военно-стратегических, коммерческих, служебных или ча¬ стных интересов. Такой информацией может быть государствен¬ ная, военная, коммерческая, служебная или личная тайна. следующий уровень сохранения тай¬ Конфиденциальность ны информации. Очевидно, что, где есть уровень секретности, там есть и уровень конфиденциальности, но не наоборот. Практика показала, что защищать необходимо не только секретную или конфиденциальную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификации команд управления), может привести — потере связанной ней секретной информации, а также к невыполнению автоматизированной информационной системой функций по причине получения ложной информации, которые могут быть не обнаружены пользователем системы. Суммарное количество, или статистика несекретной и кон¬ фиденциальной информации, в итоге может оказаться секрет¬ ным, или конфиденциальным. Аналогично сводные данные од¬ ного уровня важности в целом могут являться информацией бо¬ лее высокого уровня секретности или конфиденциальности. Для к утечке или защиты от с подобных ситуаций широко применяется разграниче¬ При информации, обрабатываемой в системе обработки, информация делится в соответствии с функ¬ ние доступа к информации по функциональному признаку. одинаковой степени циональными важности обязанностями и полномочиями пользователей, владельца администрацией организации автоматизированной системы информации и управления. В соответствии с описанными принципами деления инфор¬ мацию, обрабатываемую в автоматизированных системах обра¬ ботки информации и управления (АСОИУ), для иллюстрации устанавливаемыми — Глава 1. Предмет безопасности информации по важности категориям виде пирамиды, и состоящей секретности из можно нескольких наиболее 15 слоев представить по в вертикали. Вершиной пирамиды информация, а фундаментом несекретная информация, связанная с обработ¬ кой более важной (секретной) информации. Каждый слой дан¬ является важная — ной пирамиды, поделенной на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям ее пользователей (рис. 1). категория категория категория категория Рис. 1. Модель предмета защиты и безопасности информации До последнего времени безопасность информации в АСОИУ понималась ванного исключительно получения во все как опасность ее время нахождения в несанкциониро¬ АСОИУ. В настоящее время безопасность интерпретируется еще и как безопасность действий, для осуществления которых используется информация. Принципиальные отличия расширенного толкования по сравнению с традиционным очень важны, так как компьютерная техника все больше используется для автоматизированного и ав¬ томатического управления онными системами и ные изменения высокоответственными процессами, информаци¬ в которых несанкционирован¬ запланированных алгоритмов и технологий мо¬ гут иметь серьезные последствия. У информации в информационных системах есть свой жиз¬ ненный цикл, диаграмма которого представлена на рис. 2. Полученная системой информация оценивается на достовер¬ ность и полезность. Часть информации уничтожается, а осталь¬ ная подготавливается зуется в к хранению (систематизируется, преобра¬ удобную для хранения форму, сортируется по массивам Раздел I. Автоматизированные системы обработки информации... 16 Рис. 2. Жизненный цикл информации хранения). Из хранилища выбирается нужная в данный момент времени информация, обрабатывается и используется в необхо¬ димых целях. Полученные отчетные данные проходят тот же При выборке могут уничтожаться сведения, потерявшие интерес из-за их старения. Время жизни информации определя¬ ется ее владельцем в процессе эксплуатации информационной цикл. системы в конкретных условиях. Виды и формы представления информации Известно, что информация может быть представлена в виде: букв; символов; цифр; слов; текста; рисунков; схем; формул; гра¬ фиков; таблиц; планов; чертежей; географических, топографиче¬ ских, технологических карт; алгоритмов, видеозаписей, аудиоза¬ писей и т. д., которые, в свою очередь, могут быть представлены в виде: постоянной или переменной информации; команд; сооб¬ щений; справок; решений; приказов; распоряжений; заданий; ведомостей; инструкций; комментариев; писем и запи¬ сок; телеграмм; чеков; массивов; файлов; У/ЕВ-сайтов, порталов; электронных библиотек, видеотек, фонотек, блогов и т. д. отчетов; Глава 1. Предмет безопасности информации 17 Компьютерное представление информации Информация, воплощенная и зафиксированная в некоторой материальной форме, называется сообщением. Сообщения могут быть непрерывными и дискретными (цифровыми). Непрерывное сообщение представляется некоторой физиче¬ ской величиной (электрическим напряжением, током и т. д.), которой отображают протекание рассматриваемого Физическая величина, передающая непрерывное сооб¬ процесса. изменения щение, может принимать любые значения и изменяться в произ¬ вольные моменты времени. Таким образом, в непрерывном со¬ общении конечной длины может содержаться большое количе¬ информации. Для дискретных сообщении характерно наличие фиксирован¬ ного набора отдельных элементов, из которых в дискретные мо¬ менты времени формируются различные последовательности элементов. Важным является не физическая природа элементов, а то обстоятельство, что набор элементов конечен и потому лю¬ ство бое дискретное сообщение конечной длины передает конечное некоторой величины, а следовательно, количе¬ ство информации в таком сообщении конечно. При дискретной форме представления информации отдель¬ число значений ным ее элементам могут быть присвоены числовые (цифровые) В таких случаях говорят о цифровой информации, а компьютерные машины и системы, использующие цифровую форму представления информации, называются также цифро¬ значения. выми. Элементы, из которых состоит дискретное сообщение, назы¬ вают буквами или символами. Набор этих букв (символов) обра¬ алфавит. Здесь под буквами, в отличие от обычного пред¬ ставления, понимаются любые знаки (обычные буквы, цифры, зует знаки препинания, математические и прочие знаки, цвета сиг¬ др.). Число символов в алфавите называется объемом алфавита. Объем алфавита определяет количество ин¬ формации, доставляемой одним символом сообщения. Если ал¬ фавит имеет объем Лив любом месте в сообщении равновероят¬ нальных ламп но появление чество и любого символа, то доставляемое символом коли¬ информации можно определить как, бит /0 = 1о§2 Л. (1) Раздел I. Автоматизированные системы обработки информации... 18 Дискретное сообщение можно разбить на группы символов и назвать эти вом группы словами. Длина слова определяется количест¬ содержащихся в нем символов. В компьютерной представление теме или технике широко используется однородное информации, при котором в компьютерной сис¬ отдельных ее частях все слова имеют определенную длину. Однородное представление информации упрощает обмен конструкцию устройств компьютерной системы. В алфавите объемом А можно представить ^ различных слов ею и длиной 8, где ^=А\ (2) Тогда количество информации, содержащейся в слове, /, =1оё^=51оё2Л = (3) 5/0. Выражение (3) справедливо, если вероятности появления в сообщении любого (и символа) равны и не зависят от предшествующих слов (и символов). Неравномерность появления символов, наличие взаимной зависимости символов в сообщении, как это имеет место, на¬ слова пример, при передаче смысловых сообщений (текста), является причиной того, что количество информации в одном символе уменьшается. Связь между символами сообщения создает избыточность информации. В языке избыточность носит естественный харак¬ тер. Однако в вычислительных системах широко применяется искусственная избыточность при кодировании сообщений, кото¬ рая позволяет контролировать и устранять ошибки при передаче информации по линиям связи, а также между отдельными уст¬ ройствами цифровой вычислительной системы. В цифровых вычислительных машинах и системах широко употребляется двоичный алфавит, имеющий лишь два симво¬ 0 и I. Его применение упрощает техническую реализацию устройств компьютерной техники. Любое дискретное сообще¬ ние, выраженное в некотором алфавите, переводимо в двоичный алфавит, если длина двоичного слова отвечает формуле ла — 52>5,1оё2Л1. (4) Современные компьютерные системы обрабатывают не толь¬ ко числовую, но и текстовую, иначе говоря, алфавитно-цифро¬ вую информацию, содержащую цифры, буквы, знаки препина- Глава 1. Предмет безопасности информации ния, математические и другие символы. 19 Именно такой характер финансовая, учетная, бухгалтерская, ста¬ другая информация, содержащая наименование предметов, фамилии людей, числа и т. д. Характер этой информации таков, что для ее представления требуются слова переменной длины. Применение для записи ал¬ имеет экономическая, тистическая и горитмов и автоматизация программирования алгоритмических языков делают необходимым ввод в машину и вывод наряду с об¬ щеупотребительными еще и некоторых специальных символов. Деловая информация в среднем содержит вдвое больше цифр, чем букв. Поэтому наряду с общей системой кодирования алфавитно-цифровых символов в компьютерах сохраняют также отдельную систему кодирования для десятичной цифровой ин¬ формации. При развитии технологий цифрового видео и звука понадо¬ билось еще более увеличить разрядность оцифровки аналоговых сигналов и особенно при получении видео и звука высокого ка¬ чества. Наибольшее распространение получило представление формации посредством восьмиразрядного слога, ин¬ называемого байтом. С помощью восьмиразрядного слога можно кодировать 256 различных символов (2х). Несколько байтов образуют слова. Компьютер производит обработку информации, состоящую в ее запоминании, передаче из одних устройств в другие, выпол¬ информацией арифметических и логических преобра¬ зований. Процесс обработки информации автоматизирован с помощью программного управления. Программа представляет собой алгоритм переработки информации, записанной в виде нении над последовательности машиной для команд, которые должны быть выполнены получения искомого результата. Используемые человеком при научно-технических расчетах, обработке экономической, финансовой и другой информации, при программировании задач натуральные формы представления и натуральные единицы информации существенно отличаются от форм представления и единиц информации в машине. Поле — группа символов, имеющих определенное значение и подвергающихся обработке за одну и ту же арифметическую или логическую операцию. Этому команда, определению соответствуют группа символов, многоразрядное обозначающих число, определенный при- Раздел I. Автоматизированные системы обработки информации... 20 знак — реквизит какого-либо объекта наименование детали, ее вес год рождения и д.). Запись представляет собой группу полей, описывающих при¬ т. некоторого лица, (например, фамилия или (свойства, характеристики, параметры) некоторого объек¬ та. Например, строка экзаменационной ведомости, приведенная знаки на рис. 3. № зачетной Фамилия книжки Васильков 77777 Дисциплина Оценка Информационные Отлично технологии Рис. 3. Экзаменационная ведомость Каждый из реквизитов четной книжки и т. д. что относятся к Массив — (признаков) является полем. фамилия, номер за¬ Поля объединены тем, определенному студенту. объединение записей, — — описывающее некоторое множество объектов (например, экзаменационная ведомость или их совокупность). Словом называют группу символов (разрядов) в памяти ком¬ пьютера, соответствующую некоторому «машинное рый слово» относят к коду полю. Обычно термин определенной длины, кото¬ оперативной памяти или записывается в оперативную память за одно обращение. Машинное слово мо¬ жет представлять собой двоичное число с плавающей или фик¬ сированной запятой, команду, несколько слогов (байтов). Ма¬ считывается шинное слово из содержать дополнительные разряды четности, разряды защиты памяти и др.). может также (разряд контроля по Обычно машинное слово, число в частности команда, содержит целое байтов. Машинная единица информации, соответствующая натураль¬ ной единице — записи, называется фразой (или также записью). Она может занимать несколько машинных слов. Блоком называют группу фраз (записей), расположенных (без промежутков) щего устройства и записываемых на носитель из оперативной па¬ мяти, а также считываемых с носителя в запоминающее устрой¬ ство одной командой. Среди натуральных единиц информации нет единицы, соответствующей блоку. Место в запоминающем компактно на носителе внешнего запоминаю¬ Глава 1. Предмет безопасности информации устройстве на магнитном или оптическом 21 носителе, в котором хранится группа слов, составляющих блок, называется зоной, или сектором. Информационному массиву соответствует машинная едини¬ ца информации файл. Файл состоит в общем случае из не¬ — скольких блоков. Томом называется машинная единица информации, соответ¬ ствующая часть внешнего (часто дисков пакету томом носителя, винчестера, называют логическую например). Физическое представление информации и процессы ее обработки Как было формация аналогами показано в выше, вычислительных системах ин¬ алфавите. Физическими знаков этого алфавита служат физические сигналы, в представляется двоичном способные принимать два хорошо различимых значения, напри¬ мер электрическое напряжение уровня, отсутствие по и наличие (потенциал) высокого и низкого импульса тока, противоположные знаку значения напряженности магнитного поля и т. п. Непременным требованием к физическим аналогам двоич¬ ного алфавита является возможность надежного распознавания двух различных значений сигнала, которые при описании зако¬ нов функционирования схем обозначаются символами 0 (нуль) и 1 им (единица). В схемах цифровых устройств переменные и соответствующие сигналы изменяются и лишь в дискретные моменты воспринимаются — времени не непрерывно, по тактовым а импульсам. В цифровых устройствах применяют три способа физическо¬ представления информации: потенциальный, импульсный и ди¬ намический. Слово может быть представлено последовательным го или параллельным способом ного (кодом). Устройства последователь¬ действия работают медленнее, чем параллельного. Однако устройство параллельного действия требует большего объема ап¬ паратуры. В вычислительной технике применяются оба способа в зависимости от требований, предъявляемых к конкретному из¬ делию. Информация в вычислительной личным процессам: вводу, хранению, системе подвергается обработке и выводу. раз¬ Раздел I. Автоматизированные системы обработки информации... 22 Ввод информации в компьютерную систему осуществляется с устройств ввода, имеющих большое клавиатуры, манипулятора «мышь» и разнообразие, заканчивая начиная с современными цифровыми фото видеокамерами, различных дисков, флэш-карт и т. д. Хранение информации производится на запоминающих уст¬ в оперативной памяти и в различ¬ ройствах: кратковременное и а также с — ных регистрах приборах, памяти, магнитных и выполненных оптических на полупроводниковых элементах; долговремен¬ устройствах, выполненных на магнитных лентах (стримерах), дисках (жестких типа «винче¬ стер», мягких (практически уже не применяемых с появлени¬ ем стандарта П8В)), и триумфально шествующих разнообразных лазерных и флэш-технологий. Обработка информации в вычислительной системе произво¬ дится в соответствии с принятой системой команд, алгоритма¬ ми, определяемыми программным обеспечением, и командами, поступающими с внешних устройств управления. Вывод информации производится на внешние устройства связи и регистрации информации без ее визуального отображе¬ ния (на указанные выше запоминающие устройства) и устройст¬ ва с отображением: печатающие устройства, индикаторы, табло и другие устройства индивидуального и коллективного отобра¬ ное — во внешних запоминающих — Выбор метода обработки информации определяется ха¬ жения. рактером решаемых задач, особенностями используемой инфор¬ мации, а также параметрами технических средств автоматизации и возможностями программного и аппаратного обеспечения компьютерных систем. Информационные процессы в системах обработки информа¬ ции условно разделяют на три группы: • информационно-справочное обеспечение должностных лиц органов управления; • • информационное обеспечение расчетных задач; обслуживание информационной базы автоматизированной системы управления. Эти процессы реализуют должностные лица органов управ¬ ления и обслуживающий персонал информационной системы с аппаратных средств автоматизации и связи, программ¬ ного обеспечения и информационной базы системы. помощью По стабильности информацию делят на условно-по¬ стоянную и переменную. К условно-постоянной информации отстепени Глава 1. Предмет безопасности информации 23 носятся данные, которые в течение длительного времени не ме¬ няются. мация По использованию в процессах управления делится на нормативную, справочную, инфор¬ вся плановую, оперативно-производственную, отчетную и аналитическую. Обработанная информация непосредственно на их выдается лицам должностным автоматизированные средства управле¬ (на устройства печати и отображения индивиду¬ ального пользования) либо на устройства выдачи коллективного пользования (автоматизированные устройства управления, уст¬ ройства регистрации графической информации, устройства на¬ глядного отображения коллективного пользования и т. п.). ния и контроля На объектах автоматизированных систем обработки инфор¬ мации и управления накапливаются и хранятся большие объемы информации, как документированной (в виде обычных докумен¬ тов), так и на электронных, магнитных и лазерных носителях. Документированная информация содержит: • ведомость учета хранимых документов; • табуляграммы учета информации, хранимой на машинных носителях; обработку на объекте информаци¬ • документы, прошедшие онной системы; • ведомость регистрации запросов должностных лиц и обслу¬ живающего персонала на получение справок из ментов и • базы доку¬ решение задач; ведомость регистрации выдаваемой информации и другие документы. На информационных носителях хранятся: • информационные массивы общего информационного поля; • архивные данные; • программные блоки, файлы, тома. Информационные массивы общего информационного поля используются для выдачи различных справок по запросам, а так¬ информационного обеспечения расчетных задач. В состав архивной информации входит информация, которая же для в данный момент в работе системы не участвует, но может пона¬ добиться для восстановления или замены массивов, документи¬ рования работы системы и т. д. Информационное единство в автоматизированной системе управления обеспечивается следующим путем: • создания мации; системы классификации и кодирования инфор¬ Раздел I. Автоматизированные системы обработки информации... 24 • разработки и унифицированных систем внедрения доку¬ ментации; • унификации принципов построения нормативов и их об¬ новления; • унификации системы ставимости во времени количественным • регламентации показателей для обеспечения и по различным сопо¬ качественным и признакам; потоков информации по направленности, объему, периодичности, достоверности срочности; унификации порядка формирования и обработки инфор¬ и • мации. Примером классификации и унификации информации мо¬ жет служить приведенный на рис. 4 состав информационной базы информационной системы. Физическое представление информации и процессы ее обра¬ ботки говорят о том, что реализация системы защиты ции должна быть направлена также на информа¬ защиту содержащих ее аппаратных и программных средств, составляющих автоматизи¬ рованную систему что обработки информации. Из этого не следует, предметом защиты ной системы, являются только ресурсы вычислитель¬ как иногда считают многие специалисты. Понятие «ресурсы» в широком смысле этого слова подразу¬ мевает «запасы чего-либо, возможности и т. д.». В этом смысле в вычислительных системах под ные и «ресурсами» понимают программ¬ аппаратные средства обработки, хранения и передачи ин¬ формации, которых может хватить или не хватить вообще или в данный момент времени. Поэтому понятие «ресурсы» не может иметь описанные выше свойства информации и некоторые свойства средств ее обработки. Как можно заметить, предмет за¬ щиты в этом случае выходит за рамки этого понятия. специалисты это почувствовали и ввели понятие ные ресурсы», еще Некоторые «информацион¬ более усугубив положение. В буквальном смысле это понятие с учетом сказанного ранее приобретает значение «информационных запасов». Информация материальна и не может быть расходным материалом (исклю¬ чение составляют «запасы знаний» но это совсем другое поня¬ не — тие). Некорректность применения такого понятия очевидна. Кроме того, информация может быть защищена без аппарат¬ ных и программных средств защиты с помощью криптографиче¬ ского преобразования. При этом нарушитель имеет доступ к ап- Глава 1. Предмет безопаснти информаци Рис. 4. Структура информационной базы информационной системы и системы управления: ИС — информационная система и системы управления Раздел I. Автоматизированные системы обработки информации... 26 паратным и программным средствам, а к информации доступа не имеет. Информация — это предмет собственности. Она может быть собственностью владельца информационной системы; государ¬ ства; той или иной организации, фирмы, частной или общест¬ венной; личной собственностью человека, доверившего ее вла¬ дельцу информационной системы. А там, где наступает и конча¬ быть четкость, ясность и определенность. Соблюдение гарантий этих прав и обеспечивает ется право собственности, должны безопасность информации. Глава 2 ОБЪЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Классификация объектов информационной безопасности Автоматизированные системы обработки информации (АСОИ) или автоматизированные системы обработки информации и управления (АСОИУ), в настоящее время интегрированно назы¬ ваемые просто информационными системами (ИС), получили различное воплощение. Для цельности изложения материала в данном учебном пособии примем за основу классификацию АСОИУ по видам со структурой, представленной на рис. 1. Столь широкий диапазон рассматриваемых систем выбран не только по причине общей проблемы информационной безо¬ пасности, но и что все одной и потому, могут входить в состав перечисленные той виды АСОИУ региональной или гло¬ бальной информационной сети или автоматизированной систе¬ мы же управления. Очевидно, что концепция безопасности информации, теория и основные принципы построения ее защиты в них должны быть едиными. Такому подходу способствует также и то, что ввод-вывод, хранение, обработка и передача информации во всех видах сис¬ базе средств. Поиск подоб¬ ных методов и средств в обеспечении безопасности информации тем строятся на типовых методов и Глава 2. Объекты информационной безопасности Рис. 1. Классификация автоматизированных и управления по также является систем 27 обработки информации способу построения основной задачей при проектировании информа¬ ционной системы. Для исследования детального систем с и представления указанных позиций возможного несанкционированного доступа к информации и постановки задачи рассмотрим элементы их по¬ строения, начиная с компьютера как основного базового эле¬ мента. Ниже рассмотрены структурные схемы и основные прин¬ ципы построения систем обработки информации перечисленных и выше автоматизированных управления. Раздел I. Автоматизированные системы обработки информации... 28 Информационные системы с централизованной обработкой информации Классическая на структурная схема компьютера представлена рис. 2. Арифметико-логическое устройство производит арифметиче¬ и логические преобразования над поступающими в него ские машинными словами, т. е. кодами определенной длины, пред¬ собой числа или ставляющими другой вид информации. Память хранит информацию, передаваемую из других уст¬ ройств, в том числе поступающую в компьютер извне через уст¬ ройство ввода, и выдает во все другие устройства информацию, необходимую для протекания вычислительного процесса. Па¬ мять компьютера в большинстве случаев состоит из двух сущест¬ венно характеристикам частей: быст¬ различающихся по родействующей основной, своим оперативной (внутренней), па¬ мяти и сравнительно медленно действующей, но способной хранить значительно больший объем информации внешней паили Рис. 2. Классическая структурная схема компьютера (обобщенная, включая персональный компьютер) Глава 2. Объекты информационной безопасности 29 мяти. Непосредственно только оперативная память, и лишь по окончании отдельных вычислений из внешней памяти в оперативную память этапов передается в вычислительном процессе участвует информация, необходимая для следующего этапа ре¬ шения задачи. Управляющее устройство (УУ) (без автоматически участия человека) управляет вычислительным процессом, посылая всем другим устройствам сигналы, предписывающие им те или иные действия. В частности, управляющее устройство указывает опе¬ ративной памяти, какие слова должны быть переданы в арифме¬ тико-логическое и в другие устройства, включает арифмети¬ ко-логическое устройство на выполнение нужной операции и помещает полученный результат в оперативную память. Последовательность арифметических и логических опера¬ ций, которые надо произвести над исходными данными и про¬ межуточными результатами для получения решения задачи, на¬ зывают алгоритмом решения задачи численным методом. Поэто¬ му алгоритм операции, можно задать в каком порядке указанием, какие следует произвести и над какими словами. Описание ал¬ форме, воспринимаемой компьютером, называется программой. Программа состоит из отдельных команд. Команды должны быть закодированы в цифровом виде. Перед решением задачи на компьютере программа и исход¬ ные данные должны быть помещены в ее память. Предваритель¬ но эта информация заносится на магнитные диски или другие носители. Затем с помощью устройства ввода программа и ис¬ в горитма ходные данные считываются и переносятся в оперативную па¬ Информация может вводиться в оперативную память не¬ посредственно с клавиатуры, сенсорного устройства, сканера или других устройств ввода информации. Устройство вывода служит для выдачи из компьютера ре¬ зультатов обработки информации, например, путем печатания их на печатных устройствах или отображения на экране дисплея. С помощью дистанционного пульта управления оператор пус¬ мять. кает и останавливает компьютер, а при необходимости может вмешиваться в Средства являются процесс выполнения задачи. программного обеспечения и аппаратные средства двумя взаимосвязанными компонентами компьютер¬ ной техники. Система программного (математического) обеспечения ком¬ пьютера представляет собой комплекс программных средств, Раздел I. Автоматизированные системы обработки информации... 30 в котором программ можно выделить технического операционную систему, комплект обслуживания и прикладных программ (рис. 3). Операционные системы являются важнейшей и центральной частью программного обеспечения компьютера и предназначены эффективного управления внутренними (системными) про¬ цессами компьютера, планирования работы и распределения ре¬ для сурсов компьютера, организации выполнения программ при раз¬ личных режимах работы компьютера, облегчения взаимодейст¬ вия с ним оператора. Рис. 3. Структура программного обеспечения компьютера Глава 2. Объекты информационной безопасности 31 Операторы не имеют прямого доступа к устройствам компью¬ тера. Связь операторов с компьютером (точнее, с ее аппаратными средствами) производится с помощью операционной системы, определенный уровень взаимодействия челове¬ компьютером. Уровень взаимодействия в первую очередь обеспечивающей ка с определяется уровнем программно-аппаратного интерфейса (ин¬ терфейсной программы). Комплект программ технического обслуживания, предназна¬ ченный для уменьшения трудоемкости эксплуатации компьюте¬ работоспособности компью¬ тера и отдельных ее устройств, определения (диагностирования) ра, содержит программы проверки мест отказов. Прикладные программы и программы (приложения) представляют собой интегрированные программные среды, предназна¬ (проектных, науч¬ но-технических, др.), а также для рас¬ ширения функций операционной системы (управления базами данных, реализации режимов распределенной обработки дан¬ ных, режимов реального времени и др.). Аппаратные средства компьютера и операционная система, его программное обеспечение в совокупности образуют однома¬ шинную систему обработки данных. Исторически первыми и до сих пор широко распространен¬ ными являются одномашинные системы обработки данных, по¬ строенные на базе единственного компьютера с традиционной однопроцессорной структурой (хотя прогресс в многопроцес¬ ченные для решения определенных задач планово-экономических и сорных конструкциях персональных компьютеров скоро эту си¬ туацию кардинально надежность существующего парка не для всего удовлетворительными новщикам изменит). Однако задач, решаемых на производительность компьютеров спектра и оказываются применений. Поста¬ компьютерах, всегда не хватало оперативной памяти, емкости накопителей и быстродействия обработки данных. Поэтому для повышения надежности и про¬ изводительности несколько компьютеров стали связывать между собой, образуя многомашинный компьютерный (вычислитель¬ ный) комплекс. В двухмашинном вычислительном комплексе осуществляется через адаптер, обеспечиваю¬ щий обмен данными между каналами ввода-вывода двух компь¬ связь чаще ютеров всего (рис. 4) и передачу сигналов прерывания. Заметим, что дальнейшее развитие данного вида коммутации ло в виде компьютерных сетей. машин получи¬ Раздел I. Автоматизированные системы обработки информации... 32 Компьютер Компьютер Контроллер Контроллер ввода- ввода- Адаптер вывода вывода Рис. 4. Компьютерный комплекс с прямой связью между компьютером Лучшие условия для взаимодействия процессов обработки информации те, когда все процессоры имеют доступ ко всему объему данных, хранимых в оперативных запоминающих устрой¬ ствах, и могут взаимодействовать со всеми периферийными уст¬ ройствами комплекса. Компьютерный комплекс, содержащий несколько процессоров с общей оперативной памятью и перифе¬ рийными устройствами, называется многопроцессорным комплек¬ сом. Принцип построения таких комплексов иллюстрируется рис. 5. Данный вариант развития компьютеров с — создание многопроцессорных параллельной обработкой задач — в настоящее время является более прогрессивным. Аппаратно задачи построе¬ уже решены, задержка только за оптимальными эффективными алгоритмами параллельных вычислений и их ния таких систем и программной реализацией. Рис. 5. Многопроцессорный вычислительный комплекс Процессоры, да-вывода, к оперативной памяти и каналы вво¬ подключены периферийные устройства, модули которым объединяются в единый комплекс с помощью средств коммуни¬ каций и коммутаций, обеспечивающих доступ каждого процес¬ сора к любому модулю оперативной памяти и каналу ввода-вы¬ вода, а также возможность передачи данных между последними. Глава 2. Объекты информационной безопасности Многомашинные и 33 многопроцессорные компьютерные ком¬ обработки информации рассматриваются систем обработки информа¬ ции и обмена различного назначения. Поэтому в состав компь¬ плексы как или комплексы базовые средства для создания ютерного комплекса принято включать только аппаратные сред¬ ства и общесистемное (базовое), но не прикладное программное обеспечение, конкретной с областью применения На последнее обстоятельство с позиций завершенно¬ комплекса. сти связанное построения системы защиты ние, так как в дальнейшем информации обратим внима¬ будет рассматриваться вопрос о защи¬ щенных и незащищенных системах обработки информации. Система обработки информации и данных, настроенная на решение задач конкретной области применения, называется ин¬ формационной (компьютерной) системой или системой обработки информации. Компьютерная система включает в себя аппаратные средства и программное обеспечение, ориентированные на ре¬ В сис¬ определенной совокупности задач. компьютерную быть помимо включены, тему могут компьютерных комплексов, шение и другие аппаратные средства (например, системы получения и обработки цифрового видео). Все последние назначения поколения развиваются компьютерных систем, задачам. Адаптация ления ее к в самого различного создания адаптивных компьютеров направлении гибко приспосабливающихся к решаемым компьютерной системы с целью приспособ¬ структуре реализуемого алгоритма достигается за счет конфигурации системы, которое в современных ком¬ пьютерах происходит на уровне операционной системы, с мини¬ мальным объемом удаленной коммутации. При этом соединения между процессорами, а также модулями памяти и периферийны¬ ми устройствами устанавливаются динамически в соответствии с изменения потребностями задач, обрабатываемых системой мент времени. иначе достигается классе задач и текущий мо¬ В связи с этим адаптивные компьютерные системы называют системами с адаптации в динамической структурой. За счет высокая производительность в широком обеспечивается устойчивость системы к отказам. В зависимости от ориентирования компьютерных конкретные задачи в настоящее систем на время существует несколько на¬ правлений, по которым они развиваются и при реализации ко¬ торых наблюдается большое многообразие связей между эле¬ ментами системы (для персональных компьютеров это происхо¬ дит уже в пределах системной платы компьютера). Это системы Раздел I. Автоматизированные системы обработки информации... 34 с конвейерной обработкой информации, системы, матричные функ¬ ассоциативные системы, однородные системы и среды, ционально системы с перестраивае¬ распределенные структурой. Для получения данных системы, мой комплекса, из расположенных пользователя, применяются ции, схема одной из компьютера на или значительном системы компьютерного расстоянии от телеобработки информа¬ которых приведена на рис. 6. Рис. 6. Система телеобработки информации и данных В этих системах пользователи (абоненты) взаимодействуют с системой посредством терминалов (абонентских пунктов), под¬ ключаемых через каналы связи к средствам обработки информа¬ ции, компьютер и комплекс обработки информации. Данные блоков ин¬ передаются по каналам связи в форме сообщений формации или данных, несущих в себе, кроме собственно ин¬ формации или данных, системную информацию, необходимую для управления процессами передачи и защиты информации и данных от искажений. Программное обеспечение систем телеоб¬ работки содержит специальные средства, необходимые для — — управления аппаратными средствами, установления связи между и компьютерами между ними и объектами, организации передачи информации взаимодействия и данных пользователей с программами обработки информации и данных. С ростом масштабов применения компьютерной обработке информации и обмене ею на техники расстоянии необходимость объединения сосредоточенных в возникла обработ¬ ки данных в компьютерные (информационные, вычислительные) сети. на Обобщенная структура компьютерной систем сети представлена рис. 7. Целесообразность создания компьютерных сетей обусловли¬ вается возможностью точенными использования пользователями тсрриториально-рассрсдопрограммного обеспечения и ин- Глава 2. Объекты информационной безопасности 35 Раздел I. Автоматизированные системы обработки информации... 36 формационных баз, находящихся в различных компьютерных центрах сети, а также возможностью организации распределен¬ ной обработки информации и данных путем привлечения про¬ граммно-аппаратных ресурсов нескольких компьютерных цен¬ тров сети для решения особо сложных задач. Компьютерную сеть можно рассматривать как систему с распределенными по территории аппаратными, программными и информационными ресурсами. Возможна реализация на основе компьютерных сетей (децентрализованного) банка информации и данных, отдельные информационные базы которого создаются в местных компьютерных центрах, например в процессе функцио¬ распределенного автоматизированной системы управления отдельных предприятий и объединений, а при решении задач более высо¬ нирования кого уровня управления используются как единая база данных и информации. это создание централизованного бан¬ Другая возможность ка информации и данных, к которому имеют доступ многочис¬ — ленные, в том числе находящиеся на значительном расстоянии, терминалы, абонентские пункты и терми¬ налы местных систем коллективного пользования. По такому принципу сформированы глобальные системы железной дороги, абоненты через свои авиаперевозок и т. п. Объединение в сеть компьютеров нескольких компьютерных центров способствует повышению надежности функционирова¬ ния компьютерных средств, так как создается возможность ре¬ зервирования одних компьютерных центров за счет технических ресурсов других центров. Основу составляют крупные компьютеры (мэйнфрэймы) ЦКП), объединяемые (Центры Коллективного Пользования сетью передачи информации. Эти компьютеры, называемые — главными компьютерами (машинами), осуществляют основные функции по выполнению программ пользователей, сбору, хране¬ нию, выдаче информации. Сеть передачи информации (СПИ) образуют каналы связи и Узлы (центры) Коммутации и Мар¬ шрутизации (УКМ), в которых Связные Процессоры (СП) или многопроцессорные серверы-маршрутизаторы управляют выбо¬ ром маршрутов передачи данных в сети. Головные Компьютеры — Серверы (ГС) или главные вычис¬ (ГВМ) подсоединяются к сети (точнее, к со¬ компьютерам-серверам) непосредственно через лительные машины ответствующим точки стандартного стыка, если обеспечена совместимость по Глава 2. Объекты информационной безопасности 37 физическим сигналам (управляющим и информационным) и форматам информации, или с помощью Интерфейсных Процес¬ соров (ИП), или Интерфейсных Серверов (ИС). В последнем случае интерфейсный процессор или сервер может выполнять и некоторые функции по предварительной обработке данных: преобразование кодов передаваемой (принимаемой) ин¬ формации; • контроль правильности полученных сообщений и др. Терминалы пользователей (обычно это персональный компь¬ • ютер с ограничением функционала) подключаются либо к голов¬ ному серверу (вычислительного центра коллективного пользова¬ ния), либо ключения непосредственно к сети компьютерной группы машины и к связному процессору. терминалов, связного удаленных процессора, Для под¬ главной от используются терминальные процессоры (терминальные концентраторы), на¬ зываемые Абонентскими Пунктами (АП). В этом случае отпада¬ ет необходимость выделения каждому терминалу отдельного ка¬ нала связи. В ные качестве аппараты, строители и телетайпы, телеграф¬ билетов, дисплеи, графопо¬ терминалов используются аппараты печати другие устройства ввода-вывода, нации. В настоящее время пользуют Персональные в качестве а также терминала все их комби¬ чаще ис¬ Компьютеры (ПК). Административное управление в компьютерных сетях вклю¬ чает в себя планирование и учет работы отдельных компьютеров сети, анализ и учет работы сети передачи информации и данных (трафик), проведение измерений в сети и т. п. Эти функции воз¬ лагаются на один или несколько специализированных головных компьютеров-серверов сети, которые называют административ¬ ным комплексом. Классификация информационных компьютерных сетей По функциональному назначению различают сети: информа¬ ционные, предоставляющие пользователю в основном ционное информа¬ обслуживание; вычислительные, выполняющие главным образом решение задач с обменом данными и программами меж¬ ду электронно-вычислительными машинами (ЭВМ) сети, и сме¬ шанные информационно-вычислительные. 38 Раздел I. Автоматизированные системы обработки информации... По размещению информации в сети разделяют сети с цен¬ трализованным банком данных, формируемым в одном из узлов сети, и с распределенным банком данных, состоящим из отдель¬ банков, расположенных в узлах сети. По степени территориальной рассредоточенности можно выделить крупномасштабные, или глобальные, информационные ных локальных и вычислительные сети, охватывающие скольких стран мыми тысячами расстояниями между узлами сети, измеряе¬ километров; региональные сети, охватывающие — город, район, область и т. п.; локаль¬ информационные и вычислительные сети с расстоянием между узлами метров. По числу головных числительных машин сколькими не¬ с определенные регионы ные территорию страны, сети не более максимальным нескольких компьютеров-серверов или кило¬ главных вы¬ следует различать сети с одним и с не¬ головными компьютерами. К последним относятся телеобработкой, которые представля¬ собой комплексы, состоящие из компьютерной машины и удаленных абонентских пунктов (АП), связанных с помощью ка¬ вычислительные системы с ют налов и аппаратуры передачи информации и данных. По типу используемых компьютеров выделяют однородные сети, содержащие программно-совместимые компьютеры, и не¬ однородные, если машины сети программно несовместимы. практике сети часто являются неоднородными. По методу передачи данных различают компьютерные На сети коммутацией каналов, с коммутацией сообщений, с коммутацией пакетов и со смешанной коммутацией; с маршрутизацией данных, с селекцией данных. Для современных сетей характерно исполь¬ с зование коммутации пакетов. Коммутация пакетов является развитием метода коммутации сообщений. Она позволяет добиться дальнейшего увеличения пропускной способности сети, скорости и надежности передачи данных. Поступающее от абонента сообщение разбивается на пакеты, имеющие фиксированную длину, например 1 Кбайт. Пакеты ме¬ тятся служебной информацией-заголовком, указывающим адрес пункта отправления, адрес пункта назначения и номер пакета в сообщении. В сети передачи информации и данных с коммутацией паке¬ тов используются два ми: способа передачи данных между абонента¬ дейтаграммный и виртуальный каналы. Глава 2. Объекты информационной безопасности Дейтаграммный способ 39 передача информации и данных как отдельных, не связанных между собой пакетов. Важным достоинством дейтаграммного способа коммутации — пакетов является возможность одновременной передачи пакетов и того же сообщения разными маршрутами, что умень¬ шает время и увеличивает надежность передачи сообщения. При одного передаче короткими пакетами уменьшается вероятность появле¬ ошибок и время занятости каналов повторными передачами. Однако при этом наблюдаются случаи обгона сообщений. При¬ ния вязка это сообщений ко времени их выдачи и нумерация позволяют обнаружить. При дейтаграммном способе не гарантируется очередность и надежность доставки пакетов. Виртуальный канал — передача данных в виде последователь¬ ностей связанных в цепочки пакетов. Организация виртуального между двумя процессами равносильна выделению им ду¬ плексного канала связи, по которому данные передаются в их ес¬ канала тественной все последовательности. вышеописанные шении канал преимущества коммутации скорости передачи предварительной Виртуальный и процедуры сохраняет пакетов в отно¬ но требует мультиплексирования, соединений. установления По окончании сеанса связи канал для установления новых распадается и возвращает ресурсы виртуальных соединений. В компьютерных сетях ее абоненты (вычислительные систе¬ мы) оснащаются специальными программными средствами для сетевой обработки данных. К ним предъявляются требования по сохранению работоспособности сети при изменении ее структу¬ ры, при отказах отдельных компьютеров, каналов и узлов связи; обеспечению возможности работы компьютеров с терминалами различных типов и взаимодействию разнотипных компьютеров. Важным признаком классификации компьютерных сетей (КС) является их топология. Топологическая структура компью¬ терной сети оказывает значительное влияние на ее пропускную способность, устойчивость сети к отказам ее оборудования, на логические возможности и стоимость сети. В настоящее время наблюдается большое разнообразие в топологических структурах компьютерных сетей (рис. 8). Топология крупных компьютерных сетей может представлять собой комбинацию нескольких топологических решений. К концу 70-х годов в сфере обработки данных широкое рас¬ пространение наряду с ЭВМ общего назначения получили минии микроЭВМ и начали применяться персональные компьютеры. 40 Раздел I. Автоматизированные системы обработки информации... г Рис. 8. Топологические структуры компьютерных сетей: а — одинарная многоточечная линия; б образная сеть; г — — петлевая полносвязная сеть; д (кольцевая) сеть; в — древовидная сеть — звездо¬ Глава 2. Объекты информационной безопасности 41 При этом для обработки данных в рамках одной организации или ее подразделения использовалось большое число ЭВМ, каждая из которых обслуживала небольшую группу пользователей, а микроЭВМ и персональные компьютеры отдельных пользо¬ вателей. В то же время коллективный характер труда требовал — оперативного обмена данными между пользователями, т. единения ЭВМ и компьютеров в единый комплекс — е. объ¬ локальную вычислительную сеть (локальная компьютерная сеть). Локальной называется информационная или вычислительная сеть, системы которой расположены на небольшом расстоянии друг от друга. Как правило, другие локальная сеть объединяет в себе компьютеры и устройства компьютерной техники, расположенные в од¬ ном помещении, здании или группе зданий на расстоянии не бо¬ лее чем 1—2 км друг от друга. В настоящее время основными единицами такой сети являются персональные компьютеры раз¬ ных платформ и мощности, а также компьютеры-серверы, пре¬ доставляющие определенные сетевые сервисы и являющиеся го¬ ловными компьютерами в сети. Локальные вычислительные сети время называют локальными компьютерными сетя¬ ми (ЛКС), так же как ЭВМ повсеместно называют Компьютера¬ в настоящее Обращаем внимание, что в нормативной и законодательной ми. базе все-таки сохраняются термины ЭВМ и локальная вычисли¬ тельная сеть, пользование что накладывает определенные ограничения на ис¬ данной терминологии при формировании админи¬ стративных и организационных документов. сети Пример локальной приведен на рис. 9. Моноканал Рис. 9. Локальная сеть Сопрягаются компьютеры с помощью моноканала — го для всех компьютеров сети канала передачи данных. едино¬ В моно- 42 Раздел I. Автоматизированные системы обработки информации... канале наиболее широко используются витая пара проводов, ко¬ аксиальный кабель или волоконно-оптическая линия, а также Компьютеры сопрягаются с моноканалом с помощью сетевых адаптеров (СА) или контрол¬ все чаще используется радиоканал. леров, регулирующих операции ввода-вывода данных через Наличие ноканал. в сети единственного канала мо¬ существенно упрощает процедуры установления соединений и обмена данны¬ ми между компьютерами. В состав локальной компьютерной могут включаться и компьютеры общего назначения. Данная топология была единственной на начальном сети развития локальных другие схемы компьютерных сетей. Затем этапе появились и соединений технических средств в локальной сети: кольцевая, смешанная др. Подробнее персо¬ нальный компьютер и локальные вычислительные сети как объ¬ звездообразная, и информации рассмотрены екты защиты ниже. Это сделано на основании нижеследующего подхода. Персональные компьютеры и в специальных локальные главах вычислительные сети в настоящее ние, почти все время получили очень широкое распростране¬ новые разработки автоматизированных систем обработки данных и информации ведутся на их основе. Однако с позиций безопасности информации это не означает, ные и идеи передачи ввода-вывода, хранения, обработки и настолько, чтобы это принципиально по¬ принципы изменились что основ¬ ее влияло на возможные каналы несанкционированного преднаме¬ ренного доступа к информации и концепцию ее защиты. В этом смысле произошли лишь пространственные перемещения цен¬ трализованной обработки информации, увеличились ее объемы и усложнилась техника ее обработки. Исходя из этих позиций персональный компьютер можно рассматривать как миниатюрный комплекс средств автоматиза¬ ции с централизованной обработкой данных, который составе в своем содержит те же самые средства ввода-вывода, хранения и обработки информации: терминал — клавиатуру и дисплей; ком¬ пьютер системный блок и программное обеспечение; дистан¬ ционное запоминающее — устройство (внешнее) НГМД; принтер; аппаратуру передачи данных Локальная формации вычислительная сеть с содержит те же, что и — — НЖМД и сетевой адаптер. позиций безопасности ин¬ обычная сеть, комплексы средств автоматизации (ПЭВМ, т. е. ПК) и каналы связи (линии связи). В локальной компьютерной сети применяются тс же протоколы связи открытых систем (за исключением физическо- Глава 2. Объекты информационной безопасности Конечно, техническая реализация этих го и канальных уровней). элементов рующей в 43 другая. Но с позиций внешних подходов к циркули¬ ней информации достаточно того, что локальная ком¬ пьютерная сеть так же, как и обычная сеть, содержит два эле¬ централизованной обработкой информации и ли¬ нии (каналы) связи с различной схемой соединений (см. рис. 8). Забегая вперед, к ним следует добавить еще и третий элемент ее средства управления, за которы¬ сети, встроенный в узлы, ми находится владелец данной сети или его представитель (про¬ вайдер). мента: узлы с — Автоматизированные системы управления Автоматизированные системы управления в сложившемся в настоящее наличием время понимании отличаются от компьютерных сетей средств, решающих задачи управления каким-либо процессом. Например, процессом производства каких-либо из¬ делий, процессом управления предприятием, отраслью, народ¬ ным хозяйством и т. д. Различают два типа управления: системы управления техни¬ ческими устройствами и производственными процессами и сис¬ административно-организационного управления. В первых объектами управления являются различные технические устрой¬ темы ства (самолет, станок, домна, ракета и т. д.), во вторых лективы — кол¬ людей и организационные задачи. Автоматизированные системы административно-организаци¬ онного управления предназначены для комплексной автоматиза¬ ции всех или ния: сбора большинства основных функций органов управле¬ анализа информации, планирования и принятия решений, доведения решений до исполнителей и контроля ис¬ полнения. Этим они отличаются от автономного использования технических и средств или автоматизации отдельных подсистем управления. Автоматизированные системы административно-организаци¬ онного управления лективов представляют собой сложные комплексы кол¬ специалистов, программного, технических информационного средств, математического, и лингвистического обеспече¬ ния, предназначенные для сбора, переработки и выдачи инфор¬ мации. Общая структура таких автоматизированных систем обыч¬ но соответствует иерархической структуре органов управления и Раздел I. Автоматизированные системы обработки информации... 44 принятым в них процессам управления. Обычно автоматизиро¬ ванные системы административно-организационного управления представляют собой ряд автоматизированных объектов при орга¬ управления различных уровней (производственный участок, цех, завод и т. д.), объединенных единой системой обмена данны¬ нах автоматизированной системой связи. Каждый автоматизи¬ рованный объект, в свою очередь, включает информационно-вы¬ ми — числительный объекта, значительное число автомати¬ зированных рабочих мест административных работников с устройствами формирования запросов, ввода и выдачи информа¬ комплекс ции, средства математического обеспечения и технические уст¬ ройства, обеспечивающие процесс функционирования объекта. Объекты автоматизированной системы управления условно разделяются на основные и вспомогательные. К основным отно¬ сятся управляющие объекты и объекты управления. Управляю¬ щий объект является на достижение направленного Объект управления управляющего воздействия, поставленной цели управления. источником является исполнителем управляющих воз¬ действий, получаемых от управляющего объекта. Вспомогательные объекты служат для автоматизации обра¬ ботки и передачи информации, циркулирующей в системе. К ним относятся вычислительные центры, узлы коммутации со¬ общений, объекты связи и т. п. Вычислительные центры, на ко¬ торых реализуются информационно-расчетные процессы в инте¬ ресах органов управления системы, территориально могут разме¬ щаться как на основных объектах, так и на некотором удалении от них. Центры коммутации сообщений и другие объекты связи предназначены для обеспечения ав¬ томатизации обмена информацией между объектами системы. совместно с каналами связи Наиболее распространенные структурные конфигурации ав¬ томатизированных систем управления: • централизованная ектов с непосредственным подчинением объ¬ центральному пункту управления; • централизованная с автономными подсистемами; • иерархическая с последовательными связями; • иерархическая с последовательно-параллельными связями. Поскольку последняя структура АСУ содержит указанные варианты структур, она представлена на рис. 10. Указанные на рис. 10 объекты связаны между собой выше по коммутации сообщений обмена данными (на рисунке не показаны). Так как в боль- прямым сети или каналам связи, или через узлы Глава 2. Объекты информационной безопасности Рис. 10. 45 Иерархическая конфигурация автоматизированной системы управления с последовательно-параллельными связями автоматизированных системах управления объекты системы территориально могут быть удалены друг от друга на большие ших (до километров), преимущественно используются узлы коммутации сообщений, которые обеспечи¬ сотен и тысяч иерархию связей и одновременно расстояния вают мя доведения полнителя команд в сокращают вре¬ верхнего управляющего объекта до ис¬ с целом низшей ступени иерархии системы, в шей ступени до а также с низ¬ верхней. Организация проектирования автоматизированной системы обработки информации и данных Кратко рассмотрим основные положения при проектирова¬ автоматизированной системы обработки данных и инфор¬ мации. Данный материал необходим для общего знакомства с нии основными положениями при проектировании. Специалист по эксплуатации приходит в систему, уже запущенную в работу, ему необходимо хотя бы понимать начальные условия ввода и в эксплуатацию системы, а таковым является проектное решение. Проектирование автоматизированных систем обработки дан¬ ных и информации создание комплекта конструкторской и — программной документации, необходимой для производства и эксплуатации. Цель проектирования, назначение проектируемой Раздел I. Автоматизированные системы обработки информации... 46 системы, исходные данные и технические требования устанавли¬ ваются техническим функции задаются: заданием. В его технических требованиях системы, состав и характеристики источни¬ ков и приемников данных, а также их территориальное размеще¬ ние; технические характеристики системы — производитель¬ ность, емкость памяти, надежность, стоимость, массогабаритные и энергетические; необходимые режимы функционирования; условия эксплуатации и другие факторы, существенные для сис¬ тем того или иного назначения. Стадии проектирования автоматизированной системы обра¬ ботки данных и информации установлены ГОСТ 2.103—68: • техническое • эскизный проект; • технический проект; предложение; рабочая конструкторская документация. На основе технического проекта создается комплект рабочей • конструкторской документации, по которой подготавливается опытный образец системы. На опытном образце производятся испытания на предмет соответствия его требованиям технического задания. По резуль¬ татам испытаний производится доработка конструкторской до¬ кументации и опытного образца системы. Далее в зависимости от характера и объема доработок на опытном образце проводит¬ ся проверка доработок или повторные испытания. После поло¬ жительных результатов испытаний в зависимости от назначения системы и ее сложности опытный образец с эксплуатационной документацией передается в эксплуатацию или конструкторская на запуск системы в серийное производство. документация При испытаниях опытного образца системы проверяются — штатные аппаратные и программные средства, а при прие¬ мо-сдаточных испытаниях на заводе-изготовителе используются специальные технологические и контрольно-проверочные про¬ граммы. Специальная технология испытаний предусмотрена на опыт¬ ных образцах компьютерных сетей и больших автоматизирован¬ ных системах управления. Указанные испытания проводятся по¬ этапно: 1) автономные испытания элементов сети (АСУ); 2) испытания фрагмента сети (АСУ) с минимальной конфи¬ гурацией, позволяющей выполнять основные функции; 3) испытания полного состава сети (АСУ). Глава 2. Объекты информационной безопасности 47 Условия и режимы эксплуатации автоматизированной системы обработки информации и данных Эксплуатация компьютерной системы состоит из техниче¬ ского и системотехнического обслуживания и использования ее по прямому назначению. Техническое обслуживание заключается в обеспечении рабо¬ тоспособности системы путем создания требуемых условий экс¬ профилактических и ремонтно-восста¬ новительных работ. Для повышения эффективности техниче¬ ского обслуживания в системах предусматриваются средства плуатации и проведения накопления данных пливаются путем об ошибках, сбоях и отказах. Данные регистрации состояния системы в нака¬ момент ошибки, обнаруживаемой встроенными средствами контроля или программами. Регистрация данных производится операци¬ онной системой накопителя ла в специальном системном журнале на магнитных дисках. периодически используются или области Данные из системного журна¬ при необходимости выводятся обслуживающим — персоналом для на печать и выявления ис¬ ошибок, сбоев и отказов с целью проведения профи¬ лактических и ремонтно-восстановительных работ. Системотехническое обслуживание заключается в обеспече¬ точников эффективности использования системы с целью снижения стоимости обработки данных, повышения производительности системы, качества обслуживания пользователей и др. В зависимости от назначения и характера задач по обработке информации можно выделить три основных вида эксплуатации нии компьютерных систем, имеющих принципиальное значение для состава должностных лиц и характера доступа к информации: 1) с закрытым доступом; организация-потребитель использу¬ ет компьютерную этом систему полностью обслуживающий персонал, в включая своих интересах; технический и при опера¬ тивный состав, является сотрудниками данной организации. Например: АСОИУ по управлению предприятием; 2) с ограниченным доступом; организация-потребитель ком¬ пьютерной системы сочетает свои интересы с интересами других организаций и частных лиц. Например: Информационный или вычислительный центр; 3) с открытым доступом; организация-потребитель компью¬ терной сети (автоматизированной системы управления) оказыва- Раздел I. Автоматизированные системы обработки информации... 48 Например: электронная библиотека, бан¬ ковская финансово-кредитная автоматизированная система. ет населению. услуги Системы с открытым доступом называются так условно в смысле, что любой человек может воспользоваться их услу¬ том гами. На самом же деле каждая автоматизированная система об¬ работки информации и данных имеет и закрытую часть, касаю¬ щуюся обработки ее собственной информации, которая может быть закрыта для нансовые за посторонних лиц. структуры несут также Банки и подобные им фи¬ юридическую ответственность информацию, доверяемую им их клиентами, т. е. персональ¬ ные данные. Глава 3 ПОТЕНЦИАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ Постановка задачи Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показы¬ вают, что их можно разделить на случайные и преднамеренные. Преднамеренные угрозы часто путем их систематического при¬ менения могут быть приведены в исполнение через случайные путем долговременной массированной атаки несанкционирован¬ ными запросами или вирусами. Последствия, к которым приводит реализация угроз: разрушение (утрата) информации; модификация (изменение информации на ложную, которая корректна по форме и содержанию, но имеет другой смысл); • • • ознакомление с ней посторонних лиц. Цена указанных событий может быть самой различной: от недоразумений до сотен тысяч долларов и более. Предупреждение приведенных последствий в информацион¬ невинных ной системе и сти безопасно¬ есть основная цель создания системы информации. Для создания средств защиты информации необходимо определить природу угроз, формы пути ления и осуществления в информационной системе. и их возможного прояв¬ Для реше- Глава 3. Потенциальные угрозы безопасности информации в ИС 49 ния поставленной задачи все многообразие угроз и путей их воз¬ действия приведем к простейшим видам и формам, которые были бы адекватны их множеству в информационной системе. Случайные угрозы Информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным случайным воздействиям. В результате таких воздействий на аппаратном уровне происхо¬ дят физические изменения уровней сигналов в цифровых кодах, несущих информацию. При этом наблюдаются в одном или двух, трех и т. д. разря¬ дах изменения 1 на 0 или 0 на 1, или то и другое вместе, но в разных разрядах, следствием этого в итоге является изменение Далее, если применяемые для этой цели средства функционального контроля способны обнаружить эти изменения (например, контроль по модулю 2 легко обнару¬ живает однократную ошибку), производится браковка данного кода, а устройство, блок, модуль или микросхема, участвующие в обработке, объявляются неисправными. Если функциональ¬ ный контроль отсутствует или не способен обнаружить неис¬ правность на данном этапе обработки, процесс обработки про¬ значения кода на другое. должается по ложному пути, т. е. происходит модификация ин¬ формации. В процессе дальнейшей обработки в зависимости от содержания и назначения ложной команды возможна либо пе¬ ресылка информации по ложному адресу, либо передача лож¬ ной информации адресату, либо стирание или запись другой информации в оперативном запоминающем устройстве или дис¬ танционном запоминающем устройстве (внешнем), т. е. возни¬ кают нежелательные события: разрушение (утрата), модифика¬ ция и утечка информации. На программном уровне в результате случайных воздействий может произойти изменение алгоритма обработки информации на непредусмотренный, характер которого тоже может быть раз¬ личным: в лучшем случае остановка информационного или вычислительного процесса, а в худшем его модификация. Если средства функционального контроля ее не обнаруживают, последствия модификации алгоритма или данных могут пройти незамеченными или привести также к разрушению информации, а при перепутывании адреса устройства к утечке информации. — — — Раздел I. Автоматизированные системы обработки информации... 50 При программных ошибках могут подключаться программы вво¬ да-вывода и передачи их на запрещенные устройства. Причинами случайных воздействий при эксплуатации авто¬ матизированной системы могут быть: сбои аппаратуры; • отказы и • помехи на линиях связи от • ошибки человека как звена системы; • схемные и системотехнические • структурные, алгоритмические и программные ошибки; аварийные ситуации и другие воздействия. • Частота отказов и воздействий внешней среды; ошибки разработчиков; сбоев аппаратуры увеличивается при вы¬ боре и проектировании системы, слабой в отношении надежно¬ сти функционирования аппаратуры. Помехи на линиях связи за¬ висят от правильности выбора места размещения технических средств информационной системы относительно друг друга и отношению к по аппаратуре и агрегатам соседних систем. При разработке сложных автоматизированных систем увели¬ чивается число схемных, системотехнических, структурных, ал¬ горитмических и программных ошибок. На их количество в про¬ цессе проектирования оказывает большое влияние много других факторов: квалификация разработчиков, условия их работы, на¬ личие опыта и др. На этапах изготовления и испытаний на качество входящей в информационную систему аппаратуры влияют полнота и качест¬ которой ее изготавливают, технологическая дисциплина и другие факторы. во документации, по К ошибкам ошибки человека человека как как звена источника действия системы следует относить информации, человека-опера¬ обслуживающего персонала и тора, неправильные ошибки человека как звена, принимающего решения. Ошибки человека могут подразделяться на логические (непра¬ решения), сенсорные (неправильное воспри¬ оператором информации) и оперативные, или моторные (неправильная реализация решения). Интенсивность ошибок че¬ вильно принятые ятие ловека может 15—40 % и колебаться выше в широких пределах: от 1—2 % до общего числа операций, выполняемых при ре¬ шении задачи. Хотя человек как элемент системы обладает по сравнению с (адаптируемо¬ стью, обучаемостью, эвристичностью, избирательностью, спо¬ собностью к работе в конфликтных ситуациях), он в то же время техническими средствами рядом преимуществ Глава 3. Потенциальные угрозы безопасности информации в ИС 51 имеет ряд недостатков, основными из которых являются: утом¬ ляемость, зависимость психологических параметров от возраста, к чувствительность мость качества изменениям окружающей зависи¬ среды, работы от физического состояния, эмоциональ¬ ность. Для расчета статистические системы. 2 ■ 10’2-4 данные по информации выходной достоверности уровню ошибок человека важны как звена Интенсивность ошибок человека-оператора составляет • 10-3. Количество ошибок при работе человека-опера¬ тора, точнее, вероятность ошибок зависит от общего количества кнопок, количества кнопок в ряду, числа кнопок, которые необ¬ ходимо нажимать одновременно, и расстояния между краями кнопок. Немаловажное звена системы, значение имеют также ошибки принимающего решение. Особенно человека как важное зна¬ проблема борьбы с ошибками такого рода приобретает в автоматизированных информационных системах управления ад¬ чение министративного типа. Ошибки человека как звена системы, принимающего решение, определяются неполной адекватностью представления человеком реальной ситуации и свойством чело¬ века с заранее определенной установкой действовать по ранее намеченной программе. Например, руководитель, будучи зара¬ нее уверен, что мастер завысил требуемое количество дефицит¬ ного материала, уменьшает соответствующую заявку мым вводит в систему ошибочные данные. и тем са¬ Другой важной особенностью человека является стремление к построению упрощенной модели рассматриваемой ситуации. Неверное упрощение конкретной ситуации, исключение из нее важных моментов и принятое при этом решение могут оказаться ошибочными. К угрозам случайного характера следует также отнести ава¬ рийные ситуации, которые могут возникнуть на объекте разме¬ автоматизированной информационной системы. К ава¬ рийным ситуациям относятся: отказ функционирования информационной системы в це¬ щения • лом, например выход из строя электропитания и осве¬ щения; стихийные бедствия: • пожар, наводнение, ураганы, удары молнии, обвалы и т. д.; • отказ системы жизнеобеспечения информационной системы. на землетрясение, объекте эксплуатации Раздел I. Автоматизированные системы обработки информации... 52 Вероятность этих событий связана прежде всего с правиль¬ выбором места размещения информационной системы или элементов, включая географическое положение, и организа¬ цией противопожарных мероприятий. ным ее Преднамеренные угрозы Преднамеренные угрозы связаны с различными действиями человека, причинами которых может быть достаточно большой спектр его состояний: определенное недовольство своей жизнен¬ ной ситуацией, сугубо материальный интерес или простое раз¬ влечение с самоутверждением своих способностей и т. д. Мы не рассматриваем данные причины состояния человека. Наша задача обнаружение и блокировка возможных действий злоумышленника в информационной сис¬ теме. Потенциальные угрозы с этой стороны будут рассмотрены — предупреждение, только в техническом аспекте. Для более конкретной задачи проанализируем объект защиты информации на предмет ввода-вывода, хранения и обработки информации и возможностей нарушителя по досту¬ пу к информации при отсутствии средств защиты в данной авто¬ матизированной системе. В качестве объекта защиты согласно классификации выби¬ постановки раем компьютерную систему, которая может быть элементом компьютерной сети или большой автоматизированной системы Для компьютерных систем в этом случае характер¬ следующие штатные (законные) каналы доступа к инфор¬ управления. ны мации: • • • (рабочие станции, персональные компьютеры) пользователей; терминал (сервер или специализированная рабочая стан¬ ция) администратора системы; терминал (рабочая станция) оператора функционального терминалы контроля; • средства отображения информации; • средства документирования информации; средства загрузки программного обеспечения в компьютер¬ • ный комплекс; • носители ройство, информации (оперативное дистанционное запоминающее уст¬ устройство, уст- запоминающее Глава 3. Потенциальные угрозы безопасности информации в ИС 53 ройство резервирования и архивирования, бумажные носи¬ тели); • внешние каналы связи. Имея в виду, что при отсутствии защиты нарушитель может воспользоваться как штатными, так и другими физическими ка¬ доступа, назовем возможные каналы несанкционирован¬ налами доступа (ВКНСД) в компьютерной системе, через которые возможно получить доступ к аппаратуре, программному обеспе¬ ного чению и осуществить хищение, разрушение, модификацию ин¬ формации и ознакомление с нею: • все перечисленные выше штатные средства при их исполь¬ зовании законными пользователями не по назначению и за пределами своих полномочий; • все перечисленные выше штатные средства при их исполь¬ зовании посторонними лицами; • технологические • внутренний • линии пульты управления; монтаж связи аппаратуры; между аппаратными средствами данной ком¬ пьютерной системы; • • побочное электромагнитное излучение паратуры системы; побочные наводки заземления • информации с ап¬ информации по сети электропитания и аппаратуры; побочные наводки информации на вспомогательных и по¬ сторонних коммуникациях; • отходы обработки информации в виде бумажных, магнит¬ ных и лазерных носителей, брошенные в мусорную корзину. Для наглядности на рис. 1 представлены рисунок типового объекта автоматизированной обработки информации с центра¬ лизованной обработкой данных и потенциальные каналы не¬ санкционированного доступа к информации. Обозначения на рисунке: 1 несанкционированный доступ к терминалам — нальным 2 и персо¬ компьютерам; несанкционированный доступ к средствам отображения информации; 3 несанкционированный доступ к носителям информации; 4 несанкционированный доступ к средствам загрузки про¬ граммного обеспечения; 5 несанкционированный доступ к информации при ре¬ монте и профилактике аппаратуры; — — — — Раздел I. Автомаизрные ситемы обраотки информаци. Рис. 1. Состав типовой аппаратуры автоматизированной системы обработки информации и данных и возможные каналы несанкционированного доступа к информации Глава 3. Потенциальные угрозы безопасности информации в ИС 6 55 несанкционированный доступ к внутреннему монтажу — аппаратуры; 7 несанкционированный доступ к линиям связи; — 8 несанкционированный доступ к каналам связи; 9 несанкционированный доступ к информации за счет побочного электромагнитного излучения информации; 10 несанкционированный доступ к информации за счет — — — наводок на цепях 11 электропитания и заземления; несанкционированный доступ к информации за счет наводок на цепях вспомогательной и посторонней аппаратуры; 12 несанкционированный доступ к технологическим — — пультам; 13 доступ — к отходам носителей информации. Очевидно, что при отсутствии законного пользователя, кон¬ троля и разграничения доступа к терминалу квалифицирован¬ ный нарушитель легко воспользуется его функциональными воз¬ можностями для несанкционированного доступа к информации путем ввода соответствующих запросов или команд. При нали¬ свободного доступа в помещения можно визуально наблю¬ чии информацию на средствах отображения и документирова¬ ния, а на последних похитить бумажный носитель, снять лиш¬ нюю копию, а также похитить другие носители с информацией: листинги, магнитные ленты, диски, флэш-носители и т. д. Осо¬ бую опасность представляет собой бесконтрольная загрузка про¬ дать граммного обеспечения в компьютер, котором могут быть из¬ «троянский менены данные, алгоритмы конь» программа, выполняющая дополнительные незаконные — или в введена программа функции: запись информации на посторонний носитель, переда¬ чу в каналы связи другого абонента компьютерной сети, внесе¬ ние в систему компьютерного вируса и т. д. При отсутствии раз¬ граничения и контроля доступа к технологической и оператив¬ ной информации возможен доступ к оперативной информации стороны терминала функционального контроля. Опасной яв¬ ляется ситуация, когда нарушителем является пользователь ком¬ со функциональным обя¬ занностям имеет законный доступ к одной части информации, а обращается к другой за пределами своих полномочий. пьютерной системы, который по своим Со стороны законного пользователя существует много спосо¬ бов нарушать работу информационной системы, злоупотреблять сю, извлекать, модифицировать или уничтожать информацию. Для этой цели могут быть использованы привилегированные ко- Раздел I. Автоматизированные системы обработки информации... 56 манды ввода-вывода, отсутствие контроля законности запроса и обращений к адресам памяти запоминающих устройств и т. д. При неоднозначной идентификации ресурсов нарушитель может подавить системную библиотеку своей библиотекой, а модуль, за¬ гружаемый из его библиотеки, может быть введен в супервизорном режиме. Свободный доступ позволит ему обращаться к чу¬ жим файлам и банкам данных и изменить их случайно или пред¬ намеренно. При техническом обслуживании (профилактике и ремонте) аппаратуры могут быть обнаружены остатки информации на магнитной сителях ленте или дисках, поверхностях дисков и других но¬ информации. Стирание информации обычными метода¬ ми при этом не всегда эффективно. Ее остатки могут быть легко прочитаны. При транспортировании носителя по неохраняемой территории существует опасность его перехвата и последующего ознакомления посторонних лиц с секретной информацией. Не имеет смысла создание системы контроля и разграниче¬ ния доступа информации к на программном уровне, если не к контролируется доступ пульту управления компьютера, внут¬ реннему монтажу аппаратуры, кабельным соединениям. Нарушитель может стать незаконным пользователем системы режиме разделения времени, определив порядок работы закон¬ ного пользователя либо работая вслед за ним по одним и тем же линиям связи. Он может также использовать метод проб и оши¬ бок и реализовать «дыры» в операционной системе, прочитать пароли. Без знания паролей он может осуществить «селектив¬ в ное» включение компьютером в линию связи между терминалом (сервером); без прерывания пользователя может и работы головным законного продлить ее от его имени, аннулировав сиг¬ налы отключения законного пользователя. Процессы обработки, передачи и хранения информации ап¬ паратными средствами автоматизированной системы обеспечи¬ срабатыванием логических элементов, построенных на базе полупроводниковых приборов, выполненных чаще всего в ваются виде интегральных схем. Срабатывание обусловлено высоко¬ частотным изменением уровней напряжений и токов, что приво¬ дит к также логических элементов эфире, цепях питания и заземления, а возникновению в в расположенных параллельно посторонней аппаратуры несущих в амплитуде, цепях электромагнитных фазе и частоте своих и индуктивностях полей и наводок, колебаний признаки Глава 3. Потенциальные угрозы безопасности информации в ИС 57 обрабатываемой информации. Использование нарушителем раз¬ личных приемников может привести к их приему и утечке ин¬ формации. С уменьшением расстояния между приемником на¬ рушителя и аппаратными средствами вероятность приема сигна¬ лов такого рода увеличивается. Непосредственное подключение нарушителем приемной ап¬ паратуры и специальных датчиков к цепям электропитания и за¬ земления, к каналам связи также позволяет совершить несанк¬ ционированное ознакомление с информацией, а несанкциони¬ рованное подключение к каналам связи передающей аппаратуры может привести и к модификации информации. Особо следует остановиться на угрозах, которым могут под¬ вергаться каналы и линии связи компьютерной сети. Предположим, что нарушитель может располагаться в неко¬ торой точке сети, через которую должна проходить вся интере¬ сующая его информация. Например, в межсетевых условиях на¬ рушитель может принять вид шлюза в некоторой промежуточной сети, которая обеспечивает единственный путь соединения между двумя процессами, являющимися концами интересующего нару¬ шителя соединения, как показано на рис. 2. В этом случае, не¬ смотря на то, что сеть-источник (А) и сеть-адресат (Г) защищены, нарушитель может воздействовать на соединение, так как оно проходит через шлюз, соединяющий сети Б и В. В общем случае предполагается, что нарушитель может занимать позицию, позво¬ ляющую осуществлять пассивный и активный перехват. В случае пассивного перехвата нарушитель только следит за сообщениями, передаваемыми по соединению, без вмешательст¬ ва в их поток. Наблюдение нарушителя за данными (прикладно¬ го уровня) в сообщении позволяет раскрыть содержание сообще¬ нии. Нарушитель может также следить за заголовками сообще¬ ний, даже если данные места размещения и не понятны ему, с целью определения идентификаторов процессов, участвующих Нарушитель может определить длины сооб¬ в передаче данных. щений и частоту их передачи для определения характера переда¬ ваемых данных, т. е. провести анализ потока сообщений. Нарушитель может также заниматься активным перехватом, выполняя множество действий над сообщениями, передаваемы¬ ми по соединению. Эти сообщения могут быть выборочно изме¬ нены, уничтожены, задержаны, переупорядочены, сдублированы в соединение в более поздний момент времени. Нару¬ и введены шитель может создавать поддельные сообщения и вводить их в Раздел I. Автоматизированные системы обработки информации... 58 Рис. 2. Схема возможного подключения нарушителя к компьютерной сети соединение. Подобные действия можно определить как измене¬ ние потока и содержания сообщений. сбрасывать все сообщения или задерживать их. Подобные действия можно классифициро¬ вать как прерывание передачи сообщений. Кроме того, нарушитель может Попытки использования записи предыдущих последователь¬ ностей сообщений по инициированию соединений классифици¬ руются как инициирование ложного соединения. Сформулируем пять основных категорий угроз безопасности информации и данных в компьютерных сетях: 1) раскрытие содержания передаваемых сообщений; 2) анализ трафика, позволяющий определить принадлеж¬ отправителя и получателя данных к одной зователей сети, связанных общей задачей; ность из групп поль¬ 3) изменение потока сообщений, что может привести к нару¬ шению режима работы какого-либо объекта, управляемого с удаленного компьютера; 4) неправомерный отказ в предоставлении услуг; 5) несанкционированное установление соединения. Глава 3. Потенциальные угрозы безопасности информации в ИС 59 Данная классификация не противоречит определению тер¬ мина «безопасность информации» и делению потенциальных на угроз утечку, модификацию и утрату информации. Угрозы 1 и 2 можно отнести к утечке информации, угрозы 3 и 5 к ее модификации, а угрозу 4 к нарушению процесса обмена информацией, т. е. к ее потере для получателя. — В — компьютерных сетях нарушитель может применять сле¬ дующие стратегии: 1) получить несанкционированный доступ к секретной ин¬ формации; 2) выдать себя за другого пользователя, чтобы снять с себя ответственность или же использовать его полномочия с целью формирования ложной информации, изменения законной ин¬ формации, применения ложного удостоверения личности, санк¬ ционирования ложных обменов информацией или же их под¬ тверждения; 3) отказаться от факта формирования переданной инфор¬ мации; 4) утверждать о том, что информация получена от некото¬ рого пользователя, хотя на самом деле она сформирована самим же нарушителем; 5) утверждать то, времени была что получателю в определенный момент информация, которая на самом деле не посылалась (или посылалась в другой момент времени); 6) отказаться от факта получения информации, которая на самом деле послана была получена, или утверждать о другом времени ее получения; 7) незаконно расширить свои полномочия по доступу к ин¬ формации и ее обработке; 8) незаконно изменить полномочия других пользователей (расширить или ограничить, вывести или ввести других лиц); 9) скрыть факт наличия некоторой информации в другой информации (скрытая передача одной в содержании другой ин¬ формации); 10) подключиться к линии связи между другими пользовате¬ лями в качестве активного ретранслятора; 11) изучить, кто, когда и к какой информации получает до¬ ступ (даже если сама информация остается недоступной); 12) заявить о сомнительности протокола обеспечения формацией ин¬ раскрытия некоторой информации, которая согласно условиям протокола должна оставаться секретной; из-за Раздел I. Автоматизированные системы обработки информации... 60 13) модифицировать программное обеспечение путем исклю¬ добавления новых функций; чения или 14) преднамеренно изменить протокол обмена информацией с целью его нарушения или подрыва доверия к нему; 15) помешать обмену сообщениями путем введения вателями помех с между другими целью нарушения пользо¬ аутентифи¬ сообщений. Анализ последних возможных стратегий нарушителя в ком¬ кации сетях пьютерных считать нарушителем. ривается тель. говорит не только о том, насколько важно знать, кого При этом в качестве нарушителя рассмат¬ постороннее лицо, но и законный пользова¬ По-видимому, эти задачи следует рассматривать отдельно. С этих позиций приведенные выше пять видов угроз характерны для поведения постороннего нарушителя. Тогда из числа послед¬ них угроз можно отнести дующие угрозы: к пяти упомянутым выше видам сле¬ 1, 10, 11, 15. Анализ остальных угроз свидетельствует о том, что задачу за¬ двух уровней: пользователей и элементов сети, с которыми работают пользова¬ щиты от них можно тели сети. условно разделить К уровню элемента сети на задачи можно отнести угрозы под номерами 2, 7, 8, 13 и 14. Уровень взаимоотношений пользова¬ телей называется уровнем доверия одного пользователя другому. Для обеспечения гарантий этого доверия, очевидно, потребуют¬ ся специальные средства и критерии оценки их эффективности. Контрольные вопросы 1. Определите понятие «информация». Приведите классификацию информации по уровню важности для организации. Определите содержание конфиденци¬ альности информации. 2. Опишите основные пути информации в ее жизненном цикле. 3. Что содержит в себе состав информационной базы информационной сис¬ темы? 4. Каково устройство компьютерного комплекса с прямой связью между компь¬ ютером? Что такое многопроцессорный комплекс? 5. Объясните принцип работы системы телеобработки информации и данных. б. Приведите классификацию информационных сетей. 7. Опишите возможные структуры организации автоматизированных систем управления. 8. Перечислите последствия реализации угроз информационной безопасности. Раздел II МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ Глава 1 КРАТКИЙ ОБЗОР МЕТОДОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Основными методами, проверенными временем и не теряю¬ щими своей актуальности, принято считать: • ограничение доступа; • разграничение доступа; • разделение доступа (привилегий); • криптографическое преобразование информации; • контроль и учет доступа; • законодательные меры. Указанные методы осуществлялись чисто организационно или с помощью технических средств. С появлением автоматизированной обработки информации изменился и дополнился новыми видами физический носи¬ информации и усложнились технические средства ее об¬ работки. С усложнением обработки, увеличением количества техниче¬ ских средств, участвующих в ней, увеличиваются количество и виды случайных воздействий, а также возможные каналы не¬ тель С увеличением объемов, сосредо¬ точением информации, увеличением количества пользователей и санкционированного доступа. Раздел II. Методы обеспечения безопасности информации... 62 другими указанными преднамеренного ции. выше причинами возрастает вероятность несанкционированного доступа к информа¬ В связи с этим развиваются старые и возникают новые до¬ полнительные защиты методы информации в компьютерных системах: • функционального контроля, обеспечивающие обнаружение диагностику отказов, сбоев аппаратуры и ошибок челове¬ ка, а также программные ошибки; и • повышения • защиты • контроля достоверности информации; информации от аварийных ситуаций; доступа к внутреннему линиям связи и технологическим • разграничения и монтажу аппаратуры, органам управления; контроля доступа к информации; аутентификации пользователей, техни¬ ческих средств, носителей информации и документов; защиты от побочного излучения и наводок информации. Рассмотрим каждый из методов подробнее и оценим его воз¬ • идентификации и • можности в плане дальнейшего их использования при проекти¬ ровании и эксплуатации конкретных средств защиты ции в информа¬ информационных системах и системах обработки данных: компьютерных системах, сетях и автоматизированных системах управления. Глава 2 ОГРАНИЧЕНИЕ ДОСТУПА Ограничение доступа заключается в создании некоторой физической замкнутой преграды (периметра) вокруг объекта защиты с организацией контролируемого доступа лиц, связан¬ ных с объектом защиты по своим функциональным обязанно¬ стям. Ограничение доступа к комплексам средств автоматизации (КСА) обработки информации заключается: • в выделении специальной территории для размещения комплекса средств автоматизации; • сооружении по периметру зоны специальных ограждений с охранной сигнализацией; • сооружении специальных зданий или других сооружений; Глава 2. Ограничение доступа 63 помещений в здании; • выделении специальных • создании контрольно-пропускного режима на территории, в зданиях и помещениях. Задача средств ограничения доступа и — исключить случайный преднамеренный доступ посторонних лиц на территорию раз¬ мещения комплекса средств автоматизации и непосредственно к аппаратуре. В указанных целях создается защитный контур, за¬ мыкаемый двумя видами преград: физической и контрольно-про¬ пускной. Такие преграды часто называют системой охранной сиг¬ системой контроля доступа. нализации и Традиционные зону: средства изготовление пропусков и выдача размещенной с сведений контроля допущенным на в защищаемую лицам специальных доступа фотографией личности них вла¬ Данные пропуска могут храниться у владельца или непосредственно в пропускной кабине охраны. В последнем случае допущенное лицо называет фамилию и свой номер либо набирает его на специальной панели кабины при дельца и о нем. проходе через турникет; пропускное удостоверение выпадает из гнезда и поступает в руки работника охраны, который визуально сверяет личность владельца с изображением на фотографии, на¬ званную фамилию с фамилией щиты на пропуске. Эффективность за¬ данной системы выше первой. При этом исключается по¬ теря пропуска, его перехват и подделка. Кроме того, есть резерв в повышении эффективности защиты с помощью увеличения ко¬ личества проверяемых параметров. Однако основная нагрузка по контролю при этом ложится на человека, а он, как известно, мо¬ жет ошибаться. В настоящее аутентификации время биометрические методы качестве идентификаторов применяются человека, когда используются отпечатки пальцев, пись, сетчатки глаз и т. д. в ладони, голос, личная под¬ Совершенствование контрольно-пропускной системы ведет¬ ся также в направлении совершенствования конструкции про¬ пуска-удостоверения личности путем записи кодовых значений паролей. Физическая преграда защитного контура, размещаемая по периметру охраняемой зоны, снабжается охранной сигнализа¬ цией. В настоящее время ряд предприятий выпускает электронные системы для защиты проникновения в них государственных и посторонних лиц. частных объектов от Гарантировать эффек- 64 Раздел II. Методы обеспечения безопасности информации... тивность системы охранной сигнализации можно только в том случае, если обеспечены надежность всех ее составных элемен¬ тов и их согласованное значение тип датчика, способ оповещения хоустойчивость, звуковая или функционирование. При а также световая реакция на сигнализация этом имеют или сигнал может контроля, поме¬ тревоги. Местная оказаться недоста¬ точной, поэтому местные устройства охраны целесообразно под¬ ключить к специализированным управления, которые при средствам централизованного получении сигнала тревоги высылают специальную группу охраны. Следить за состоянием датчиков может автоматическая систе¬ ма, расположенная в центре управления, или сотрудник охраны, который находится на объекте и при световом или звуковом сиг¬ нале принимает соответствующие меры. В первом случае местные устройства подключаются к центру через телефонные линии, а специализированное цифровое устройство осуществляет периодический опрос состояния датчиков, автоматически наби¬ охранные рая номер приемоотвегчика, расположенного на охраняемом объ¬ екте. При поступлении в центр сигнала тревоги автоматическая система включает сигнал оповещения. Датчики сигналов устанавливаются на различного ограждениях, внутри помещений, непосредственно на рода сейфах и т. д. При разработке комплексной системы охраны конкретного объекта учитывают его специфику: внутреннюю планировку зда¬ ния, окон, входной двери, размещение наиболее важных техни¬ ческих средств. Все эти ложение и факторы влияют на выбор типа датчиков, их распо¬ определяют ряд других особенностей данной По принципу действия системы тревожной классифицируются следующим образом: мы. • традиционные (обычные), основанные на систе¬ сигнализации использовании цепей сигнализации и индикации в комплексе с различны¬ ми контактами (датчиками); • ультразвуковые; • прерывания луча; • телевизионные; • радиолокационные; • микроволновые; • прочие. Глава 3. Контроль доступа к аппаратуре 65 Глава 3 КОНТРОЛ Ь ДОСТУПА К АППАРАТУРЕ В целях контроля доступа к внутреннему монтажу, линиям свя¬ зи и технологическим органам управления используется аппаратура контроля вскрытия аппаратуры. Это означает, что внутренний мон¬ таж аппаратуры и технологические органы и пульты управления за¬ крыты крышками, дверцами или кожухами, на которые установле¬ Датчики срабатывают при вскрытии аппаратуры и вы¬ дают электрические сигналы, которые по цепям сбора поступают на централизованное устройство контроля. Установка такой системы ны датчики. имеет смысл при наиболее полном перекрытии всех технологиче¬ ских подходов к аппаратуре, включая средства загрузки программ¬ ного обеспечения, пульт управления компьютера и внешние кабель¬ средств, входящих в состав компью¬ ные соединители технических терной системы. В идеальном случае для систем с повышенными требованиями к эффективности защиты информации целесообраз¬ но аппаратные средства закрывать крышками под механический за¬ контроль включение также штат¬ терминалов пользователей. мок с датчиком или ставить под ных средств входа в систему — Контроль вскрытия аппаратуры необходим не только в инте¬ ресах защиты информации от несанкционированного доступа, но и для соблюдения технологической обеспечения нормального дисциплины функционирования в целях компьютерной системы, потому что часто при эксплуатации параллельно реше¬ нию основных задач производится ремонт или профилактика аппаратуры, и может оказаться, что случайно забыли подклю¬ чить кабель или с пульта компьютера изменили программу обра¬ ботки информации. С позиций защиты информации от несанк¬ ционированного доступа контроль вскрытия аппаратуры защи¬ щает от следующих действий: • • • изменения и разрушения принципиальной схемы компью¬ терной системы и аппаратуры; подключения постороннего устройства; изменения алгоритма работы компьютерной системы путем использования технологических пультов и органов управ¬ ления; • загрузки посторонних программ «вирусов» • в и внесения программных систему; использования терминалов посторонними лицами и т. д. Раздел II. Методы обеспечения безопасности информации... бб Основная перекрытие задача на систем — контроля вскрытия аппаратуры период эксплуатации всех нештатных и техноло¬ аппаратуре. Если последние потребуются в гических подходов к процессе эксплуатации системы, выводимая на ремонт или про¬ филактику аппаратура перед началом работ отключается от ра¬ бочего контура обмена информацией, подлежащей защите, и вводится в рабочий контур под наблюдением и контролем лиц, ответственных за безопасность информации. Доступ к штатным входам в систему (терминалам) контроли¬ руется с помощью контроля выдачи механических ключей поль¬ с помощью системы опо¬ зователям, а доступ к информации — знания и разграничения паролей, дов программного доступа, включающей применение соответствующие обеспечения и функциональные специального терминала ко¬ задачи службы безопасности информации. Указанный терминал и устройство контроля вскрытия аппа¬ ратуры входят в состав рабочего места службы безопасности ин¬ формации, с которого осуществляется централизованный троль доступа к аппаратуре и информации щитой на данной компьютерной системе. и управление кон¬ ее за¬ Глава 4 РАЗГРАНИЧЕНИЕ И КОНТРОЛЬ ДОСТУПА К ИНФОРМАЦИИ В СИСТЕМЕ Разграничение доступа в информационной системе заключа¬ ется в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Задача разграничения доступа: сокращение количества долж¬ ностных лиц, своих не имеющих к ней отношения при выполнении функций, т. е. защита информации от нарушителя среди допущенного к ней персонала. При этом деление информации может производиться по сте¬ пени важности, секретности, по функциональному назначению, по документам и т. д. Принимая во внимание, что доступ осуществляется с различ¬ ных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в Глава 4. Разграничение и контроль доступа к информации в системе 67 Все подготовительные функции техни¬ ческого обслуживания аппаратуры, ее ремонта, профилактики, помещениях. отдельных обеспечения перезагрузки программного технически организационно отделены и Информационная темы. средств автоматизации система и в и д. должны от основных задач целом, организация т. их а также быть сис¬ комплекс обслуживания должны образом: техническое обслуживание комплекса средств автоматиза¬ быть построены следующим • процессе эксплуатации должно выполняться отдель¬ персоналом без доступа к информации, подлежащей ции в ным защите; • перезагрузка программного обеспечения и всякие его изме¬ производиться специально выделенным для нения должны этой цели проверенным специалистом; • функции обеспечения безопасности информации должны выполняться ции — • организа¬ сети, автоматизированной информационной системы управления системы в целом; пользователей к устройствам памяти организация доступа (хранения) информационной системы должна обеспечи¬ вать возможность хранящейся в на соответствии номочий • в подразделением владельце комплекса средств автоматизации, компь¬ ютерной или специальным разграничения доступа них, с с достаточной заданными к информации, степенью детализации и уровнями (политиками) пол¬ пользователей; регистрация и документирование технологической и опера¬ тивной информации должны быть разделены. Разграничение доступа пользователей-потребителей инфор¬ мационной системы может осуществляться также по следующим параметрам: • по виду, характеру, назначению, степени важности и сек¬ ретности информации; • способам ее обработки: считать, записать, внести измене¬ ния, выполнить команду; • условному номеру терминала; • времени обработки и др. Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом информационной системы. А конкретное разграничение при эксплуатации мы устанавливается систе¬ потребителем и вводится в систему его под¬ разделением, отвечающим за безопасность информации. Раздел II. Методы обеспечения безопасности информации... 68 В указанных целях при проектировании и планировании экс¬ плуатации базового плекса с • учетом информационного и вычислительного ком¬ комплекса средств автоматизации производятся: разработка или можностью реализации разграничения доступа к информа¬ адаптация операционной системы с воз¬ хранящейся в памяти вычислительного комплекса; ции, областей доступа; • изоляция • разделение базы данных на группы; • процедуры контроля перечисленных функций. При проектировании и эксплуатации комплекса средств ав¬ томатизации, автоматизированной системы управления и ин¬ формационной системы в целом (сети) на их базе производятся: разработка и реализация функциональных задач по разгра¬ ничению и контролю доступа к аппаратуре и информации • как в рамках данного • средств автоматизации, целом; информационной разработка аппаратных средств идентификации и аутенти¬ фикации пользователя; разработка программных средств контроля и управления так и • комплекса системы в разграничением доступа; • разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа. В качестве идентификаторов личности для реализации разгра¬ ничения широко распространено применение кодов паролей, ко¬ торые хранятся в памяти пользователя и комплекса средств авто¬ матизации. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители — электронные ключи или карточки. Глава 5 РАЗДЕЛЕНИЕ ПРИВИЛЕГИЙ НА ДОСТУП Разделение привилегий на доступ к информации заключает¬ ся в том, что из числа деляется группа, допущенных к ней должностных лиц вы¬ которой предоставляется доступ только при од¬ новременном предъявлении полномочий всех членов группы. Задача указанного метода существенно затруднить предна¬ — меренный перехват информации нарушителем. Примером такого Глава б. Идентификация и установление подлинности объекта 69 доступа может быть сейф с несколькими ключами, замок которо¬ го открывается только при наличии всех ключей. Аналогично в информационной системе может быть предусмотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей. Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно ор¬ ганизовать доступ к данным с санкции вышестоящего лица по запросу или без него. Сочетание криптографического преобразования информации разделения привилегий позволяет обеспе¬ чить высокоэффективную защиту информации от преднамерен¬ двойного и метода ного несанкционированного доступа. Кроме того, при наличии дефицита в средствах, а также в целях постоянного контроля доступа к стороны администрации в ценной информации со потребителя информационной системы некоторых случаях возможен вариант использования права на информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается только на дисплей руководителя, а на только информация о факте ее вызова. дисплей подчиненного доступ к — Глава 6 ИДЕНТИФИКАЦИЯ И УСТАНОВЛЕНИЕ ПОДЛИННОСТИ ОБЪЕКТА (СУБЪЕКТА) Объект идентификации и установление подлинности Идентификация — это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности (аутентификация) заключается в проверке, являет¬ ся ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает. Конечная цель идентификации и установления подлинности объекта в компьютерной системе ограниченного пользования в — допуск случае его к информации положительного исхода Раздел II. Методы обеспечения безопасности информации... 70 или проверки допуске в случае отрицательного исхода идентификации и установления отказ проверки. Объектами в подлинности в компьютерной системе могут быть: человек (оператор, пользователь, должностное лицо); техническое средство (терминал, дисплей, компьютер, ком¬ плекс средств автоматизации); документы (распечатки, листинги и др.); носители информации (магнитные ленты, диски и др.); информация на дисплее, табло и т. д. • • • • • Установление подлинности объекта может производиться че¬ ловеком, аппаратным устройством, программой, компьютерной системой и т. д. В компьютерных системах применение указанных методов в информации при ее обмене предполагает конфи¬ денциальность образов и имен объектов. При обмене информацией между человеком и компьютером (а при удаленных связях обязательно), компьютерными и вычис¬ целях защиты лительными системами в сети рекомендуется предусмотреть вза¬ имную проверку подлинности полномочий объекта или субъек¬ та. В указанных целях необходимо, чтобы каждый из объектов (субъектов) хранил в своей памяти, недоступной для посторон¬ них, список образов (имен) объектов (субъектов), с которыми производится обмен информацией, подлежащей защите. Идентификация и установление подлинности личности В повседневной жизни идентификатором личности является внешний вид: фигура, форма головы, черты лица, характер, его привычки, поведение и другие свойственные данному чело¬ его веку признаки, которые создают образ данного человека и кото¬ приобретаем в процес¬ се общения с ним и храним в своей памяти. При появлении че¬ рые сознательно или подсознательно мы ловека по этим своего знакомого. признакам мы узнаем или не узнаем в нем С течением времени после длительного пере¬ рыва постепенно те или иные признаки стираются из нашей па¬ мяти. У каждого человека эти признаки формируют различные образы одного и того же человека, в чем-то совпадающие или не Глава б. Идентификация и установление подлинности объекта С совпадающие. течением меняется времени также 71 сам чело¬ идентификации. Изложенные обстоятельства и идентификации ука¬ занных признаков в компьютерной технике заставляют искать век объект — трудности технической реализации средств другие пути решения задачи. Известно, что отпечатки пальцев и очертания ладони руки, тембр голоса, личная подпись и другие элементы личности но¬ сят индивидуальный характер и сохраняются на протяжении всей жизни человека. В настоящее время в этом направлении на рынке достаточно много решений и все зависит от уровня по¬ ставленной задачи и объема ее финансирования. Здесь существуют две задачи, которые необходимо решить одновременно. Для выполнения первой задачи (допуска) не тре¬ буется большого объема информации об образе (скажем даже, что чем меньше, тем лучше), а для выполнения второй (отказа) информацию об образе необходимо увеличить на максимально — возможную величину. Современные системы сти техники технологий, образа и возможно¬ соответствуют уровню развития данных вполне хотя распознавания пока остаются довольно дорогостоящими ре¬ шениями. Кроме того, линности системы личности, зиологических идентификации основанные данных человека, и установления под¬ на антропометрических не отвечают и фи¬ самому важному требованию: конфиденциальности, так как записанные на физи¬ ческие носители данные хранятся постоянно и фактически явля¬ ются ключом к информации, подлежащей защите, а постоянный ключ в конце концов становится доступным. Типичным примером простой и распространенной системы аутентификации является система «ключ—замок», в которой ключа владелец является объектом установления подлинности. Но ключ можно потерять, похитить или снять с него копию, так идентификатор личности физически от нее отделен. Система как «ключ—замок» имеет локальное нии системами с другими женных применение. Однако требований она применяется до сих пор. В электромеха¬ Одним из или числа — применяться код. распространенных методов аутентификации присвоение лицу системе. сочета¬ аутентификации и в условиях пони¬ ническом замке вместо ключа может ется в пароля — или и другому явля¬ объекту уникального имени хранение его значения в компьютерной При входе в вычислительную систему пользователь вво- Раздел II. Методы обеспечения безопасности информации... 72 дит через терминал свой код пароля, вычислительная система сравнивает его значение со значением, хранящимся в своей па¬ мяти, и при совпадении кодов открывает доступ к разрешенной функциональной отказывает нем. задаче, а при несовпадении — в Типичный пример процедуры идентификации и установле¬ приведен на рис. 1. уровень безопасности входа ния подлинности пользователя Наиболее высокий достигается разделением кода пароля на две части: в систему одну, запо¬ минаемую пользователем и вводимую вручную, и вторую, разме¬ щаемую на специальном носителе — карточке, устанавливаемой Рис. 1. Типичная процедура идентификации и установления подлинности пользователя Глава б. Идентификация и установление подлинности объекта 73 пользователем на специальное считывающее устройство, связан¬ терминалом. В этом случае идентификатор связан с лично¬ стью пользователя, размер пароля может быть легко запоминае¬ ное с мым, и при хищении карточки у замены кода пароля пользователя будет время для получения новой карточки. и На случай защиты запоминаемой части пароля от получения физического принуждения пользователя, возможно, будет полезно в компьютерной системе предусмот¬ реть механизм тревожной сигнализации, основанный на приме¬ ее нарушителем путем нении ложного пароля. Ложный пароль запоминается пользова¬ телем одновременно с действительным и сообщается преступни¬ ку в вышеупомянутой ситуации. Однако, которой подвергается жизнь пользователя, необходимо в компьютерной системе одновремен¬ но со скрытой сигнализацией предусмотреть механизм обяза¬ тельного выполнения требований преступника, воспользовавше¬ гося средствами аутентификации законного пользователя. Кроме указанных методов паролей, в компьютерных систе¬ опасность, учитывая мах в качестве средств аутентификации применяют методы «за¬ прос-ответ» и «рукопожатия». В методе «запрос—ответ» набор ответов на «т» стандартных ориентированных на пользователя вопросов хранится в компьютере и управляется операционной системой. Когда поль¬ и «п» зователь делает попытку включиться в работу, операционная случайным образом выбирает и задает ему некоторые (или все) из этих вопросов. Правильные ответы пользователя на система указанные вопросы открывают доступ к системе. Для исключения некоторых недостатков описанных выше потребовать, чтобы поль¬ зователь доказал свою подлинность с помощью корректной об¬ методов операционная система работки алгоритмов. Эту «рукопожатия», она часть может может называют быть процедурой выполнена в режиме как между двумя так и пользователем и компьютерами, между компьютером. Методы «запрос—ответ» и «рукопожатия» в некоторых случа¬ ях обеспечивают большую степень безопасности, но вместе с тем являются более сложными и требующими дополнительных за¬ трат времени. Как и обычно, здесь нужно найти компромисс ме¬ жду требуемой степенью безопасности и простотой использова¬ ния. При сложном использовании пользователь будет искать пути упрощения процедуры и в итоге жения найдет их, но за счет сни¬ эффективности средства защиты. Раздел II. Методы обеспечения безопасности информации... 74 Идентификация и установление подлинности технических средств Следующей ступенью при организации системы защиты ин¬ формации в компьютерной системе могут быть идентификация и установление подлинности терминала (рабочей станции), с ко¬ торого входит в систему пользователь. Данная процедура также может осуществляться с помощью паролей. Пароль можно ис¬ пользовать не только для аутентификации пользователя и терми¬ нала по отношению к системе, но и для обратного установления по подлинности компьютера отношению к пользователю. Это компьютерных сетях, когда связь осуществ¬ ляется с территориально удаленными объектами. В этом случае важно, например, в применяются одноразовые пароли или более сложные системы шифрования информации. Подробнее эти вопросы будут рассмотрены в последующих разделах. Идентификация и установление подлинности документов В компьютерных системах в качестве документов, являю¬ информационной системы и содержащих сек¬ ретную информацию, могут быть распечатки с печатающих уст¬ ройств, листинги, перфоленты, а также магнитные ленты, диски и другие долговременные постоянные запоминающие устройства в виде физических носителей. щихся продуктом Здесь подлинность документа необходимо рассматривать двух позиций. • получения документа, данной сформированного с непосредственно компьютерной системой и на аппаратуре ее доку¬ ментирования; • получения готового пьютерной сети документа или с удаленных объектов ком¬ автоматизированной системы управ¬ ления. В первом случае подлинность документа гарантируется ком¬ пьютерной системой, имеющей средства защиты информации от несанкционированного доступа, а также физическими характе¬ ристиками печатающих устройств, присущими только данному Глава б. Идентификация и установление подлинности объекта 75 устройству. Однако в ответственных случаях этого может ока¬ заться недостаточно. Применение криптографического преобра¬ зования информации в этом случае является эффективным сред¬ ством. Информация, закрытая кодом пароля, известным только передающему ее лицу и получателю, не вызывает сомнения в ее Если код пароля, применяемый в данном случае, используется только передающим лицом и вводится им лично, можно утверждать, что пароль является его личной подписью. подлинности. Криптографическое преобразование информации для иден¬ тификации и установления подлинности документа во втором случае, когда документ транспортировался по неохраняемой тер¬ ритории тельное с территориально или продолжи¬ хранении, также является наиболее средством. Однако при отсутствии необходимого время находился эффективным объекта удаленного на для этой цели оборудования невысокие требования к защите ин¬ формации иногда позволяют использовать более простые сред¬ ства идентификации и установления подлинности документов: опечатывание и опломбирование носителей документов с обес¬ печением их охраны. При этом к носителю должны прилагаться сопроводительные документы с подписями ответственных долж¬ заверенными соответствующими печатями. неавтоматизированном обмене информацией подлин¬ ностных лиц, При ность документа удостоверяется личной подписью человека, ав¬ (авторов) документа. Проверка тора подлинности документа в этом случае обычно заключается в визуальной проверке совпаде¬ ния изображения подписи на документе с образцом подлинника. При этом подпись располагается на одном листе вместе с текстом или частью текста ность текста. документа, подтверждая тем самым подлин¬ В особых случаях при криминалистической экспер¬ тизе проверяются и другие параметры подлинности документа. При автоматизированной передаче документов по каналам связи, расположенным на неконтролируемой территории, меня¬ ются условия передачи документа. В этих условиях даже сделать аппаратуру, воспринимающую и передающую ние подписи линник, а дачи автора документа, всего лишь копию может пользования его изображе¬ получатель получит не подписи, которая в если под¬ процессе пере¬ быть подвергнута повторному копированию для ис¬ при передаче ложного документа. Поэтому при компьютерной пользуется криптографическое преобразование информации специальная технология по стандарту цифровой подписи. передаче документов по каналам связи в сети ис¬ и Раздел II. Методы обеспечения безопасности информации... 76 Область использования цифровой подписи чрезвычайно ши¬ — рока от контроля проведения за финансовых и банковских операций до выполнением международных договоров и охраны авторских прав. При этом участники обмена документами нуждаются в защи¬ те следующих преднамеренных несанкционированных дей¬ от ствий: отправителя от переданного сообщения; • отказа • фальсификации (подделки) получателем полученного сооб¬ щения; • • получателем полученного сообщения; маскировки отправителя под другого абонента. изменения Обеспечение защиты каждой стороны, не, осуществляется с помощью введения специальных протоко¬ должен протокол содержать Для верификации сообщения лов. участвующей в обме¬ следующие обязательные положения: • отправитель ровую передаваемое сообщение свою циф¬ представляющую собой дополнительную вносит подпись, в информацию, зависящую от передаваемых данных, имени получателя сообщения и некоторой закрытой информации, которой обладает только отправитель; • получатель сообщения должен вериться, что полученная в иметь возможность удосто¬ составе сообщения подпись есть правильная подпись отправителя; • получение правильной подписи только при использовании отправителя возможно закрытой информации, которой обладает только отправитель; • для исключения устаревших возможности повторного сообщений верификация использования должна зависеть от времени. Подпись сообщения представляет собой способ шифрования сообщения с помощью криптографического преобразования. За¬ крываемым элементом в преобразовании является код ключа. Если ключ подписи принадлежит конечному множеству ключей, если это множество достаточно велико, а ключ лен методом случайного выбора, то полная подписи для пар сообщение—получатель с зрения эквивалентна поиску ключа. подписи опреде¬ проверка ключей компьютерной точки Практически подпись явля¬ ется паролем, зависящим от отправителя, получателя и содержа¬ ния передаваемого сообщения. Для предупреждения повторного сообщения к сооб- использования подпись должна меняться от Глава б. Идентификация и установление подлинности объекта 77 щению. Получатель сообщения, несмотря на неспособность со¬ ставить правильную подпись отправителя, тем не менее должен удостоверить для себя ее правильность или иметь возможность Поскольку неправильность. передаваемых документов и вопрос подлинности сообщений более актуален для тер¬ риториально рассредоточенных но связан с обеспечения информационных систем и тес¬ принципами построения в них системы защиты ин¬ формации, его решение рассмотрено в следующих разделах, по¬ сетям священных как составляющим и автоматизированным системам управления информационных систем. Идентификация и установление подлинности информации на средствах ее отображения и печати В компьютерных централизованной обработкой информации и относительно невысокими требованиями к защите установление ее подлинности на технических средствах отображе¬ ния и печати системах с гарантируется наличием системы защиты информа¬ ции данной компьютерной системы. Однако с усложнением ком¬ пьютерных систем по причинам, указанным выше, вероятность информации и ее модификации существенно увеличивается. Поэтому в более от¬ возникновения несанкционированного доступа к случаях отдельные сообщения или блоки информа¬ подвергаются специальной защите, которая заключается в ветственных ции создании средств повышения достоверности информации и крип¬ тографического преобразования. Установление подлинности по¬ лученной информации, включая отображение на табло и термина¬ лах, заключается в контроле положительных результатов обеспе¬ информации и результатов дешифрования полученной информации до отображения ее на экране. Подлин¬ ность информации на средствах ее отображения тесно связана с подлинностью документов. Поэтому все положения, приведенные чения в достоверности предыдущем подразделе, справедливы и для обеспечения под¬ отображения. Достоверность информации на средст¬ вах отображения и печати в случае применения указанных средств защиты зависит от надежности функционирования средств, до¬ ставляющих информацию на поле отображения после окончания процедур проверки ее достоверности. Чем ближе к полю отобра¬ жения (бумажному носителю) эта процедура приближается, тем достовернее отображаемая информация. линности ее Раздел II. Методы обеспечения безопасности информации... 78 Глава 7 КРИПТОГРАФИЧЕСКОЕ ПРЕОБРАЗОВАНИЕ ИНФОРМАЦИИ Краткий обзор и классификация методов шифрования информации Защита информации методом криптографического преобра¬ преобразовании ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов либо аппаратных решений и кодов ключей, т. е. в приведении ее к неявному виду. Для ознакомления с шифрованной информаци¬ ей применяется обратный процесс декодирование (дешифро¬ вание). Использование криптографии является одним из распро¬ зования заключается в — страненных методов, передачи данных в значительно повышающих безопасность компьютерных сетях, данных, хранящихся в устройствах памяти, и при обмене информацией между удален¬ ными объектами. Для преобразования (шифрования) обычно используется не¬ который алгоритм или устройство, реализующее заданный алго¬ ритм, которые могут быть известны широкому кругу лиц. Управ¬ процессом шифрования осуществляется с помощью пе¬ риодически меняющегося кода ключа, обеспечивающего каждый ление информации при использова¬ нии одного и того же алгоритма или устройства. Знание ключа позволяет просто и надежно расшифровать текст. Однако без раз оригинальное представление знания ключа эта процедура может быть практически невыпол¬ при известном алгоритме шифрования. нима даже Даже простое преобразование информации является весьма эффективным средством, дающим возможность скрыть ее смысл от большинства неквалифицированных нарушителей. Структурная схема шифрования информации на представлена рис. 1. шифры использовались в течение многих веков за¬ долго до появления компьютера. Между кодированием и шифро¬ Коды ванием не и существует отчетливого различия. Заметим только, что в последнее время на практике слово «кодирование» применяют цифрового представления информации при се обработке на технических средствах, а «шифрование» при преобразовав целях — Глава 7. Криптографическое преобразование информации Ключ Открытый 79 Ключ Открытый текст Шифр Приемник Передатчик Рис. 1. Шифрование информации информации для защиты от несанкционированного доступа. В настоящее время некоторые методы шифрования хорошо про¬ нии работаны и являются классическими. Классификация криптографических методов преобразования информации приведена на рис. 2. Для построения средств защиты информации от несанкцио¬ нированного доступа необходимо иметь представление о некото¬ рых традиционных методах шифрования: подстановки, переста¬ новки, комбинированных и др. Основные требования, предъявляемые к методам защитного преобразования: 1) применяемый метод должен быть достаточно устойчивым к попыткам раскрыть исходный текст, имея только зашифрован¬ ный текст; 2) объем ключа не должен затруднять его запоминание и пе¬ ресылку; 3) алгоритм преобразования информации и ключ, используе¬ мые для шифрования и дешифрования, не должны быть очень сложными: затраты на защитные преобразования должны быть приемлемы при заданном уровне сохранности информации; 4) ошибки в шифровании не должны вызывать потерю ин¬ формации. сообщения ность Из-за по появления каналам связи ошибок не передачи должна шифрованного исключаться возмож¬ надежной расшифровки текста на приемном конце; 5) длина зашифрованного текста не должна превышать дли¬ ну исходного текста; 6) необходимые временные и стоимостные ресурсы на шиф¬ рование и дешифрование информации определяются требуемой степенью защиты информации. Перечисленные требования характерны в основном для тра¬ диционных средств защитных преобразований. С развитием уст¬ ройств памяти, позволяющих с большей плотностью записывать 80 Раздел II. Методы обеспечения безопасности информации... I I 11111И111ГУ 1.1 аоэоиэ 2 информаци преобазвния методв криптогафчесх Класифкця 2. Рис. Глава 7. Криптографическое преобразование информации и надежно хранить длительное время ции, ограничение Появление жено. на и 81 большие объемы информа¬ объем ключа может быть значительно сни¬ развитие электронных элементов позволили разработать недорогие устройства, обеспечивающие преобразо¬ вание информации. Однако увеличение скоростей передачи информации пока еще значительно отстает от скорости ее обработки. Это несоот¬ ветствие позволяет в значительной мере ослабить требование 3 без ущерба для практически достижимой скорости передачи. В условиях применения компьютеров снизились актуальность и жесткость требования 4. Действительно, при существующей на¬ аппаратуры и развитых методах обнаружения и ис¬ правления ошибок это требование может быть снижено. Кроме дежности того, технология сетях и передачи данных, принятая в компьютерных автоматизированных системах управления, предусматри¬ повторную передачу информации ошибок передачи сообщения. вает в случае обнаружения Множество современных методов защитных преобразова¬ ний можно разделить на четыре большие группы: перестанов¬ ки, замены (подстановки), аддитивные и комбинированные методы. Методы перестановки и подстановки обычно характеризуют¬ ся короткой длиной ключа, а надежность их защиты определяет¬ ся сложностью алгоритмов преобразования. Для аддитивных методов характерны простые алгоритмы преобразования, а их надежность основана на увеличении длины ключа. Все перечисленные методы относятся к так называемому шифрованию: один и тот же ключ используется для шифрования и дешифрования. Кроме этого, используются методы несимметричного шиф¬ для рования: один ключ для шифрования (открытый), второй симметричному — дешифрования (закрытый). Методы перестановки. Суть методов перестановки состоит в том, что входной поток исходного текста делится на блоки, в ка¬ ждом из которых выполняется перестановка символов. Перестановки в классической криптографии обычно получа¬ ются в результате ного текста по записи исходного текста и чтения шифрован¬ разным путям геометрической фигуры. Простейшим примером перестановки является запись исход¬ ного текста по строкам некоторой матрицы и чтение его по Раздел II. Методы обеспечения безопасности информации... 82 столбцам этой матрицы. Последовательность заполнения строк и чтения столбцов может быть любой и задается ключом. Таким образом, для матрицы размерностью 8x8 (длина блока 64 сим¬ вола) возможно 1,6 х 109 ключей, что позволяет на современных компьютерах путем перебора расшифровать заданный текст. Од¬ нако для матрицы размерностью 16x16 (длина блока 256 симво¬ лов) имеется 1,4 х 1026 ключей, и перебор их с помощью совре¬ менных средств весьма затруднителен. Примером применения метода перестановки также восьмиэлементная может быть таблица (рис. 3), обладающая совокуп¬ маршрутов, носящих название маршрутов Гамильтона. Последовательность заполнения таблицы каждый раз соответст¬ вует нумерации ее элементов. Если длина шифруемого текста не ностью кратна числу элементов, то при последнем заполнении в свобод¬ ные элементы заносится лицы для каждого произвольный символ. Выборка из таб¬ заполнения может выполняться по маршруту, при этом маршруты могут использоваться своему как после¬ довательно, так и в порядке, задаваемом ключом. Рис. 3. Для методов возможность ты, так как ном тексте что и методов перестановки характерны программной реализации и проявляются его легкое статистические простота текста если в шифрован¬ закономерности ключа, быстро раскрыть. Другой раскрытие, алгоритма, низкий уровень защи¬ при большой длине исходного позволяет — Вариант схемы маршрутов недостаток удается направить в этих систему шифрования несколько специально подобранных сообще¬ ний. Так, если длина блока в исходном тексте равна К символам, то для раскрытия ключа достаточно пропустить через шифро¬ для вальную систему К- 1 блоков исходного текста, символы, кроме одного, одинаковы. в которых все Глава 7. Криптографическое преобразование информации 83 Существуют и другие способы перестановки, которые можно реализовать программным и аппаратным путем. Например, реа¬ лизованный аппаратным путем блок перестановки, который для преобразования информации использует электрические цепи, по которым она передается параллельным способом (рис. 4). Преоб¬ разование дов в текста заключается цифровой монтажа схемы в кодограмме в «перепутывании» порядка разря¬ путем изменения электрического блоке. Для дешифрования на приемном пункте устанавливается другой блок, восстанавливающий порядок цепей. Рис. 4. Блок перестановок Методы замены (подстановки). Методы шифрования заменой (подстановкой) заключаются в том, что символы исходного тек¬ ста (блока), записанные в одном алфавите, заменяются символа¬ ми другого алфавита в соответствии с принятым ключом преоб¬ разования. Одним простейших методов является прямая замена ис¬ ходных символов их эквивалентом из вектора замен. Для очеред¬ ного из символа исходного ние в исходном рается как текста отыскивается его местоположе¬ алфавите. Эквивалент из вектора замены выби¬ отстоящий на полученное смещение от начала алфавита. При дешифровании поиск производится в векторе за¬ мен, а эквивалент выбирается из исходного алфавита. Получен¬ ный таким защиты, методом так как текст имеет сравнительно низкий уровень исходный и шифрованный тексты наковые статистические характеристики. имеют оди¬ Раздел II. Методы обеспечения безопасности информации... 84 Более стойкой в отношении раскрытия является схема шиф¬ таблицы Вижинера собой (рис. 5). Таблица представляет квадратную матрицу с чис¬ основанная рования, лом элементов К, где на К использовании — количество символов в алфавите. В первой строке матрицы записываются буквы в порядке оче¬ та же последовательность редности их в алфавите, во второй со букв, но со сдвигом влево на одну позицию, в третьей — — сдвигом на две позиции и т. д. полняются вытесненными Освободившиеся места справа за¬ влево буквами, записываемыми в ес¬ тественной последовательности. АБВГДЕ ЭЮЯ БВГДЕЖ ЮЯА ВГДЕЖЗ ЯАБ ГДЕЖЗИ АБВ ДЕЖЗИК БВГ ЕЖЗИКЛ ВГД ЯАБВГД ЬЭЮ Рис. 5. Таблица шифрования Для шифрования текста устанавливается ключ, представляю¬ щий собой некоторое слово или набор букв. Далее из полной матрицы выбирается подматрица шифрования, включающая, на¬ пример, первую строку и строку матрицы, начальной буквой ко¬ торой являются последовательно буквы ключа (рис. 6), например МОРЕ. Процесс шифрования включает следующую последователь¬ ность действий • (рис. 7): под каждой буквой шифруемого текста записываются бук¬ вы • ключа, повторяющие ключ требуемое число раз; шифруемый текст по подматрице заменяется буквами, рас¬ положенными на пересечениях линий, соединяющих бук¬ вы текста первой строки подматрицы и буквы ключа, нахо¬ дящейся под ней. Так, под первой буквой шифруемого текста («3») оказалась буква «М» ключа. В первой строке подматрицы находим букву «3» и выбираем из данной колонки подматрицы букву в той Глава 7. Криптографическое преобразование информации 85 ШИФРУЕМЫМ ТЕКСТ ЗИЩИТА ИНФОРМАЦИИ КЛЮЧ МОРЕМО РЕМОРЕМОРЕ ТЕКСТ ПОСЛЕ ЗАМЕНЫ УОИОЭО ШТЯЫЯСМГШО ЗАШИФРОВАННЫЙ ТЕКСТ УОИО ЭОШТ ЯЫЯС МГШО Рис. 6. Механизм шифрования заменой АБВГДЕЖЗИКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯ МНОПРСТУФХЦЧШЩЪЫЬЭЮЯАБВГДЕЖЗИКЛ ОПРСТУФХЦЧШЩЪЫЬЭЮЯАБВГДЕЖЗИКЛМН РСТУФХЦЧШЩЪЫЬЭЮЯАБВГДЕЖЗИКЛМНОП ЕЖЗИКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯАБВГД Рис. 7. Ключ шифрования строке, которая соответствует оказалась букве «М» ключа. Такой буквой буква «У». Далее выполняется замена исходной буквы «3» на «У» в вы¬ ходном тексте. Выходной текст делится на группы, например по четыре знака. Для этого алгоритма может быть составлена компьютерная программа. Раскрыть текст, полученный по данному алгоритму, только характеристик языка невозможно, так символы открытого текста могут быть замене¬ на основе статистических как одни и те же различными символами шифрованного текста. С другой сто¬ роны, различные буквы открытого текста могут быть заменены ны шифрованного текста. Для дешифрования необходимо знать ключ, который может одинаковыми знаками быть введен пользователем со своего терминала или хранится в Для шифрования ключа можно использовать другую систему шифрования. Расшифровка текста выполняется в следующей последова¬ тельности (рис. 8): памяти компьютера в зашифрованном виде. буквами шифрованного текста сверху последовательно записываются буквы ключа; • над • в Вижинсра для каждой буквы буква, соответствующая знаку шифро- строке подматрицы таблицы ключа отыскивается Раздел II. Методы обеспечения безопасности информации... 86 КЛЮЧ МОРЕ МОРЕ МОРЕ МОРЕ ЗАШИФРОВАННЫЙ ТЕКСТ УОИО ЭОШТ ЯЫЯС МГШО РАСШИФРОВАННЫЙ ТЕКСТ ЗАЩИ ТАИН ФОРМ АЦИИ ИСХОДНЫЙ ТЕКСТ ЗАЩИТА ИНФОРМАЦИИ Рис. 8. Механизм дешифрования ванного текста. Находящаяся над ней буква первой строки будет знаком расшифрованного текста; полученный текст группируется в слова по смыслу. Один из недостатков шифрования по таблице Вижинера это ненадежность шифрования при небольшой длине ключа и сложность формирования длинных ключей. Так как в ключе не допускается повторение букв (в противном случае шифрование будет неоднозначным), а сам ключ должен легко запоминаться, последовательность букв, не имеющих определенного смысла, и • — запомнить С целью пользуется который • трудно. повышения усовершенствованный заключается в во надежности всех шифрования текста ис¬ Вижинера, вариант таблицы следующем: (кроме первой) строках таблицы буквы алфавита располагаются в произвольном порядке; • выбирается десять (не считая первой) строк, ванных • в натуральными качестве числами от пронумеро¬ 0 до 9; ключа используются величины, выраженные бесконечным рядом чисел (например, основание натураль¬ логарифмов е 2,7182818285..., число ПИ 3,14159...). Шифрование и расшифрование осуществляются в той же последовательности, что и в случае простой таблицы Вижинера. ных = = Частным случаем метода замены, обеспечивающим надежное шифрование информации, является использование алгебры мат¬ риц (например, правила умножения матрицы на вектор). Это правило, В как известно, заключается в следующем: ^11^1 + ^12^2 + а\зЬ3 ^11 ^12 °21 а22 °23 ^31 аХ2 °33 у соответствии ' с ^2 ч^3> этим вать в качестве основы для = л «21^1 4- & 22^2 4- ^23^3 чй31^1 4- ^32^2 + ^33^3 правилом матрицу "с? = у с2 <СЗу можно использо¬ шифрования, знаками вектора Ь} мо- Глава 7. Криптографическое преобразование информации 87 гут быть символы шифруемого текста, а знаками вектора резуль¬ тата с,— символы зашифрованного текста. Для шифрования буквенных сообщений необходимо прежде всего заменить знаки алфавита их цифровыми эквивалентами, которым может быть порядковый номер буквы в алфавите. Для дешифрования используются те же правила умножения матрицы на вектор, только в качестве основы берется обратная а матрица, в качестве умножаемого вектора — соответствующее шифрованного Цифрами вектора-ре¬ эквиваленты знаков исходного текста. зультата будут цифровые Нетрудно видеть, что процедуры шифрования и дешифрова¬ ния строго формализованы, что позволяет сравнительно легко количество чисел текста. запрограммировать их для автоматической реализации ютере. в компь¬ Причем важно, что шифрование и дешифрование осуще¬ ствляются вектор, т. по одной и той же процедуре умножения матрицы на е. для них может использоваться одна и та же про¬ шифрования выполнить несколько каждой шифрования буквы требуется арифметических действий, что увеличивает время обработки ин¬ формации. Существуют и другие методы подстановки. Приведенные выше методы подстановки относятся к моноалфавитным подста¬ новкам, которые можно представить как числовые преобразова¬ ния букв исходного текста, рассматриваемых как числа. Каждая буква в тексте умножается на некоторое число (называемое деся¬ тичным коэффициентом) и прибавляется к некоторому другому числу (коэффициенту сдвига): грамма. Недостатком же является то, что для С где а — = и де¬ (аР + 8) тос1 Л, десятичный коэффициент; 8 — коэффициент сдвига. Получающееся число уменьшается по правилу вычитания модуля Л, где Л размер алфавита, и зашифрованный текст формируется из соответствующих ему алфавитных эквивалентов. — В целях маскировки естественной частотной ходного языка применяется статистики ис¬ многоалфавитная подстановка, ко¬ торая также бывает нескольких видов. Аддитивные методы. В качестве ключа в аддитивных методах используется некоторая последовательность букв того же алфа¬ вита и такой же длины, что и в исходном тексте. Шифрование выполняется путем сложения символов исходного текста и ключа Раздел II. Методы обеспечения безопасности информации... 88 по модулю, равному числу букв в алфавите (так, если использует¬ ся двоичный алфавит, то Примером жение на производится сложение по модулю два). такого же метода является гаммирование исходный текст некоторой последовательности называемой Процесс гаммой. наложения нало¬ — кодов, осуществляется сле¬ дующим образом: • символы исходного текста ичном коде и • и гамма представляются в дво¬ располагаются один под другим; каждая пара двоичных знаков заменяется одним двоичным шифрованного текста в соответствии с знаком принятым алгоритмом; • полученная последовательность двоичных знаков ванного текста заменяется символами шифро¬ алфавита в соответ¬ выбранным кодом. ствии с Если ключ шифрования выбирается случайным образом, на¬ формируется с помощью датчика псевдослучайных чи¬ сел, то раскрыть информацию, не зная ключа, практически не¬ пример, возможно. Однако на практике длина ключа ограничена возможностя¬ ми компьютерной именно выделяемыми сообщения, а записи кодов аппаратуры обмена данными, а объемами памяти, временем обработки техники также и возможностями аппаратуры подготовки и ключей. Выбор метода преобразования Изложенные сведения по методам шифрования информации не претендуют на глубокий анализ и полноту описания методов, так как это не является нение в задачей данной книги. Однако их приме¬ построении защиты возможно, что требует некоторой оценки и сравнения методов. Большинство искусственных языков (и все естественные языки) имеет характерное частотное распределение букв и дру¬ гих знаков. Например, Е наиболее часто встречающаяся буква в английском языке, а цифра 2 наиболее редкая. Это вовсе не говорит о том, что не будут попадаться английские (исходные) сообщения, в которых другая буква будет встречаться чаще, чем Е, и реже, чем 2. Но для очень большого числа сообщений могут — — быть установлены определенные характерные частоты. Многие сообщения, зашифрованные методом перестановки или одноал- Глава 7. Криптографическое преобразование информации 89 фавитной подстановки, сохраняют характерные частотные рас¬ пределения и, таким образом, дают криптоаналитику путь к рас¬ крытию шифра. Криптоаналитики часто используют индекс соответствия (ИС) для определения того, находятся ли они на правильном пути. Теоретически ожидаемое значение ИС для английского языка определяется выражением Щт -——0,066 + 0,038 т^ 1) т^ - ’ - где ТУ — длина сообщения в буквах; т — 1) - 1) алфавитов. ИС, большие, чем 0,066 число Шифровки, которые дают (для английского языка), сами сообщают о том, что, вероятно, использовалась одноалфавитная подстановка, давая, таким обра¬ зом, криптоаналитикам превосходный инструмент для того, что¬ бы приступить к разгадке шифра. Если индекс соответствия находится между 0,052 и 0,066, то, вероятно, был использован двухалфавитный шифр подстановки, если между 0,052 и 0,047 трехалфавитный, и т. д. Криптоана¬ литик берет наиболее часто встречающийся символ и предпола¬ гает, что это пробел, затем берет следующий наиболее частый значения — символ и предполагает, тера это делается что это «Е» С помощью компью¬ и т. д. быстро и аккуратно. Дело усложняется, когда криптоаналитик сталкивается с рав¬ номерным распределением символов (ИС 0,038 для английско¬ го языка, 1/26 число букв в английском алфа¬ 0,038, где 26 вите), которое получается при использовании многоалфавитной = = — подстановки. Принципиальное значение для надежности шифрования имеет длина кода ключа, т. е. отношение его длины к длине за¬ крываемого им текста. Чем больше оно приближается к едини¬ це, тем надежнее шифрование. При этом следует иметь в виду, что это отношение распространяется щение, переданное однократно тальные ваемые мы связи и назначению, но и на сооб¬ все ос- сообщения, закрытые этим же кодом ключа и переда¬ постоянно и ствования что по не только на данное не до периодически замены знаем новым он значением. времени его суще¬ Это объясняется тем, подключения нарушителя к линии предполагаем наиболее опасный вари¬ времени поэтому заранее ант, когда в течение подключен постоянно. В этом случае при много- Раздел II. Методы обеспечения безопасности информации... 90 кратном повторении кода ключа по всей длине текста существу¬ ет опасность ность этого его статистическим раскрытия события зависит не только от Вероят¬ методом. указанного выше выбранного метода шифрования. Поясним это на простом примере цифрового текста, закры¬ того цифровым кодом ключа методом гаммирования. 1. Закрытое многозначное число 1001 1000 1011 1010 1101 отношения, но и от 1100 получено путем поразрядного сложения по модулю 2 числа А]А2АзА4А5А6 с однозначным числом К, т. е. шифрование числа А1А2А3А4А5А6 ключом К можно представить в виде системы урав¬ нений: © Л' = © А = © К = 1011; © А = 1010; © А = 1101; © А = 1001; 1000; 1100. 2. Исходя из условия, что А принимает десятичные значения 0 до 9, для поиска неизвестного А определим все возможные от значения Л4 и К, сумма которых по модулю 2 приводит к резуль- тату 1001: _0000 0001 0010 ООН 0100 0101 ОНО 0111 1000 1001 " 1 А = 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 1001 3. Аналогично определим А для чисел 1000, 1011, 1101 и 1100. 4. Анализируя полученные значения К для каждого из чисел и исключая значения более 9, определим значение, которое при¬ сутствует в каждом из десятков результатов. Это значение будет равно 1001, т. е. в десятичном счислении 9. Следовательно, код ключа А= 9, а искомое число 012345. Приведенный пример говорит о слабой эффективности ме¬ тода гаммирования при малой длине кода ключа. Другие методы наложения в этом отношении также могут быть слабы, так как при этом лишь усложняется математическое уравнение системы с несколькими неизвестными и увеличивается объем вычисле- Глава 7. Криптографическое преобразование информации ний при их решении, что 91 современной математике и компью¬ терной технике не составляет особого труда. Для повышения эффективности шифрования применяются «длинный» ключ; «двойной» ключ, где два ключа добавлялись по модулю два к исходному тексту; шифрование псевдослучайным ключом, где ключ так изменяется с каждым словом, как это обеспечивалось генератором псевдослучайных ются и другие методы использования ключей. чисел. Применя¬ Интересным и эффективным способом является применение уравнения генератора псевдослучайных чисел. Современные достижения математики позволяют с помощью — — уравнения с генератора «бесконечным» малой длиной псевдослучайных чисел получить шифр ключевым самого ключа. словом, располагая относительно Реализация этого метода заключа¬ вычислительную систему закладывается специ¬ альный алгоритм, который при получении кода ключа (порож¬ ется в том, что в дающего числа Т) вырабатывает по определенному закону (уравнению) с каждым тактом новое псевдослучайное число, це¬ почка из которых накладывается на закрываемый текст, и таким образом из «короткого» ключа получается «длинный» и жестко связанный с ним второй ключ. Например, если использованное порождающее число было 4372, то последовательность будет вы¬ глядеть следующим образом: То = 4372. Двумя средними числами являются 37. Квадратом 37 является 1369. Ту 1369. Двумя средними цифрами являются 36. = Квадрат 36 — число 1296. 1296. Двумя средними цифрами являются 29. число 841. Квадрат 29 Т2 = — Т3 ... = 0841. и т. д. Это выглядит достаточно разумно, пока не будет обнаруже¬ но, что из всех 100 возможных чисел, которые могут быть возве¬ дены в квадрат: 62 числа вырабатывают последовательности, которые вырож¬ даются в 00, 00, 00, ...; 19 чисел вырабатывают последовательности, которые вырож¬ 10, 10, 10, ...; 15 чисел вырабатывают последовательности, которые вырож¬ даются в даются в 60, 60, 60, ...; Раздел II. Методы обеспечения безопасности информации... 92 3 числа 1 число вырабатывают последовательности, которые вырож¬ даются в 24, 57, 24, 57, 24, 57, ...; вырабатывает последовательность, которая вырожда¬ 50, 50, Для нас важно, чтобы генераторы псевдослучайных чисел ется в 50, ... . были воспроизводимыми, хотя в то же время они должны выра¬ батывать числа, которые «кажутся случайными». На основе тео¬ рии групп было разработано несколько типов таких генераторов. В настоящее время наиболее доступными являются конгруэнт¬ ные генераторы. На основе их строгого определения можно сде¬ лать математически ствами должны корректное заключение о том, обладать выходные учетом периодичности и какими свой¬ сигналы этих генераторов с случайности. Одним из хороших конгруэнтных генераторов является ли¬ нейный конгруэнтный генератор псевдослучайных чисел. Этот генератор вырабатывает последовательность псевдослучайных чисел Г], Т2, Т3, ..., Тт, ..., ^+ 1 где го 7^ — используя соотношение = исходная величина, числа; « и с — (0Г+ с) тод т, выбранная в качестве порождающе¬ константы. Указанное уравнение генерирует псевдослучайные определенным периодом повторения, зависящим от числа с выбранных значений д и с. Значение т обычно устанавливается равным 2'”1 или 2й, где Ь — длина слова компьютера в Эффективным комбиниро¬ шифрования и в подстановки дает перестановки результате сложное преоб¬ разование, называемое производным шифром. Этот шифр облада¬ ет более сильными криптографическими возможностями, чем методом ванный метод. Комбинация шифрования битах. основных является — методов — перестановка и подстановка. Этот метод используется в федеральном стандарте ^В8 США, называемом также стандар¬ отдельная ЭЕ8, том и отечественном ном в действие с июля перестановки, 28147—89, введен¬ 1990 г. Стандарт ЭЕ8 построен нии стандарте ГОСТ замены на и комбинированном гаммирования, использова¬ причем каждый шифруемых данных длиной 32 бита последовательно под¬ вергается 15-кратному преобразованию, а в качестве ключа, ко¬ торый служит для генерирования последовательности знаков блок случайной гаммы, используется последовательность в 56 бит. Та¬ кой ключ дает 1016 различных комбинаций гаммы. Глава 7. Криптографическое преобразование информации 93 Алгоритм ОЕ8 нашел широкое применение во многих сфе¬ рах деловой жизни по следующим причинам: 1) до настоящего времени никто не указал какую-либо фун¬ даментальную слабость алгоритма; 2) он утвержден в качестве национального стандарта. Кроме и освиде¬ стандарту. Таким того, правительство установило программы проверки тельствования, гарантирующие соответствие образом, ОЕ8 стал наиболее широко признанным механизмом криптографической защиты несекретных данных для массового применения; 3) различные варианты его исполнения (программный, микропрограммный и аппаратный) позволяют удовлетворить потребности разнообразных пользователей как по скоростным показателям, так и экономическим. Наиболее широко БЕЗ пользуется при хранении и ис¬ передаче данных между различны¬ обработки информации; в почтовых системах, в электронных системах чертежей и при электронном обмене коммерческой информацией с помощью алгоритма ОЕ8 можно зашифровывать файлы компьютера для их хранения. Сам процесс криптографического закрытия данных может ми системами осуществляться как программно, так и аппаратно, однако аппа¬ ратная реализация обладает по сравнению с программной рядом преимуществ: • высокая • упрощенная организация обработки информации многих производительность; и т. д. Во странах налажено промышленное производство ап¬ паратуры для шифрования. Специалистами сформирована следующая система требова¬ ний к алгоритму шифрования: 1) зашифрованный текст должен поддаваться чтению только при наличии ключа шифрования; 2) число операций, необходимых для определения использо¬ ванного ключа шифрования по фрагменту шифрованного текста и соответствующего ему открытого текста, должно быть не мень¬ ше общего числа возможных ключей; 3) знание алгоритма шифрования дежность 4) должно влиять на на¬ защиты; незначительные приводить текста; не к изменения существенному ключа изменению шифрования должны вида зашифрованного Раздел II. Методы обеспечения безопасности информации... 94 5) незначительные шифруемого текста должны к существенному изменению вида зашифрованного приводить текста даже изменения при использовании одного и того же ключа; 6) структурные элементы алгоритма шифрования должны быть неизменными; 7) в процессе шифрования должен осуществляться постоян¬ ный контроль за шифруемыми данными и ключом шифрования; 8) дополнительные биты, вводимые в текст в процессе шифрования, должны быть полностью и надежно скрыты в шифрованном тексте; 9) длина шифрованного текста должна быть равной длине исходного открытого текста; 10) не должно быть простых и легко устанавливаемых зави¬ симостей между ключами, последовательно используемых в про¬ цессе шифрования; И) любой ключ из множества возможных должен обеспечи¬ надежную защиту информации; 12) алгоритм должен допускать как программную, вать паратную реализацию; должно вести к при этом изменение длины так и ап¬ ключа не ухудшению характеристик алгоритма. Последним достижением криптографии стала система с от¬ крытым ключом. В криптографии ключа, каждый Один из с открытым которых ключом невозможно предусмотрено вычислить из два другого. (открытый) используется отправителем для шифро¬ вания информации, другим (закрытым) получатель расшиф¬ ровывает полученный шифротекст. Криптографические системы с открытым ключом использу¬ ют необратимые или односторонние функции, которые облада¬ ключ — ют следующими свойствами: при заданном тельно просто вычислить простого пути для то нет значение /(х), значении однако вычисления значения % относи¬ если у=/(х), X Другими сло¬ чрезвычайно трудно рассчитать значение обратной функ¬ ции / '(у). Исследование необратимых функций проводилось в основ¬ вами, ном по трем направлениям: 1) дискретное возведение в степень; 2) умножение простых чисел; 3) комбинаторные задачи, в частности задача об укладке ранца. Диффи и Хеллман исследовали функцию дискретного возве¬ дения в степень, в результате этого получили новый алгоритм Глава 7. Криптографическое преобразование информации 95 криптографического закрытия информации, позволяющий при¬ менять два ключа: открытый для шифрования, закрытый для расшифрования информации. Система открытого ключа позво¬ лила решить проблему рассылки ключей пользователям при од¬ новременном выполнении требований по стойкости защиты. Р. Л. Ривестом, А. Шамиром и Л. Адельманом предложен ме¬ с тод общего пользования для более высокой степени основанный на применении необратимой функции с ключом защиты, потайным ходом, которая определяется как семейство обрати¬ функций. Криптография с открытым ключом наиболее эффективна при мых шифровании передаваемых данных, а не данных, хранящихся в запоминающем устройстве. Кроме того, она прекрасно подходит для замены обычной подписи электронной, так называемой циф¬ ровой подписью, применяемой в системах электронных платежей и при передаче сообщений с помощью устройств телесвязи. В табл. 1 описываются сильные и слабые стороны классиче¬ криптографического алгоритма ЭЕ8 и криптографическо¬ го алгоритма с открытым ключом К8А (название от первых букв фамилий авторов). ского Таблица 1. Характеристики криптографических алгоритмов 0Е5 Характеристика В8А Скорость работы Быстрая Медленная Используемая функция Перестановка и подстановка Возведение в степень Длина ключа, бит 56 300...600 Разложение модуля Наименее затратный крипто¬ Перебор по всему ключевому анализ пространству Временные затраты на крип¬ Столетия Зависят от длины ключа Время генерации ключа Миллисекунды Десятки секунд Тип ключа Симметричный Асимметричный тоанализ В заключение следует, однако, проведенных исследований БЕ8 Национальное агентство по 1988 г. отметить, что в результате проверке надежности алгоритма безопасности США с 1 января по прекратило поддержку этого стандарта. Бурное развитие Раздел II. Методы обеспечения безопасности информации... 96 криптографии с ключом общего пользования позволяет надеять¬ ся на существенное упрощение программно-аппаратной реали¬ устройств шифрования, базирующихся на принципах от¬ зации крытого ключа. Глава 8 ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ЗА СЧЕТ ПОБОЧНОГО ЭЛЕКТРОМАГНИТНОГО ИЗЛУЧЕНИЯ И НАВОДОК (ПЭМИН) Потенциальные угрозы Работа средств компьютерной техники сопровождается элек¬ излучениями и наводками на линии, цепи «питания», «земля», тромагнитными соединительные проводные возникающими вследствие электромагнитных воздействий в ближней зоне излу¬ чения, в которую могут попадать также провода вспомогатель¬ ной и посторонней аппаратуры. Электромагнитные излучения, даже если являются они отвечают допустимым техническим нормам, не безопасными с точки зрения утечки секретной инфор¬ мации и несанкционированного доступа к ней. В некоторых случаях ютерными средствами, тромагнитных информацию, обрабатываемую компь¬ можно восстановить излучений и наводок. Для путем анализа элек¬ этого декодирование. Одно время считалось необходимы прием и делом расшифровать информацию, содержащуюся поэтому восстановление информации после и что силу только профессионалам, располагающим очень в их трудным излучении, приема под очень сложной аппаратурой обнаружения и декодирования. Однако исследова¬ ния что восстановление информации от некоторых компьютерных средств возможно с помощью общедоступных ра¬ показали, диоэлектронных средств. В частности, при восстановлении ин¬ формации с дисплеев можно использовать обычный черно-бе¬ лый телевизор, в котором сделаны незначительные усовершенст¬ вования. Если системы, то он рое сведет дисплей является элементом может оказаться самым на нет все меры по компьютерной слабым ее звеном, кото¬ увеличению безопасности излуче¬ ний, принятые во всех остальных частях системы. Глава 8. Защита информации от утечки... 97 Применение в компьютерной технике импульсных сигналов прямоугольной формы и высокочастотной коммутации приво¬ дит к тому, что в тами вплоть до спектре излучений будут компоненты с часто¬ СВЧ. Хотя энергетический спектр сигналов убы¬ эффективность излучения при этом увеличивается, и уровень излучений может оставаться постоян¬ вает с ростом частоты, но ным до частот нескольких гигагерц. Резонансы из-за паразитных связей могут вызывать усиление излучения сигналов на некото¬ рых частотах спектра. Методы и средства защиты информации от побочного электромагнитного излучения и наводок информации В целях защиты секретной информации от утечки за счет по¬ бочного электромагнитного излучения измерение уровня опасных сигналов на и наводок производится расстоянии от источника (дисплея, печатающего устройства, кабеля и т. д.). Замеры про¬ изводят в нескольких точках на разных расстояниях от источни¬ специальной приемной аппаратуры (например, анализатора спектра НР 8586 А в диапазоне 30... 100 МГц в режи¬ ка с помощью полосой пропускания 10 кГц и детектированием). Если уровень сигнала на границе установленной зоны превысил ме с пиковым допустимые значения, применяют защитные меры. Защитные меры могут носить мости от сложности, стоимости и различный характер в зависи¬ времени их реализации, кото¬ рые определяются при создании конкретной компьютерной сис¬ темы. Такими мерами могут быть: доработка аппаратуры с целью уменьшения уровня сигналов, установка специальных фильтров, параллельно работающих аппаратных генераторов шума, специ¬ экранов и другие меры. В числе этих мер большие наде¬ альных жды возлагаются на применение в линиях и каналах связи воло¬ конно-оптических имуществами: кабелей, которые обладают следующими пре¬ отсутствием электромагнитного излучения во среду, устойчивостью к внешним электромагнитным излучениям, большой помехозащищенностью, скрытностью пе¬ внешнюю редачи, дом с габаритами (что позволяет прокладывать их ря¬ существующими кабельными линиями), устойчиво¬ малыми уже воздействиям агрессивной среды. С точки зрения защиты информации волоконно-оптические стью к кабели имеют еще одно преимущество: подключение к ним с це- Раздел II. Методы обеспечения безопасности информации... 98 перехвата передаваемых данных представляет собой значи¬ тельно более сложную задачу, чем подключение к обычному лью проводу или кабелю с помощью индуктивных датчиков и прямо¬ го подключения. Однако замена одного кабеля другим связана с введением электрооптических и оптико-электрических преобра¬ зователей, на которые и перекладывается проблема обеспечения безопасности информации. Глава 9 МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ СЛУЧАЙНЫХ ВОЗДЕЙСТВИЙ В целях защиты функционирования информационных сис¬ тем и систем автоматизации управления от случайных воздейст¬ вий применяются уже сти аппаратуры и известные средства повышения надежно¬ программного обеспечения комплекса средств а для защиты автоматизации, информации — средства повыше¬ достоверности. Для предотвращения аварийной ситуации применяются специальные меры. ния ее Методы и средства повышения надежности компьютерных систем и достоверности информации в настоящее время доста¬ точно хорошо разработаны, по этим вопросам имеется обшир¬ ная литература. Первые методы и средства косвенным образом помогают су¬ щественно сократить влияние случайных воздействий и на ин¬ формацию. Мы остановимся лишь на введении в проблему и основных ее имеющих моментах, чению непосредственное отношение к обеспе¬ безопасности информации в рамках поставленной задачи и необходимых для анализа и выработки подхода к средствам повышения надежности с позиций безопасности информации, обрабатываемой в системе. Проблема надежности автоматизированных систем решается тремя путями: деталей и узлов; • повышением надежности • построением надежных систем из менее надежных элемен¬ структурной избыточности (дублирование, утроение элементов, устройств, подсистем и т. п.); тов за счет Глава 9. Методы и средства защиты информации • 99 ... отказа, функционального контроля с диагностикой увеличивающего надежность функционирования системы путем сокращения времени применением восстановления отка¬ завшей аппаратуры. функционального контроля (ФК) системы явля¬ ются: своевременное обнаружение сбоев, неисправностей и программных ошибок, исключение их влияния на дальнейший процесс обработки информации и указание места отказавшего элемента, блока программы с целью последующего быстрого Задачами восстановления системы. Существующие методы функционального контроля компью¬ терных систем могут ный и быть разделены на комбинированный (сочетание ным). Сравнительная характеристика программный, аппарат¬ программного методов с аппарат¬ функционального контроля учитывает следующие факторы: • надежность обнаружения; • возможность тельства исправления ошибок после сбоев без вмеша¬ оператора; • время, затрачиваемое на устранение случайных ошибок; • количество дополнительного • способы применения: параллельно или с прерыванием об¬ • оборудования; работки информации; влияние контроля на быстродействие компьютерной систе¬ мы или ее производительность; указание места неисправности с необходимой точностью. Программный контроль делится на: • • • • программно-логический; алгоритмический; тестовый. Наиболее распространенная форма программно-логического контроля — это двойной счет со сравнением полученных резуль¬ Алгоритмический контроль заключается в том, что задача, решенная по какому-либо алгоритму, проверяется повторно по татов. сокращенному алгоритму с достаточной степенью точности. Программно-логический контроль позволяет надежно обна¬ руживать сбои и для его осуществления не требуется дополни¬ тельного оборудования. Однако при нем более чем вдвое снижа¬ ется производительность компьютера, не обнаруживаются систе¬ матические сбои, нельзя указать место отказа и тем более сбоя, требуется дополнительная емкость памяти для программы вы- Раздел П. Методы обеспечения безопасности информации... 100 числений. При алгоритмическом контроле производительность компьютера выше, в остальном он обладает теми же недостатка¬ ми кроме того, имеет ограниченное применение, так как не всегда удается найти для основного алгоритма сокращенный, ко¬ и, торый был бы значительно короче основного. Тестовый контроль, ки как правило, применяется для провер¬ работоспособности комплекса средств автоматизации с по¬ мощью испытательных Тестовый программ. контроль в отличие от программно-логического переработки информации, а пребывание комплекса средств автоматизации или его части в работоспособ¬ ном состоянии. Кроме того, тестовый контроль не всегда обна¬ проверяет не процесс руживает сбои и во время проверки не может решать задачи по рабочей программе. В настоящее время широкое применение находят методы ап¬ паратного схемного контроля и комбинированный метод. Аппаратный контроль в отличие от может программного обеспечивать указание о наличии сбоя или неисправности непо¬ средственно в момент его возникновения. Аппаратный контроль в комплексе средств автоматизации делится на: • контроль по модулю; • контроль при дублировании оборудования; • контроль при троировании ем оборудования с использовани¬ мажоритарных элементов. Контроль по модулю основывается на следующих принципах. Из теории чисел известно, что целое положительное число мож¬ но представить в виде сравнения: (1) А=га(тоАМ) (считается, что А сравнимо с остатком га модуля М), устанавливает следующее соотношение между числами А, которое га и М: А=М1 + га, где А, М, I и га — целые числа; А — любое контролируемое //-раз¬ рядное число; М модуль, или делитель; / частное; га ток от деления А на модуль М (контрольный код числа А). — При данном методе — контроля каждому — оста¬ контролируемому члену придается еще т дополнительных разрядов, в которые за¬ контрольный код, т. с. остаток га. Если записать все числа в виде сравнения (1), то после этого их можно будет склаписывается Глава 9. Методы и средства защиты информации 101 ... дывать, перемножать, а результаты записывать в виде подобных сравнений: р р Е4 = /=1 ЁМтос1 ^ (2) /=1 р р 14 ^П^.СтодМ). /=1 (3) /=1 Выражения (2) и (3) означают, что сумма (произведение) чи¬ сел сравнима с суммой (произведением) остатков этих чисел по модулю М. Техническая реализация контроля в по заключается модулю разработке специальных схем, которые в технической литера¬ туре название получили повышается с «сверток». Эффективность увеличением модуля. Однако непропорционально оборудования и пространение модулю 2. в количество возрастает усложняются схемы компьютерных с контроля увеличением М дополнительного контроля. схемах получил Широкое рас¬ контроль по Дублирование оборудования позволяет путем сравнения вы¬ ходных сигналов обнаружить отказ аппаратуры. Высокая эффек¬ тивность такого контроля основывается на том, что вероятность одновременного отказа двух одинаковых элементов исчезающе мала. Недостатком возможность и этого метода является не всегда имеющаяся определить, какой из каналов является исправным, поэтому, чтобы процесс функционирования оставался исправ¬ ным, приходится одновременно в каждом из каналов применять методы контроля, например контроль по модулю. Троирование оборудования зволяет наряду с с элементами «голосования» по¬ увеличением вероятности безотказной работы функционирования с помощью ма¬ жоритарных элементов. Данный метод требует, разумеется, уве¬ личения объемов оборудования. В настоящее время существует много разнообразных методов контроля, имеющих в зависимости от конкретных требований и условий различную степень применяемости. Некоторые из этих увеличить и достоверность методов являются специализированными для определенных ти¬ устройств и систем. Другие приспособлены для проверки и определенных видов операций применяются в различных ти¬ пах устройств. пов — Раздел П. Методы обеспечения безопасности информации... 102 Поскольку результат воздействия на информацию зависит от количества роятность Ввод, ошибок в данный появления этих и хранение момент времени, рассмотрим ве¬ событий. обработка информации в комплексах средств автоматизации осуществляются с помощью кодов чисел и слов по определенному алгоритму. Появление сбоев приводит тому, что в коде может возникнуть одиночная или групповая ошибка (двухкратная, трехкратная и т. д.). Ошибка может счи¬ к одиночной, если она возникла в одном разряде кода числа таться или слова. можно Считая ошибки в каждом разряде кода независимыми, определить вероятность появления ошибки 1-й кратности при известной вероятности искажения одного разряда двоичного кода. В этом случае ошибки в каждом из разрядов подчиняются биноминальному распределению вероятностей. Вероятность по¬ явления однократной ошибки в //-разрядном двоичном коде мо¬ жет быть определена из выражения Р, =^(1-^)-', вероятность появления ошибки течение одной операции. где г/ — в отдельном разряде в Вероятность появления двукратной ошибки ^=^(1 -?)"-< Вероятность появления ошибок 1-й кратности ^ =с‘д'(\-ду-‘. Однако оценка значения трудностями, которые Р^ аналитическим путем связана с зависят от причин, вызывающих сбои. Получение статистического материала о сбоях каждого разряда также является проблемным вопросом. Р1 может быть получено по более удобной формуле р где /оп казов — _ ^р^оп -ицр/оп длительность одной операции; — цр интенсивность от¬ оборудования, участвующего в передаче и хранении каж¬ разряда двоичного кода. С увеличением кратности ошибки вероятность ее появления уменьшается. Вероятность появления ошибки с кратностью /-4 дого пренебрежимо мала. Для оценки эффективности аппаратного Глава 9. Методы и средства защиты информации необходимо 103 ... обнаружения (пропус¬ ка) ошибок различной кратности при выбранном методе контро¬ контроля ля. В связи с этим знать вероятность общая вероятность пропуска ошибки рпр Р, где — РРм.пр/ / /=1 ^ / вероятность появления ошибки /-й кратности; Рмпр/ — вероятность пропуска ошибки /’-й кратности при выбранном ме¬ тоде аппаратного контроля. В настоящее время по вероятности имеется обнаружения достаточно учебной литературы ошибок различной кратности при Вероятность обнаружения до¬ полняет до единицы вероятность пропуска ошибок, т. е. аппаратном контроле по модулю. Р = * \ - * Робн* 7 м.пр/ Например, вероятность появления двукратной ошибки мож¬ но вычислить по формуле 2 2 2 Моп р Вероятность пропуска двукратной ошибки при контроле по модулю 3 вычисляется по формуле Лр =0’25«2Ц,/оП(1 + 0,166лцр/оп). Способность средств функционального контроля обеспечить своевременно (до начала последующей обработки) обнаружение блокировку ошибок заданной кратности определяет уровень достоверности контроля обработки информации. Существенную роль для качества функционального контроля играет плотность и обнаружения ошибок по всей «пло¬ щади» контролируемой компьютерной системы, т. е. полнота ее распределения средств функциональным контролем. В связи с этим при созда¬ компьютерных систем используются следующие показатели охвата нии его функционального контроля: 1) время обнаружения и локализации отказов аппаратуры с качества точностью до съемного элемента: ^обн/ 7’ 7 /=1 = обн ’ т Раздел П. Методы обеспечения безопасности информации... 104 экспериментов; / номер эксперимента; /обн/ вре¬ мя обнаружения отказа в /’-м эксперименте; где т — число — 2) полнота контроля функционирования компьютерной сис¬ темы где Хк — частей, суммарная интенсивность появления отказов составных охваченных контролем; л0 суммарная интенсивность отказов всех составных частей компьютерной системы; — 3) достоверность контроля общее число отказов, обнаруженных данной системой общее число отказов проведе¬ функционального контроля; пцр где яобн — — ния функционального контроля при условии появления или ис¬ кусственного введения отказов в каждом опыте. Одним из основных условий эффективного функционирова¬ информационной системы с комплексом автоматизации яв¬ обеспечение требуемого уровня достоверности информа¬ ции. Под достоверностью информации в информационной сис¬ теме понимают некоторую функцию вероятности ошибки, т. е. события, заключающегося в том, что реальная информация в ния ляется системе о некотором параметре не совпадает в пределах задан¬ ной точности с истинным значением. Необходимая достоверность достигается использованием раз¬ личных методов, реализация которых требует введения в системы обработки информации и данных информационной, временной или структурной избыточности. Достоверность при обработке данных достигается путем контроля ходных и выводимых данных, их Условие повышения достоверности и выявления локализации — допустимого уровня. В конкретных и ошибок в ис¬ исправления. ошибок до снижение доли информационных системах требуемая достоверность устанавливается с учетом нежелатель¬ ных последствий, к которым может привести возникшая ошибка, и тех затрат, которые необходимы для ее предотвращения. Методы контроля при обработке информации в информаци¬ онной системе классифицируют по различным параметрам: по количеству операций, охватываемых контролем, — единичный Глава 9. Методы и средства защиты информации (одна операция), групповой (группа 105 ... последовательных опера¬ ций), комплексный (контролируется, например, процесс сбора данных); по частоте контроля непрерывный, циклический, — периодический, разовый, выборочный, по отклонениям; по вре¬ мени контроля до выполнения основных операций, одновре¬ — менно с после них; троль с в ними, промежутках между основными виду оборудования контроля по помощью системные, — операциями, встроенный, кон¬ дополнительных технических паратный; по уровню автоматизации ванный, автоматический. Различают — средств, безап- «ручной», автоматизиро¬ программные аппаратные методы и контроля достоверности. Системные методы включают: • • обработки; поддержание характеристик оборудования в заданных пре¬ оптимизацию структуры делах; • повышение культуры обработки; • обучение стимулирование обслуживающего персонала; • создание оптимального числа копий и и (или) предыстории программ исходных текущих данных; оптимальной величины пакетов данных и ско¬ определение и • рости первичной обработки; • процедур доступа к массивам данных и др. Программные методы повышения достоверности информации состоят в том, что при составлении процедур обработки данных в них предусматривают дополнительные операции, имеющие мате¬ обработки дан¬ ных. Сравнение результатов этих дополнительных операций с ре¬ зультатами обработки данных позволяет установить с определен¬ матическую или логическую связь с алгоритмом ной вероятностью наличие или отсутствие ошибок. На основании этого сравнения, как правило, появляется возможность испра¬ вить обнаруженную ошибку. Аппаратные методы контроля и обнаружения ошибок могут выполнять практически те же функции, что и программные. Ап¬ паратными методами обнаруживают ошибки быстрее и ближе к месту их возникновения, а также ошибки, недоступные для про¬ граммных методов. Все перечисленные методы контроля зируются этом на использовании обработки данных ба¬ определенной избыточности. При различают методы контроля информационной избыточностью. со структурной, временной и Раздел II. Методы обеспечения безопасности информации... 106 Структурная избыточность требует введения в состав ин¬ формационной системы дополнительных элементов (резервиро¬ информационных массивов и программных модулей, реа¬ лизация одних и тех же функций различными программами, схемный контроль в технических средствах системы и т. д.). Временная избыточность связана с возможностью неодно¬ вание кратного повторения определенного контролируемого этапа об¬ работки данных. Обычно этап обработки повторяют неоднократ¬ но и результаты обработки сравнивают между собой. В случае обнаружения ошибки производят исправления и повторную об¬ работку. Информационная избыточность может быть естественной и искусственной. Естественная информационная избыточность отражает объективно существующие связи между элементами обработ¬ ки, наличие которых позволяет судить о достоверности инфор¬ мации. Искусственная информационная избыточность характеризу¬ ется введением дополнительных информационных разрядов в цифровом представлении обрабатываемых данных и дополни¬ тельных операций в процедуре их обработки, имеющих матема¬ тическую или логическую связь с алгоритмом обработки дан¬ ных. На основании анализа результатов дополнительных опера¬ ций и процедур обработки а данных, информационных разрядов выявляется ошибок определенного типа, а также также дополнительных наличие или возможности отсутствие их исправ¬ ления. В работах по повышению достоверности информации рас¬ сматриваются совместно помехоустойчивость и надежность сис¬ тем передачи и обработки информации с позиций качества та¬ ких систем. В зависимости горитмов системы, от характера а также от информации, особенностей ал¬ задач, стоящих перед ее адресата¬ определить следующие зависимости содержания формации от ошибок при ее передаче: ми, можно • смысловой объем • искажение одного или нескольких ин¬ сообщении уменьшается пропорционально числу искаженных разрядов в кодовой комбинации данного сообщения; ти к информации в разрядов приводит поч¬ полной потере остальной части информации, содержа¬ щейся в смысловом отрезке информации в сообщении. Глава 9. Методы и средства защиты информации 107 ... Проанализируем способность средств функционального кон¬ троля и повышения достоверности информации к защите от слу¬ чайных разрушений, модификации и утечки информации. Известно, что отказы, сбои в аппаратуре и ошибки в про¬ граммном обеспечении могут привести к нарушению функцио¬ нирования компьютерной системы, к разрушению и изменению информации на ложную. Анализ принятого в современных авто¬ матизированных системах представления информации в цифро¬ вом виде показывает, что на один байт приходится одна буква, цифра или символ. Одно слово может занимать в русском языке от I до 20 букв. Каждой букве, цифре и символу присвоены дво¬ Таблица кодов составлена так, что пропадание или появление одной I в разрядах приводит к изменению одной бук¬ ичные коды. (символа, цифры) При этом можно утверждать, что в этом случае имеет место однократная ошибка, которая от¬ носительно легко обнаруживается простыми средствами аппа¬ ратного контроля (например, контролем по модулю 2). В случае же появления двукратной ошибки в байте могут измениться два разряда. Контроль по модулю 2 этого не обнаруживает, что уже вы может привести гую. В русском к на другую. незаметному изменению одной буквы языке существуют слова, которые на меняют дру¬ свой одной буквы другой. Это и есть мо¬ другой при дификация информации. При трехкратной ошибке вероятность смысл на этого замене события, естественно, увеличивается. Правда, вероятность появления кратной, трехкратной ошибки меньше по сравнению с двух¬ но это слабый аргумент, так как ее величина при боль¬ аппаратных средств, интенсивности и накопле¬ нии их отказов может быть весьма ощутимой на большом отрез¬ шом количестве ке времени работы компьютерной системы. Если рассматривать искажение информации (без ее модифи¬ кации) как разрушение информации, условием его возникнове¬ ния может считаться однократная ошибка, несмотря на то, что пропадание одной буквы не всегда ведет к потере информации. Для возникновения случайной утечки информации при ее обработке в компьютерной системе необходимо, чтобы в резуль¬ тате случайных воздействий был перепутан адрес получателя или в правильный адрес была выдана другая информация, для него не предназначенная. В первом случае, например, заменилась букв другой (модификация), во втором адресация яче¬ ек памяти ОЗУ, из которого считывалась информация до сс пе¬ редачи получателю (тоже модификация). одна из — Раздел П. Методы обеспечения безопасности информации... 108 Таким образом, можно полагать, что в нашем случае утечка случай ее модификации. Следова¬ тельно, средства функционального контроля в принципе защи¬ щают информацию от случайных разрушений, модификации и утечки. Рассматривая вероятность появления этих событий при отсутствии функционального контроля, заметим, что для раз¬ рушения информации (какой-то ее части) достаточно одно¬ кратной ошибки, для модификации и утечки необходимы до¬ полнительные условия. Для наступления события, выражающе¬ гося в случайной распечатке или отображении информации на средствах, не предназначенных для этой цели, необходимо, чтобы из потока ошибок появилась такая, при которой ка¬ информации кая-либо — это команда бражение», и по частный изменилась на команду «печать» санкционированной команде или «ото¬ информация была бы взята не по тому адресу из памяти или была направле¬ на не на то техническое средство системы. Возможны и другие моди¬ Для наступления события, выражающегося фикации информации, необходимо, чтобы из потока ошибок появилась такая ошибка или группа ошибок, благодаря кото¬ рым действительная информация изменилась бы на ложную, была бы не обнаружена и подверглась бы дальнейшей обра¬ в ситуации. ботке. Вероятность указанных событий зависит от многих факто¬ ров, но, анализируя приведенные относительные условия их на¬ ступления, можно дать им некоторую сравнительную оценку. Вероятность разрушения информации от случайных воздействий больше, чем ее модификации, а вероятность модификации ин¬ формации больше вероятности ее утечки. Эта оценка необходи¬ ма для выработки подхода к функциональному контролю с по¬ зиций защиты информации, который выражается в предъявле¬ нии к средствам требований, функционального контроля дополнительных потребовать дополни¬ тельных средств. Дополнительные требования заключаются в реализации уменьшения вероятности модификации и утечки ин¬ формации существующими средствами повышения надежности и достоверности информации. Для выполнения этой задачи в настоящее выполнение время которых применяются ские решения: • изоляция • специальная организация может специальные системотехниче¬ областей доступа к информации; работы с информацией и данны¬ ми, хранящимися в памяти компьютерной системы. Глава 9. Методы и средства защиты информации Изоляция областей доступа системы к 109 ... информации компьютерной осуществляется также в целях поддержки разграничения санкционированного доступа. В целях исключения пользователями обмена между проектировании сводить к несанкционированного рекомендуется при минимуму число общих для них параметров и характеристик ме¬ ханизма Несмотря на то, защиты. что функции операционной разрешения доступа перекрываются, система разрешения доступа должна конструироваться как изолирован¬ ный программный модуль, т. е. защита должна быть отделена от системы и системы функций управления данными. Выполнение этого принципа по¬ зволяет программировать систему разрешения доступа номный и пакет программ с как авто¬ последующей независимой отладкой проверкой. Данный пакет программ должен размещаться в за¬ щищенном поле памяти, чтобы обеспечить системную локализа¬ проникновения извне. Всякая попытка проникно¬ стороны, в том числе операционной системы, должна цию попыток вения со автоматически фиксироваться, документироваться и отвергаться, если вызов не предусмотрен. Естественно, что реализация обособленного механизма за¬ щиты потребует увеличения объемов программ. При этом может возникнуть дублирование управляющих и вспомогательных про¬ грамм, а также необходимость в разработке самостоятельных вы¬ зываемых функций. Информация, содержащаяся в компьютерной системе, мо¬ жет быть поделена между пользователями, что требует размеще¬ ния ее в непересекающихся областях, отведенных для ее хране¬ ния. В каждой из этих областей хранится совокупность инфор¬ мационных объектов, подлежащих в равной степени защите. В процессе эксплуатации системы необходимо обеспечить на¬ дежное разграничение доступа к информации. Для этой цели помимо организации доступа с помощью системы паролей в проектировании закладываются дополнительные меры по изоляции областей доступа, нарушение которых по причине отказов и программных ошибок не приводило бы к не¬ систему при информации. К обращений процессора к санкционированному доступу относится организация к таким мерам памяти через регистр дескриптора, содержимое которого определяет границы доступной в данный момент области памяти путем задания ад¬ ресов сс начала и конца. является описанием Таким образом, содержимое регистра (дескриптором) программы, так как она за- Раздел П. Методы обеспечения безопасности информации... 110 дает расположение объекта в Благодаря тому, что все памяти. обращения к памяти проходят через блок проверки дескрипто¬ ров, создается некоторый барьер. В случае наличия в системе общего поля памяти, которое не¬ обходимо для решения поставленных задач, схемы защиты до¬ пускают обмен информацией между пользователями. Тогда при¬ меняются списковые и мандатные схемы защиты. мы — те, в лиц, имеющих права доступа Мандатные только система которых один охраны снабжается достаточно вид — в те, мандата, списком всех информации (для получения предъявить свой идентификатор). право доступа схемы Списковые схе¬ к которых а система пользователь мандатов для доступа к каждому из охраны должен реализует иметь набор необходимых ему объектов. В списковой схеме при каждом обращении просмотр списка повторяется, т. е. доступ сопряжен с процедурой ассоциативного поиска. В мандатных объект ему нужен, и схемах пользователь сам решает, какой выбирает необходимый мандат или некото¬ рое их количество из тех, к которым он допущен. Раздельный подход к защите информации от преднамерен¬ случайного несанкционированного доступа, рассматри¬ ваемый в данном учебном пособии, предполагает отнести мно¬ ного гие и уже известные отдельные специальные технические решения средствам защиты от случайных воздействий. К ним отнести специальные средства защиты операционной по защите к можно системы и Анализ памяти, приведенные выше. изложенного позволяет отметить следующие особен¬ требований к средствам функционального контроля и по¬ вышению достоверности с позиций защиты информации от не¬ ности санкционированного доступа: • определенная целенаправленность циональному контролю раженная в увязке и мероприятий повышению технического по функ¬ достоверности, представления вы¬ информа¬ ции с ее смыслом и содержанием; • определение зависимости безопасности кратности ошибок при ее обработке. информации от Наибольшую опасность составляют многократные ошибки, приводящие к модификации самой информации и команд, осу¬ ществляющих ее обработку. При этом уровень безопасности ин¬ формации находится в прямой зависимости от количества одно¬ временно возникающих ошибок. Способность средств функцио¬ нального контроля к их обнаружению и определяет уровень Глава 9. Методы и средства защиты информации 111 ... информации. Поскольку вероятность появления четырехкратной ошибки относительно мала, то вероятность об¬ безопасности будет мерой безопас¬ ности информации от отказов аппаратуры. Сложнее эта пробле¬ ма с программными ошибками, заложенными еще на этапе про¬ наружения двух- и трехкратных ошибок и ектирования программного обеспечения. Работы выявления подобных ошибок и повышения в направлении надежности про¬ граммного обеспечения ведутся на протяжении всего жизненно¬ го цикла программного обеспечения. Анализ приведенных средств повышения функционального контроля и информации, а также специальных достоверности решений показывает, что с увеличением количества байтов в слове вероятность его модификации от случайных воз¬ технических действий уменьшается, ние В по этом отношению к так увеличивается кодовое расстоя¬ другим словам, смысле наименее цифры. Приведенный как командам, сообщениям. устойчивы короткие слова и особенно метод защиты от переадресации памяти одному адресу присваивает дополнительную специальную цедуру и код, что, естественно, уменьшает вероятность про¬ случай¬ формирования такой процедуры и обращений по этому ад¬ ного ресу других процедур безопасности и команд. информации, Поэтому а следовательно, в повышения целях и надежности ком¬ быть, следует пересмотреть методы кодирования символов, команд и адресов (включая адреса уст¬ ройств и процессов) на предмет увеличения кодового расстояния пьютерной системы, между ними уменьшения вероятности превращения одной ко¬ адреса в другие, предусмотренные в данной системе других целей. Это позволит не разрабатывать некоторые манды для и может или сложные специальные ны и программы, которые не устраняют причи¬ условия появления вают их, да и то не случайных событий, а лишь обнаружи¬ всегда событие уже произошло и нию не выполнена. и в неподходящее время, основная задача по его т. е. когда предупрежде¬ Проблема защиты информации в информационных системах от случайных воздействий достойна отдельного и более глубоко¬ го изложения. ции она Пока же на уровне комплекса средств автоматиза¬ решается косвенным путем за счет повышения надеж¬ работы аппаратных средств применения тестирующих программ. Средствами, решающими непосредственно эту задачу, ности и являются лишь при ее передаче средства повышения достоверности по каналам связи информации между удаленными объектами. Раздел П. Методы обеспечения безопасности информации... 112 Глава 10 МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ АВАРИЙНЫХ СИТУАЦИЯХ Безопасность информации при аварийных ситуациях заклю¬ чается в создании зационных мер на комплексе и средств предупреждения, контроля по органи¬ исключению несанкционированного доступа автоматизации в условиях отказов его средств функционирования, отказов системы защиты информации, сис¬ тем жизнеобеспечения людей на объекте размещения никновении и при воз¬ стихийных бедствий. собы¬ Практика показывает, что хотя аварийная ситуация тие редкое (вероятность ее появления зависит от многих при¬ — чин, в том числе не зависящих от человека, и эти причины мо¬ гут быть взаимосвязаны), защита от нее необходима, так как по¬ следствия оказаться ты на в результате весьма ее тяжелыми, воздействия, а потери — как правило, могут безвозвратными. Затра¬ безопасность информации при аварийных ситуациях могут быть относительно малы, а эффект в случае аварии Отказ — большим. функционирования комплекса средств автоматизации может повлечь за собой отказ системы обеспечения безопасности информации, может открыться доступ к ее носителям: магнит¬ ным лентам, дискам и т. д., что может привести к преднамерен¬ ному разрушению, хищению или подмене носителя. Несанкцио¬ нированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы. Отказ системы жизнеобеспечения из строя хийные может привести к выводу обслуживающею контролирующею персонала. Стибедствия пожар, наводнение, землетрясение, удары и — молнии и т. д. могут также привести указанным выше по¬ следствиям. Аварийная ситуация может быть создана преднаме¬ — ренно нарушителем. к В последнем случае применяются организа¬ ционные мероприятия. На случай отказа функционирования комплекса средств ав¬ томатизации подсистема контроля вскрытия аппаратуры снабжа¬ Для исключения безвоз¬ вратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для за- ется автономным источником питания. Глава 11. Организационные мероприятия по обеспечению безопасности... 113 щиты от утечки информация должна храниться в закрытом крип¬ тографическим способом виде. В целях своевременного приня¬ тия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на цен¬ трализованные системы контроля и сигнализации. Наиболее частой и типичной естественной угрозой является пожар. Он возникнуть по вине обслуживающего персона¬ ла, при отказе аппаратуры, а также в результате стихийного бед¬ может ствия. Более подробно и бедствий рассмотрены глубоко в вопросы защиты специальной литературе, от стихийных в том числе и учебной. Глава 11 ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Организационные мероприятия по защите информации в информационных системах заключаются в разработке и реализа¬ ции административных и организационно-технических мер при подготовке и эксплуатации системы. Организационные меры, по мнению специалистов, несмотря совершенствование технических мер, составляют значительную часть (—50 %) системы обеспечения безопасности информации. Они используются тогда, когда компьютерная сис¬ на постоянное тема не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения нические меры эффективности защиты полезно иногда гех- продублировать организационными. обеспечению информационной безопасности систем в процессе их функционирования и подготовки охватыва¬ Оргмеры ют по решения и процедуры, принимаемые руководством организа¬ ции-потребителя системы. Хотя некоторые из них могут опреде¬ ляться внешними факторами, например законами или правитель¬ ственными постановлениями, большинство проблем решается внутри организации в конкретных условиях. Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и пере- Раздел П. Методы обеспечения безопасности информации... 114 чень организационных мер защиты. функций по реализации защиты от организа¬ ответственности и ции к вание организации и точное Конкретное распределение может изменяться, распределение но тщательное ответственности планиро¬ являются необ¬ ходимыми условиями создания эффективной и жизнеспособной системы защиты. Организационные меры по обеспечению безопасности ин¬ формации в информационных системах должны охватывать этапы: • проектирования; • разработки; • изготовления; • испытаний; • подготовки к эксплуатации; • непосредственно эксплуатации системы. В соответствии с требованиями технического задания в орга¬ низации-проектировщике разрабатываются по и наряду техническими внедряются организационные обеспечению безопасности системы. с информации на средствами мероприятия этапе создания Под этапом создания понимаются проектирование, раз¬ работка, изготовление и испытание системы. При этом следует отличать мероприятия по обеспечению безопасности информа¬ ции, проводимые организацией-проектировщиком, разработчи¬ процессе создания системы и рассчитан¬ ные на защиту от утечки информации в данной организации, и ком и изготовителем в мероприятия, закладываемые в проект и разрабатываемую доку¬ ментацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организацион¬ мероприятия, рекомендуемые в эксплуатационной докумен¬ тации организацией-разработчиком, на период ввода и эксплуа¬ тации системы. Выполнение этих рекомендаций есть определен¬ ные ная гарантия защиты информации в информационной системе. К оргмероприятиям по обеспечению безопасности информа¬ ции в процессе создания системы относятся: • введение на жимом • необходимых участках проведения работ с ре¬ секретности; разработка должностных инструкций по обеспечению ре¬ жима секретности в соответствии с действующими в стране инструкциями и положениями; • при необходимости выделение отдельных помещений ранной сигнализацией и пропускной системой; с ох¬ Глава 11. Организационные мероприятия по обеспечению безопасности... • разграничение задач по исполнителям и 115 выпуску докумен¬ тации; • грифа секретности материалам, документации, аппаратуре хранение их под охраной в отдельных поме¬ щениях с учетом и контролем доступа исполнителей; присвоение и • постоянный контроль жима и • за соблюдением исполнителями ре¬ соответствующих инструкций; установление и распределение ответственных лиц за утечку информации; • другие меры, устанавливаемые главным конструктором при создании конкретной системы. мероприятия, закладываемые в инструк¬ эксплуатации на систему и рекомендуемые организа¬ Организационные цию по ции-потребителю, должны быть предусмотрены на периоды под¬ готовки и эксплуатации системы. Указанные мероприятия информации сти дополняющих и как метод обеспечения безопасно¬ предполагают систему организационных мер, объединяющих перечисленные выше техниче¬ единую систему безопасности информации. По¬ скольку организационные меры являются неотъемлемой частью ские меры системы онных в обеспечения безопасности системах с комплексами информации автоматизации информаци¬ обработки ин¬ в формации, дальнейшее их описание приведено ниже в соответ¬ ствующих разделах. Контрольные вопросы 1. Приведите основные методы обеспечения безопасности информации? 2. Опишите основные методы шифрования информации? 3. 4. 5. Проведите классификацию криптографических методов преобразования ин¬ формации? Каким образом осуществляется выбор метода преобразования? Опишите принципы лежащие в основе методов контроля достоверности? Раскройте сущность принципа изоляции областей доступа к информации? б. Опишите списковые и мандатные схемы защиты? 7. Приведите основные методы обеспечения безопасности информации при аварийных ситуациях? 8. Постройте структуру системы организационных нию безопасности информации? мероприятий по обеспече¬ Раздел III ПРОЕКТИРОВАНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ ИНФОРМАЦИИ И ДАННЫХ Глава 1 КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ПРОЕКТИРОВАНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ Анализ развития концепций систем обеспечения безопасности информации в информационных системах проблемы обеспечения безопасности информации в информационных системах в настоящее время приняло регуляр¬ ный характер и осуществляется на промышленной основе с вло¬ Решение средств. Тем не менее с течением времени безопасности информации не снижается. жением значительных острота проблемы В последние года усилия в области во всех защиты странах предпринимаются большие информации. В некоторых странах федерации по борьбе с хищениями математиче¬ ского обеспечения и информации в информационно-информа¬ даже созданы ционных иных системах и сетях. Большое число промышленных и фирм специализируется на производстве средств защиты, консультационной помощи, проектировании и внедре¬ нии механизмов защиты, проведении ревизий и оценке эффек¬ оказании тивности защиты. Глава 1. Концептуальные основы проектирования системы... В развитии процессов и 117 обеспечения безопасности систем информации можно выделить несколько этапов. Центральной идеей первого этапа создания системы безопас¬ ности являлось намерение обеспечивать надежную защиту ин¬ формации механизмами, содержащими в основном технические и программные средства. Техническими были названы такие средства, которые реализу¬ ются в виде электрических, электромеханических и электронных Всю совокупность технических средств было принято устройств. физические. Под аппаратными техниче¬ скими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру информационных систем, или уст¬ ройства, которые сопрягаются с аппаратурой данных систем по стандартному интерфейсу. Физическими средствами названы та¬ кие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т. п.). делить на аппаратные и Технические средства но отнести к аппаратные, — понятие физические и программные средства, а и аппаратные. физическим Программные средства защиты но более широкое, к ним мож¬ — предназначенные для — выполнения это программы, специаль¬ функций, связанных с за¬ щитой информации. Указанные средства и составляли основу механизмов систе¬ мы безопасности на первом этапе (60-е годы прошлого века). При этом господствовало убеждение, что основными средствами сис¬ темы безопасности информации являются программные, причем считалось, что программы системы безопасности информации будут работать эффективнее, если будут включены в состав об¬ щесистемных компонентов программного обеспечения. Поэтому первоначально программные механизмы системы безопасности включались в состав операционных систем или систем управле¬ ния базами данных. Практика показала, что надежность меха¬ низмов защиты такого типа является явно недостаточной. Следующей попыткой расширения рамок фективности обеспечения программной и повышения системы эф¬ безопасности дифференцированного разграничения доступа информации и данным, находящимся в информа¬ ционной системе. Для этого идентифицировались все пользовате¬ стала организация пользователей к ли и все элементы защищаемой информации и данных, устанав¬ ливалось каким-либо образом соответствие между идентификато- Раздел III. Проектирование системы обеспечения безопасности... 118 рами пользователей и идентификаторами элементов информации и данных и строилась алгоритмическая процедура проверки ло¬ запроса пользователя. Испытания и углублен¬ яльности каждого ные исследования скольких лет, подобных систем, проведенные в течение не¬ установили несколько путей обхода ее механизмов разграничения доступа. Уникальной по своему содержанию была система безопасно¬ ресурса (СБР) в операционной системе, разработанной в фирме 1ВМ. Перед разработчиками была поставлена задача реа¬ сти лизовать три основные функции защиты: • изоляцию; • контроль доступа; • контроль уровня защиты. Кроме того, предполагалось, что программная защита будет дополняться комплексом организационных дством специального должностного лица сти. — мер под руково¬ офицера безопасно¬ Всесторонние испытания системы безопасности ресурса по¬ казали в ней ряд серьезных недостатков. В итоге специалисты пришли к выводу, что концепция сис¬ темы обеспечения безопасности информации, основывающаяся на концентрации не операционной требованиям надежной защиты информа¬ автоматизированных системах обработки ин¬ механизмов защиты в рамках отвечает системы, ции, особенно в формации и данных и информационных системах с повышен¬ ной секретностью. Для преодоления указанных недостатков разрабатывались следующие решения: 1) создание в механизмах защиты специального организую¬ щего элемента ядра безопасности; 2) децентрализация механизмов защиты, вплоть до создания — элементов, управлением пользователей инфор¬ находящихся под мационной системы и систем автоматизации; 3) расширение арсенала используемых средств обеспечения безопасности информации. Развитие концепции, основанной ниях, и составило содержание второго на перечисляемых реше¬ этапа (70-е годы прошлого века). На втором этапе интенсивно развивались средства защи¬ ты, особенно технические и Однако, несмотря информации криптографические. все принятые меры, надежная защита опять оказалась недостижимой, о чем красноречи¬ на во говорили реальные факты злоумышленного доступа к инфор- Глава 1. Концептуальные основы проектирования системы... мации. К тому же именно в это время была доказана теория иногда называют 119 (ее теоремой Харрисона) о невозможности решить для общего случая задачу о безопасности произвольной системы защиты при общем задании на доступ. На этом являться основании в высказывания зарубежной печати все чаще стали по¬ о том, что вообще нет предпосылок для надежного обеспечения безопасности информации. Таким образом, второй период, начавшись с оптимистиче¬ реализацию надежного механизма обеспечения ских надежд на безопасности информации, закончился унылым пессимизмом о невозможности вообще обеспечить надежную защиту. Поиски выхода из такого тупикового состояния ют основное содержание третьего этапа При обеспечения концепций развития этом (с 80-х гг. прошлого века) безопасности Понятие формации. всего в смысле не неуклонное проблеме защиты ин¬ системности интерпретировалось прежде создания просто соответствующих механизмов защиты, но и в смысле регулярности процесса, осуществляемого на всех этапах жизненного цикла комплексном информации. поисков стало генеральным направлением подхода к самой повышение системности и составля¬ информационной системы при использовании всех имеющихся средств обеспече¬ безопасности информации. ния При этом все средства, методы и мероприятия, используе¬ мые для системы обеспечения безопасности информации, не¬ наиболее рациональным образом объединяются в единый целостный механизм систему защиты. В этой системе должны быть по крайней мере четыре защит¬ пременно и — ных пояса: • внешний пояс (периметр), охватывающий всю территорию, на которой системы и расположены сооружения информационной автоматизированной системы обработки; сооружений, помещений или устройств информаци¬ онной системы; пояс компонентов системы (технических средств, про¬ элементов баз данных); граммного обеспечения, пояс технологических процессов обработки информации и данных (ввод-вывод, внутренняя обработка и т. п.) Как пример практической реализации системного подхода к обеспечению безопасности информации является проект систе¬ мы защиты, разрабатывавшейся фирмой НопсухмсП 1пс. по кон¬ тракту с министерством обороны США. • • • пояс Раздел III. Проектирование системы обеспечения безопасности... 120 В качестве исходных были приняты три следующих поло¬ жения: 1) система защиты информации разрабатывается и внедряет¬ ся одновременно с разработкой самой информационной систе¬ мы и ее автоматизированной системой обработки; 2) реализация функции защиты преимущественно аппа¬ — ратная; быть 3) должно строго доказано обеспечение задаваемого уровня защиты. системных Специалисты исследований центра фирмы Нопеу^еП 1пс. заявили, что ими разработан специальный мате¬ матический позволяющий определять степень защи¬ информации и имеющий не меньшее значение, чем щенности создание аппарат, компьютера с тический аппарат высоким разработан на уровнем защиты. Этот матема¬ основе дальнейшего развития результатов, полученных в процессе разработки средств защиты информации для систем МиШс§ и 8сотр, а также при создании фирмой 8К1 1Щегпайопа1 операционной системы с доказуемой защищенностью данных. Большое внимание при проблемам ной защиты системы и ее разработке систем защиты уделяется программного системы обеспечения автоматизации, что информацион¬ обусловлено ря¬ дом обстоятельств. программное обеспечение играет роль в качественной обработке информации. решающую больше становятся Во-первых, Во-вторых, программы все больше предметом коммерческой тайны. и В-третьих, программные средства являются одним из наибо¬ лее уязвимых компонентов информационных систем. Особую тревогу вызывает все, что связано с компьютерными вирусами. Анализ видов автоматизированных систем обработки информации и выбор общего подхода к построению системы ее безопасности Проблема безопасности информации охватывает широкий спектр информационных и автоматизированных систем сс обра¬ ботки от персонального компьютера и больших информаци— Глава 1. Концептуальные основы проектирования системы... онных комплексов до 121 глобальных информационных сетей и ав¬ томатизированных систем управления различного назначения. Наряду с известными и необходимыми для выполнения сво¬ их задач по прямому назначению характеристиками, такими, как функционирования, устойчивость к внешним воз¬ действиям и скорость обработки информации и данных, каждая надежность из этих систем должна обеспечивать гарантированную безопас¬ обрабатываемой информации. Данная характеристика, или ность свойство системы, ным по характеристикам бы своему значению и даже часто не уступает приведен¬ превосходит их. Это видно при отказе функционирования системы ценная информация в ней должна быть сохранена, т. е. не долж¬ хотя из того, что изменений, не быть разрушенной похищенной и не быть доступной посторонним лицам. на претерпеть никаких или выработки общего подхода к решению этой задачи для всех видов информационных систем и систем автоматизации обработки информации и данных рассмотрим их классификацию В целях по принципам построения, приведенную на рис. 1, гл. 2, разд. I. Анализ этой классификации (основанной на видах обраще¬ информации и данным) позволяет разделить информаци¬ онные системы и системы автоматизации обработки информа¬ ния к ции и данных на два вида: централизованной; с децентрализованной обработкой данных. К информационным системам с централизованной обработ¬ кой информации и данных относятся: • с • • компьютеры; информационные и вычислительные комплексы и системы. К информационным системам с децентрализованной обра¬ боткой информации и данных относятся: • телеобработки данных; • системы • распределенные системы обработки информации и дан¬ ных; • информационные и вычислительные сети (сети информации и данных); • автоматизированные системы управления. передачи При рассмотрении структуры и принципов построения ин¬ формационных систем и автоматизированных систем обработки информации и данных следует обратить внимание на следую¬ щую закономерность, вытекающую из последовательного их раз¬ вития в сторону усложнения состава технических средств и ум- Раздел III. Проектирование системы обеспечения безопасности... 122 ножения выполняемых задач: каждый ных систем может включать все последующий вид подоб¬ предыдущие. Информационные и вычислительные системы могут содер¬ жать в своем составе информационные и вычислительные ком¬ плексы и компьютеры. Автоматизированные системы управления информацион¬ ные и вычислительные системы, соединенные через информаци¬ — онную и распределенную вычислительную сеть каналами связи. Информационная и распределенная вычислительная сеть со¬ стоят также из информационных и информационных систем, соединенных между собой каналами связи. Только ции часть этих систем сообщений, а остальные Таким образом, му как выполняет задачи узлов — информационную или информационную систе¬ позиций безопасности информации с коммута¬ задачи абонентских комплексов. некий базовый элемент можно информационной рассматривать или информаци¬ онной сети и автоматизированной системы управления. функциональная схема такой системы пред¬ ставлена на рис. 1, а. Общий подход к разработке концепции безопасности ин¬ формации для указанных ИС заключается в анализе этого эле¬ мента, разработке концептуальных основ защиты информации на его уровне и затем на уровне информационной сети и авто¬ матизированной системы управления. Такой подход удобен переходом от простого к сложному, а Обобщенная также и тем, что позволит получить возможность распростране¬ персональный компьютер и ло¬ кальную компьютерную сеть, рассматривая первую как инфор¬ с децен¬ мационную систему с централизованной, а вторую трализованной обработкой информации и данных. Напомним еще раз, что понятие «информационная система» ния полученных результатов на — используется и в более широком смысле, а также и то, что в по¬ следнее время в качестве такого элемента могут выступать ло¬ Поэтому для представления ин¬ формационной системы с децентрализованной обработкой ин¬ формации и данных используем известное понятие «комплекс средств автоматизации обработки информации» (КСА), которое может включать либо упомянутую информационную систему, кальные компьютерные сети. либо локальную вычислительную сеть, либо их сочетание, либо Принадлежность их к одному комплек¬ су средств автоматизации обработки информации будет отличать несколько таких систем. Глава 1. Концептуальные основы проектирования системы... выполнение общей задачи, линии связи между собой 123 и общий выход в каналы связи сети передачи данных, а также расположе¬ ние на одной контролируемой владельцем комплекса средств ав¬ томатизации обработки информации территории. Изложенное позволяет в качестве объекта проектирования и эксплуатации выбрать обобщенную структуру автоматизирован¬ ной системы управления, представленную на рис. 1, б. В данном варианте изображена автоматизированная система управления, в состав которой могут входить все перечисленные виды инфор¬ мационных систем и где комплекс средств автоматизации обра¬ ботки информации и управления КСА (УК), аппаратура переда¬ (АПД) остальных комплексов средств автоматизации обработки информации с каналами связи образуют сеть переда¬ чи данных (СПД), комплекс средств автоматизации обработки информации является управляющим звеном автоматизированчи данных Носитель Носитель резервирования информации (стриммер) 1 Контроллер Контроллер носителя носителя ОЗУ резервирования информации (стриммер) Центральный процессор Аппаратура передачи информации данных а Вис. 1. Обобщенная функциональная схема информационной системы с централизованной обработкой информации и данных (а) Раздел III. Проектирование системы обеспечения безопасности... 124 Рис. 1 (продолжение). Обобщенная структура автоматизированной системы об¬ КСА — тизации комплекс работки информации и управления (б): комплекс средств автома¬ средств автоматизации; КСА (УК) — (управляющий комплекс); АПИД аппаратура передачи информации и сеть передачи информации и данных данных; СПИД — — ной системы управления, остальные комплексы средств автома¬ обработки информации управляемые звенья автома¬ тизированной системы управления. тизации — Глава 1. Концептуальные основы проектирования системы... 125 Основы теории обеспечения безопасности информации от несанкционированного доступа Для постановки задачи рассмотрим некоторые первоначаль¬ ные условия. Такие условия для нас будут создавать модель ожи¬ даемого поведения потенциального нарушителя. Модель считается попытка ти и потенциального нарушителя. Нарушением несанкционированного доступа к любой час¬ поведения подлежащей информации, хранимой, обрабатываемой информационной системе. защите передаваемой Поскольку время и место проявления преднамеренного не¬ в санкционированного доступа предсказать невозможно, целесо¬ образно воссоздать некоторую модель поведения потенциально¬ го нарушителя, предполагая наиболее опасную ситуацию: а) нарушитель может появиться в любое время и в любом месте периметра информационной системы; б) квалификация и осведомленность нарушителя может быть на уровне разработчика данной системы; в) постоянно хранимая информация о принципах работы системы, включая секретную, нарушителю известна; г) для достижения своей цели нарушитель выберет наиболее слабое звено в защите; д) нарушителем может быть не только постороннее лицо, но и законный пользователь системы; е) нарушитель действует один. Данная модель позволяет определиться с исходными данны¬ ми для построения защиты и наметить основные принципы ее построения. Согласно п. постоянно щиты «а» необходимо строить вокруг предмета защиты действующий замкнутый контур (или оболочку) за¬ (периметр). Согласно «б» свойства преграды, составляющие защиту, должны по возможности соответствовать ожидаемой квалифика¬ п. ции и осведомленности нарушителя. Согласно п. «в» для входа в систему законного пользователя необходима переменная секретная информация, известная толь¬ ко ему. Согласно п. «г» итоговая прочность защитного контура опре¬ деляется его слабейшим звеном. Раздел III. Проектирование системы обеспечения безопасности... 126 Согласно п. «д» при наличии нескольких законных пользова¬ телей полезно обеспечить разграничение их доступа к информа¬ ции в соответствии с полномочиями и выполняемыми образом функция¬ принцип наименьшей осведомлен¬ ми, реализуя таким ности каждого случае, если сокращения ущерба в имеет место безответственность одного из них. От¬ пользователя с целью сюда также следует, что расчет прочности защиты должен про¬ изводиться для двух возможных исходных позиций пределами контролируемой территории • за • внутри нее. нарушителя: (периметра); Согласно п. «е» в качестве исходной предпосылки также счи¬ таем, что нарушитель один, так как защита от группы нарушите¬ лей — задача следующего этапа исследований. ключает возможности защиты ствами и от такого значительно сложнее. мается рода При Однако это не ис¬ предлагаемыми методами и сред¬ подобная задача ситуаций, группой нарушителей пони¬ хотя этом под группа людей, выполняющих одну задачу под общим ру¬ ководством. Однако для различных по назначению и принципам по¬ информационных систем, виду и ценности обрабаты¬ ваемой в них информации наиболее «опасная» модель поведе¬ строения ния потенциального Для военных систем для коммерческих нарушителя также — это систем может быть различной. уровень разведчика-профессионала, — уровень квалифицированного Для медицинских систем, например, скорее всего не потребуется защита от побочного электромагнитного пользователя и т. д. излучения и наводок, но защита от безответственности пользо¬ вателей просто необходима. Очевидно, что для защиты инфор¬ мации от более квалифицированного и осведомленного нару¬ потребуется рассмотреть большее количество возмож¬ шителя ных каналов большее несанкционированного количество средств защиты с доступа более и применить высокими показа¬ телями прочности. На основании изложенного для выбора исходной модели по¬ целесообразен дифферен¬ цированный Поскольку квалификация нарушителя понятие весьма относительное и приближенное, возможно при¬ ведения потенциального нарушителя подход. нять за — основу четыре класса безопасности: 1-й класс рекомендуется для защиты жизненно важной ин¬ формации, утечка, разрушение или модификация которой мо¬ гут привести к большим потерям для пользователя. Прочность Глава 1. Концептуальные основы проектирования системы... защиты онала; 2-й должна класс быть рассчитана при работе нарушителя-професси¬ использовать рекомендуется информации на нескольких 127 для защиты пользователей, важной имеющих формирующих свои фай¬ лы, недоступные другим пользователям. Прочность защиты должна быть рассчитана на нарушителя высокой квалификации, доступ к разным массивам данных или но не на 3-й взломщика-профессионала; рекомендуется для защиты класс относительно ценной информации, постоянный несанкционированный доступ к кото¬ рой путем ее накопления может привести к утечке и более цен¬ ной информации. Прочность защиты при этом должна быть рас¬ считана на относительно квалифицированного нарушителя-не¬ профессионала; 4-й класс рекомендуется для защиты прочей информации, не представляющей интереса для серьезных нарушителей. Однако его необходимость диктуется соблюдением технологической дис¬ обработки информации служебного пользова¬ ния в целях защиты от случайных нарушений в результате безот¬ ветственности пользователей и некоторой подстраховки от слу¬ циплины учета и чаев преднамеренного несанкционированного доступа. Реализация перечисленных уровней безопасности обеспечиваться должна набором соответствующих средств защиты, пере¬ крывающих определенное количество возможных каналов не¬ санкционированного доступа в соответствии с ожидаемым клас¬ сом потенциальных нарушителей. Уровень безопасности защиты класса обеспечивается количественной оценкой прочно¬ сти отдельных средств защиты и оценкой прочности контура за¬ внутри от щиты преднамеренного несанкционированного доступа по расчетным формулам, вывод которых приведен ниже. Модель элементарной защиты. В общем случае простейшая модель элементарной защиты виде, представленном на рис. любого предмета может быть в 2. Предмет защиты помещен в замкнутую и однородную защит¬ оболочку, называемую преградой. Прочность защиты зависит от свойств преграды. Принципиальную роль играет способность ную преграды противостоять попыткам преодоления ее нарушителем. Свойство предмета защиты способность привлекать его вла¬ — дельца и потенциального мета защиты щиты заключается нарушителя. Привлекательность пред¬ в его цене. Это свойство предмета за¬ широко используется при оценке защищенности информа- Раздел III. Проектирование системы обеспечения безопасности... 128 Рис. 2. Модель элементарной защиты: 7 информационных в ции предмет защиты; 2 — — преграда; 3 системах. — прочность преграды При этом что считается, прочность созданной преграды достаточна, если стоимость ожи¬ даемых затрат на ее преодоление потенциальным нарушителем превышает стоимость защищаемой информации. Однако возмо¬ другой подход. Известно, что информация со временем теряет свою привле¬ жен и кательность может цена и устаревать, упасть до нуля. Тогда щиты можно ние начинает за а в случаях ее условие достаточности за¬ отдельных принять превышение затрат времени преграды нарушителем над временем жизни на преодоле¬ информации. Если обозначить вероятность непреодоления преграды наруши¬ телем через Рсзи, время жизни информации через /ж, ожидаемое время преодоления преграды нарушителем через /н, вероятность обхода преграды нарушителем через Робх, то для случая старения информации условие достаточности защиты получим в виде сле¬ дующих отношений: Лзи = 1, если /ж < Гн и Робх = 0. Вероятность Робх, равная нулю, отражает необходимость замы¬ кания преграды вокруг предмета защиты. Если /ж > /н, а Робх = 0, то (1) Лзи=(1-^нрХ где Рнр — вероятность преодоления время, меньшее /ж. преграды нарушителем за Глава 1. Концептуальные основы проектирования системы... 129 Для реального случая, когда /ж > /н и Робх > 0, прочность защи¬ ты можно представить в виде Лзи=(1-Лр)(1-Лбх), 0, если /ж < Гн; Рнр > 0, если /ж > /н. Однако эта формула справедлива для случая, когда наруши¬ телей двое, т. е. когда один преодолевает преграду, а второй ее где Рнр = обходит. Но в исходной модели поведения будет в единственном рушителя мы условились, что нарушитель числе и ему известны потенциального на¬ прочность преграды и сложность пути ее обхода. Поскольку одновременно по двум путям он идти не смо¬ наиболее простой, т. е. по фор¬ выберет один из них муле «ИЛИ». Тогда формальное выражение прочности защиты в целом для данного случая будет соответствовать формуле он жет, — (2) Лз^а-Лр^а-Лех), где И — знак «ИЛИ». Следовательно, прочность сравнения величин (1 значению В - преграды Рнр) и (1 - после определения и Робх) будет равна наименьшему одной из них. примера элементарной защиты, рассчитываемого качестве (2), может быть названа криптографическая защита информации, где величина Рнр может определяться путем оцен¬ по формуле подбора кода ключа, с помощью которого мож¬ но дешифровать закрытую данным способом информацию. Эту величину можно определить по формуле ки вероятности = где п в — количество попыток ^ (3) > подбора кода; Л выбранном алфавите кода ключа; 8 — число символов — длина кода ключа в ко¬ личестве символов. Величина Робх будет зависеть от выбранного метода шифро¬ вания, способа применения, полноты перекрытия текста инфор¬ мации, существующих методов криптоанализа, хранения действительного значения сти его данным замены на способом, новое значение, постоянно а также кода ключа если и способа периодично¬ информация, закрытая хранится у ее владельца. Возмож- Раздел III. Проектирование системы обеспечения безопасности... 130 ны и другие обстоятельства, влияющие на вероятность обхода криптографической защиты. Выбор можно и определение конкретной проводить экспертным путем Робх сначала на основе опыта специали¬ Робх должна принимать значения от 0 до 1. При стов. Величина Робх 1 защита теряет всякий смысл. = величины Возможно также, что у одной преграды может быть несколь¬ путей обхода. Тогда формула (2) примет вид: ко ^а где к — - число ^нр) и (I -Л^) и (1-^2) V... V (I сравнения О В ^), (4) путей обхода преграды, т. е. прочность преграды равна наименьшему значению, полученному и - после определения величин: “ ^нр)’ (1 - ^Обх1)’ ( 1“ -^06x2)5 "> (1 — Л>бхл)’ информация, подлежащая защите, не устаревает или периодически обновляется, т. е. когда неравенст¬ во /ж > /н постоянно или же когда обеспечить /н > /ж по каким-ли¬ том случае, когда бо причинам невозможно, обычно применяется постоянно дей¬ ствующая преграда, обладающая свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защи¬ В ты. качестве такой защиты могут быть человек применены или специальная автоматизированная система обнаружения под управлением человека. Очевидно, что параметры этой преграды будут влиять на ее прочность. Способность преграды обнаруживать и блокировать несанкционированный доступ должна учитываться при оценке ее прочности путем введения в расчетную формулу (4) вместо (I вероятности обнаружения и блокиров¬ Рнр) величины Робл — - ки несанкционированного доступа. Принцип работы автоматизированной преграды основан на том, что в ней блоком управления производится периодический контроль датчиков обнаружения нарушителя. Результаты кон¬ троля наблюдаются человеком. Периодичность опроса датчиков автоматом может достигать тысячные доли секунды и менее. В этом случае ожидаемое время преодоления преграды наруши¬ превышает период опроса датчиков. Поэтому такой контроль часто считают постоянным. Но для обнаружения телем значительно нарушителя человеком, управляющим автоматом контроля, толь¬ ко малого периода опроса датчиков недостаточно. Глава 1. Концептуальные основы проектирования системы... Необходимо еще т. сигнализации, е. и 131 выработку сигнала тревожной срабатывания автомата, так как оно на время время часто значительно превышает период опроса датчиков и тем са¬ обнаружения нарушителя. Практика по¬ обычно сигнала тревожной сигнализации доста¬ мым увеличивает время что казывает, точно для приостановки действий нарушителя, если этот сигнал физический доступ к объекту за¬ до него дошел. Но поскольку щиты пока еще открыт, дальнейшие действия охраны сводятся к определению места и организации блокировки доступа наруши¬ теля, на что также потребуется время. Таким образом, условие прочности преграды ем и обнаружени¬ блокировкой несанкционированного доступа можно пред¬ с ставить в виде соотношения + где Га — период опроса датчиков; /ср вожной сигнализации; — /бл ^ср + {ом + ^бл < 1 /ом — — время срабатывания тре¬ время определения места доступа; время блокировки доступа. Если обозначим сумму (Тд + /ср + /ом + /бл) через Тобл, получим соотношение ^ < 1, (6) н где Тобл ного — время обнаружения и блокировки несанкционирован¬ доступа. Процесс контроля несанкционированного доступа и несанк¬ ционированных действий на нарушителя во времени представлен рис. 3. Из диаграммы на рис. 3 следует, что нарушитель может быть не обнаружен в двух случаях: а) когда Гн < Т; б) когда Т< /н < Тобл. В первом случае требуется дополнительное условие попа¬ дание интервала времени /н в интервал Т, т. е. необходима син¬ — хронизация действий нарушителя с частотой опроса датчиков обнаружения. Для решения этой задачи нарушителю придется скрытно подключить измерительную аппаратуру в момент вы¬ полнения несанкционированного доступа к информации, что Раздел III. Проектирование системы обеспечения безопасности... 132 обл Рис. 3. Временная диаграмма контроля несанкционированного доступа сложной задачей для постороннего человека. Поэтому считаем, что свои действия с частотой опроса датчиков является он довольно синхронизировать не сможет и может рассчитывать лишь на некоторую вероятность успеха, выражающуюся в вероятности попадания отрезка времени /н в промежуток времени между им¬ Т. пульсами опроса датчиков, равный Согласно определению геометрической вероятности из курса теории вероятности получим выражение для определения веро¬ ятности успеха нарушителя в следующем виде: (7) Тогда вероятность обнаружения несанкционированных дей¬ будет определяться выражением ствий нарушителя ^. 1 - Лр (8) ИЛИ лл = ^- • (9) При ^> Т нарушитель будет обнаружен наверняка, т. с. Роб= 1. Во втором случае, когда Т<1Н< Тобл, вероятность успеха Глава 1. Концептуальные основы проектирования системы... нарушителя 133 будет определяться по аналогии с предыдущим со¬ отношением: Р =|--Д_. 1 (10) обл Вероятность обнаружения и блокировки несанкционирован¬ действий нарушителя: ных О'» ^,=(1-?,); Р^ = ^~* При /н > Тобл имеет смысла, случае Робл = попытка так как она (12) обл доступа не наверняка. В этом несанкционированного будет обнаружена 1. Таким образом, расчет прочности преграды со свойствами обнаружения и блокировки можно производить по формуле ^зи где у — = Лбл и (1 число - робх1) и (1 робх2) и - ... путей обхода этой преграды; О и (1 — - аз) ро6х/), знак «ИЛИ». Следует также отметить, что эта формула справедлива также и организационной меры защиты контроля заданного объекта человеком. для в виде периодического При этом полагаем, что обнаружение, определение места несанкционированного досту¬ па и его блокировка происходят в одно время в момент кон¬ Т, где Т троля объекта человеком, т. е. Гср /ом ^ 0, Тобл период контроля человеком объекта защиты. Вероятность обна¬ — = = = = — ружения и блокировки действий нарушителя будет определяться формулой 9. Для более виде полного представления автоматизированной несанкционированного ность ее системы доступа прочности обнаружения необходимо и преграды в блокировки учитывать надеж¬ функционирования и пути возможного обхода ее нару¬ шителем. Вероятность отказа системы определяется по известной фор¬ муле РтМ=е~\ (14) Раздел III. Проектирование системы обеспечения безопасности... 134 где X — интенсивность отказов ставляющих рованного систему доступа; группы технических средств, со¬ обнаружения и блокировки несанкциони¬ / рассматриваемый — интервал времени функционирования системы обнаружения и блокировки несанк¬ ционированного доступа. С учетом возможного отказа преграды будет определяться ^сзик = ^облО — Л>тк) и (1 ... где и по системы контроля прочность формуле — Л>бх|) V (1 ~ Л>бхз) ^ ••• и (1-робху), (15) Робл и Ротк определяются соответственно по формулам (12) (14); Робх и количество путей обхода у определяются эксперт¬ ным путем на основе анализа принципов построения системы блокировки несанкционированного доступа. Одним из возможных путей обхода системы обнаружения и блокировки может быть возможность скрытного отключения на¬ рушителем системы обнаружения и блокировки (например, пу¬ тем обрыва или замыкания контрольных цепей, подключения имитатора контрольного сигнала, изменения программы сбора сигналов и т. д). Вероятность такого рода событий определяется контроля и в пределах от 0 до 1 методом экспертных оценок на основе ана¬ лиза принципов построения и возможности работы системы. При отсутствии несанкционированного отключения системы вели¬ чина его вероятности равна нулю. Таким образом, подводя итоги, сделаем вывод, что защитные преграды бывают двух видов: • контролируемые человеком; • неконтролируемые человеком. Прочность неконтролируемой преграды рассчитывается ио по формуле (15). Анализ дан¬ формуле (4), а контролируемой ных формул позволяет сформулировать первое правило защиты — любого предмета: Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блоки¬ ровки его доступа при отсутствии путей скрытного обхода этой преграды. Модель многозвенной защиты. На практике в большинстве случаев защитный контур состоит из нескольких «соединенных» Глава 1. Концептуальные основы проектирования системы... 135 между собой преград с различной прочностью. Модель такой за¬ щиты из нескольких звеньев представлена на рис. 4. Рис. 4. Модель многозвенной защиты: 1 — преграда 1; 2 — преграда 2; 5 5 — — предмет защиты; 4 преграда 3 — прочность преграды; Примером такого вида защиты может служить помещение, в котором хранится аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна и за¬ мок на двери. Для информационной системы, модель которой представлена на рис. I, «соединение» преград (замыкание контура защиты) имеет тот же смысл, но иную реализацию. Например, система контроля вскрытия аппаратуры и система опознания и разграни¬ периметру информа¬ ционной системы, на первый взгляд, образуют замкнутый защит¬ ный контур, но доступ к средствам отображения и документиро¬ чения доступа, контролирующие доступ к вания побочному электромагнитному излучению и наводкам (ПЭМИН), носителям информации и другим возможным кана¬ лам несанкционированного доступа к информации не перекры¬ вают и, следовательно, таковыми не являются. Таким образом, в контур защиты в качестве его звеньев войдут еще система кон¬ троля доступа в помещения, средства защиты от ПЭМИН, шиф¬ рование и т. д. Это не означает, что система контроля доступа в помещение не может быть замкнутым защитным контуром для комплекса (например, для средств автоматизации обработки информации информационной системы). Все дело в точке отсчета, в данном случае в предмете другого предмета защиты того же Раздел III. Проектирование системы обеспечения безопасности... 136 защиты, т. е. контур защиты не будет замкнутым до тех пор, пока существует какая-либо ступа к и одному несанкционированного до¬ предмету защиты. возможность тому же Формальное описание для прочности многозвенной защиты практически совпадает с выражениями (2) и (15), так как нали¬ путей обхода одной преграды, не удовлетворяю¬ щих заданным требованиям, потребует их перекрытия соответст¬ чие нескольких вующими преградами. Тогда выражение для прочности много¬ звенной защиты при использовании неконтролируемых преград может быть представлено в виде: 1рсзи и Рсзш V (1 ... где РСЗИ, 1рсзи! = [] 1рсзи2 [] 1рсзиЗ Ли V (1 - - тт Лбх2) и ••• - и (1 - Ли, (16) прочность /-Й преграды. — Выражение для прочности многозвенной защиты с контро¬ лируемыми преградами будет в следующем виде: рсзик * - где РСЗИК„ и — тт рсзик! тт 2рсзик2 тт и 1р и сзикЗ = Лз„к„ ь (1 1 - ли ь (1 - ли и - Щ1 ЛбхЛ - (17) прочность д-й преграды. Здесь следует подчеркнуть, что расчеты итоговых прочностей защиты для неконтролируемых и контролируемых преград долж¬ ны быть раздельными, поскольку исходные данные для них раз¬ личны, и, следовательно, это разные задачи, два разных контура защиты. Если прочность слабейшего звена удовлетворяет предъявлен¬ ным требованиям контура защиты в целом, возникает вопрос об избыточности прочности на остальных звеньях данного контура. Отсюда следует, многозвенном что экономически целесообразно применять в контуре защиты равнопрочные преграды. При расчете прочности контура защиты со многими звенья¬ ми может случиться, удовлетворяет этом звене что звено предъявленным заменяют на с наименьшей прочностью требованиям. Тогда более прочную дублируется еще одной преградой, или а иногда преграду данная двумя и не в преграда более пре¬ градами. Но все дополнительные преграды должны перекрывать то же количество или более возможных каналов несанкциониро- Глава 1. Концептуальные основы проектирования системы... ванного доступа, что и 137 первая. Тогда суммарная прочность дуб¬ лированных преград будет определяться по формуле т л=1-П<1-^)’ ню /=1 где 1= I, т — порядковый номер преграды; т лирующих преград; Р{ — количество — дуб¬ прочность /-й преграды. Иногда участок защитного (сдуб¬ защитой. многоуровневой контура с параллельными лированными) преградами В информационной системе защитные преграды часто перекры¬ вают друг друга и по причине, указанной выше, и когда специ¬ фика возможного канала несанкционированного доступа требует применения такого средства защиты (например, системы кон¬ троля доступа в помещения охранной сигнализации и контроль¬ но-пропускного пункта на территории объекта защиты). Это оз¬ называют прочность отдельной преграды Р^ попадающей под защиту второй, третьей и т. д. преграды, должна пересчитывать¬ начает, что учетом этих преград по формуле (18). Соответственно может измениться и прочность слабейшей преграды, определяющей ся с итоговую прочность защитного контура в целом. Многоуровневая защита. В ответственных случаях при повы¬ шенных требованиях к защите применяется многоуровневая за¬ щита, модель которой представлена на рис. 5. При расчете суммарной прочности нескольких контуров за¬ щиты в формулу (18) вместо Р, включается Рк; прочность каж— / Рис. 5. Модель многоуровневой защиты: 7 — 1-й контур защиты; 2 — 4 2-й контур защиты; 3 предмет защиты — — 3-й контур защиты; Раздел III. Проектирование системы обеспечения безопасности... 138 дого контура, значение которой определяется по одной из фор¬ (16) и (17), т. е. для контролируемых и неконтролируемых мул расчеты должны быть раздельными опять преград и произво¬ образующих каждый отдельную 0 данный контур в расчет не многоуровневую защиту. При ^, 1 остальные контуры защиты являются принимается. При РК1 избыточными. Подчеркнем также, что данная модель справедли¬ диться для разных контуров, = = ва лишь для налы контуров защиты, перекрывающих одни несанкционированного доступа к и те же ка¬ одному и тому же пред¬ мету защиты. Анализ информационной системы как объекта обеспечения безопасности информации Анализ существующих в настоящее время информации и данных, а также систем обработки автоматизированных систем управления показывает, что с позиций обеспечения безопасно¬ сти информации объектом исследования может быть выбрана информационная система как самостоятельный объект и как элемент территориально-рассредоточенной сети большой автоматизированной системы управления. Не или останавливаясь на конкретных информационной информационных реализациях централизованной обработкой информации и данных, имеющих различные принципиальные для обработки информа¬ ции решения, построим ее обобщенную модель, представленную на рис. 6, на котором информация, циркулирующая в информа¬ ционной системе, показана как нечто целое, подлежащее защи¬ те. Так как физически информация размещается на аппаратных систем и с программных средствах, последние представлены таким же об¬ разом с внешней стороны по отношению к информации. ин¬ Предмет информационной безопасности и защиты формация, циркулирующая и хранимая в информационной сис¬ — теме в виде данных, команд, сообщений и т. д., имеющих ка¬ кую-либо цену для их владельца и потенциального нарушителя. При этом за несанкционированный доступ принимаем событие, выражающееся в попытке нарушителя совершить несанкциони¬ рованные действия по отношению к любой ее части. С позиций лее входа в систему и выхода из нес отмстим наибо¬ характерные для большинства систем, готовых к работе, Глава 1. Концептуальные основы проектирования системы... 139 Система вывода аппаратуры из рабочего I контура обмена информацией НСД к НСД к информации при выводе информации со стороны аппаратуры на терминалов ремонт Контрольнопропускной пункт Граница контролируемой зоны на территории объекта НСД к терминалам, средствам отображения и документирования Система НСД к технологическим контроля доступа в пультам и органам управлени помещения объекта НСД к внутренней связи и ' монтажу аппаратуры вскрытия аппаратуры НСД к средствам загрузки обеспечения программного НСД к электромагнитному излучению информации Система опознания и Доступ к мусорной корзине разграниче¬ ния доступа Средства уничтожения информации НСД к внешним каналам связи НСД к носителям информации Шифрование данных I Средства регистрации | НСД к внешним Верификация программного обеспечения и учета документов каналам связи НСД к носителям программного обеспсченя Программное обеспечение Информация Аппаратное обеспечение Рис. 6. Модель информационной системы с безопасной обработкой информации: НСД — несанкционированный доступ; ПО — программное обеспечение штатные средства ввода, вывода и хранения относятся информации. К ним следующие средства: • терминалы пользователей; • средства отображения и документирования информации; средства загрузки программного обеспечения в систему; • • носители информации: оперативные запоминающие уст¬ ройства, дисковые запоминающие устройства, распечатки, листинги и т. • д.; внешние каналы связи. Вес перечисленные средства по которым имеют назовем штатными санкционированный доступ к каналами, информации, Раздел III. Проектирование системы обеспечения безопасности... 140 подлежащей защите, законные пользователи. Готовность систе¬ мы работе означает, что система функционирует нормально, органы управления в работе не исполь¬ к технологические входы и зуются. Известно, что все многообразие потенциальных угроз ин¬ формации можно разделить на преднамеренные и случайные. Природа и точки их приложения различны. Причины случайных воздействий также известны. Точки приложения случайных воздействий распределены по информационной системы. Место и время воз¬ никновения данных событий подчиняются законам случайных всей «площади» чисел. Опасность случайных воздействий заключается случай¬ в формировании неверных команд, сообще¬ ний, адресов и т. д., приводящих к утрате, модификации и утеч¬ ном ке искажении или информации, подлежащей защите. Известны и средства предупреждения, обнаружения и блоки¬ ровки случайных воздействий. Это средства обрабатываемой верности этом ное в качестве число на т. передаваемой информации. При средств предупреждения, сокращающих вероят¬ в алгоритмические и другие мероприятия, проект информационной устранение причин е. досто¬ случайных воздействий, используются схемные, схе¬ мотехнические, дываемые и повышения уменьшение вероятности их Они направлены системы. возникновения закла¬ случайных воздействий, появления. Поскольку после мероприятий вероятность их появления все же оста¬ ется значительной, для обнаружения и блокировки случайных воздействий при эксплуатации применяются встроенные в сис¬ тему средства функционального контроля, качественными пока¬ указанных зателями которого являются: • время обнаружения и локализации отказа; • достоверность контроля функционирования; • полнота контроля (охват информационной системы); время задержки в обнаружении отказа. Точки приложения преднамеренных воздействий • прежде всего со входами в систему и выходами нее, т. е. с «периметром» системы. Эти быть законными и незаконными, т. е. несанкционированного доступа ной системе могут быть: • все перечисленные конном выше использовании; к входы связаны информации из и выходы возможными могут каналами информации в информацион¬ штатные средства при их неза¬ Глава 1. Концептуальные основы проектирования системы... • технологические • внутренний монтаж аппаратуры; • линии связи 141 пульты и органы управления; информаци¬ между аппаратными средствами онной системы; • побочное электромагнитное излучение информации; • побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры инфор¬ мационной системы; • внешние каналы связи. Опасность преднамеренных несанкционированных действий заключается сов, во вводе нарушителем незаконных команд, запро¬ сообщений, программ и т. д., приводящих к утрате, моди¬ фикации информации и несанкционированному ознакомлению с нею, а также перехвате нарушителем секретной информации путем приема и наблюдения сигналов побочного электромагнит¬ ного излучения и наводок. Концептуальные основы для построения системы обеспечения безопасности информации от несанкционированного доступа в информационной системе представленной модели информационной системы и моделей защиты позволяет информационную систему рассмат¬ ривать как объект, в котором имеется некоторое множество воз¬ можных каналов несанкционированного доступа (ВКНСД) к предмету защиты информации. Для построения защиты информации в данной системе на Анализ каждом если возможном канале несанкционированного возможно сразу на нескольких доступа, а необходимо установить со¬ ответствующую преграду. Чем большее количество возможных каналов несанкционированного доступа перекрыто средствами защиты и выше нарушителем, непреодоления потенциальным уровень безопасности информации, об¬ вероятность тем выше их рабатываемой в данной системе. Очевидно, что в реальной ин¬ формационной системе структура защиты будет носить много¬ звенный и многоуровневый характер. Количество перекрывае- Раздел III. Проектирование системы обеспечения безопасности... 142 мых возможных этом будет зависеть от заданной квалификации нарушителя. Со¬ гласно каналов рассмотренной классификации дующее распределение ного несанкционированного возможных можно каналов доступа установить при сле¬ несанкционирован¬ доступа по классам: 1 -й класс доступа, — все возможные возможные в данной каналы несанкционированного информационной системе на теку¬ щий момент времени; 2 -й класс — все возможные каналы несанкционированно¬ доступа, кроме побочного электромагнитного излучения и и машинных носителей с остатками информации, наводки го подлежащие защите специальными криптографическими ме¬ тодами.; 3 -й класс — только следующие возможные каналы несанк¬ ционированного доступа; • терминалы пользователей; • аппаратура регистрации, документирования и отображения информации; • • бумажные носители информации; средства загрузки программного обеспечения; машинные и • технологические • внутренний монтаж аппаратуры; • линии связи 4 -й класс — пульты и органы управления; между аппаратными средствами; только следующие возможные каналы несанк¬ ционированного доступа; • терминалы пользователей; • машинные и • средства загрузки программного обеспечения. Анализ к бумажные документы; возможных каналов информации показывает, несанкционированною доступа что данные каналы необходимо раз¬ делить на два вида: контролируемые и неконтролируемые. К контролируемым возможным каналам несанкционирован¬ ного доступа информационной системы можно отнести: • терминалы пользователей; • средства отображения и документирования информации; • средства загрузки программного обеспечения; • технологические • внутренний монтаж аппаратуры; • пульты и органы управления; побочное электромагнитное излучение; Глава 1. Концептуальные основы проектирования системы... 143 побочные наводки информации на сетях электропитания и • заземления вспомогательных и посторонних вблизи коммуникациях, размещенных аппаратуры инфор¬ аппаратуры, мационной системы. При этом побочное излучение и наводки информации, стро¬ го говоря, относятся к этому виду каналов несанкционированно¬ го доступа в том случае, если уровень «опасного» сигнала, несу¬ щего информацию, не выходит за пределы контролируемой зоны объекта размещения информационной системы, и уровень этого периодически измеряется в пределах и за пределами этой сигнала зоны. В соответствии с моделью щиты, перекрывающие эти защиты каналы, (см. рис. 4) средства за¬ образуют виртуальный кон¬ тролируемый защитный контур. К неконтролируемым каналам несанкционированного досту¬ па к • информации информационной системы следует отнести: машинные носители программного обеспечения и ин¬ формации, выносимые за пределы информационной сис¬ темы; • долговременные запоминающие устройства с остатками ин¬ формации, выносимыми за пределы информационной сис¬ темы; • внешние каналы связи; • мусорную корзину. Средства защиты, перекрывающие перечисленные каналы, образуют виртуальный неконтролируемый защитный контур. Кроме того, учитывая множество пользователей, допущен¬ ных к терминалам и информации внутри информационной сис¬ темы, потребуется создание встроенной системы контроля и раз¬ граничение доступа. Разграничение доступа пользователей к ин¬ формации информационной соответствии ностями и с того нескольких только единый ими должно в функциональными обязан¬ можно чтобы обеспечить различных в по замыкание исполнению изменять во время информационной взаимодействие между собой, постоянно контура защиты преград, из недостаточно системе всех возможных несанкционированного доступа. их производиться системы. перекрытия каналов печить выполняемыми полномочиями, которые эксплуатации Для системы Необходимо еще обес¬ т. е. объединить их в действующий механизм. Эту задачу должны выполнять централизованные средства управления. Раздел III. Проектирование системы обеспечения безопасности... 144 На контролируемых возможных каналах несанкционирован¬ ного доступа все цепи и тракты контроля аппаратно, программ¬ но и организационно должны сходиться на одном рабочем месте службы безопасности информации или администратора информа¬ ционной системы. Последний вариант предпочтителен для менее ответственных систем при защите информации от нарушителя 3-го и 4-го классов. На неконтролируемых несанкционированного должно обеспечиваться доступа возможных централизованное каналах управление образом с тех же рабочих мест, но отдельной функциональной задачей. Приведенные модели защиты, построенные на основе при¬ аналогичным нятой модели ожидаемого поведения потенциального наруши¬ теля и пригодные в принципе для применения и в других сис¬ информационных, для защиты другого предме¬ формальное представление о механизме защиты и темах, помимо дают та, методах ном и получения ее расчетных характеристик количественном выражении с в качествен¬ гарантированными ре¬ зультатами. Изложенное позволяет предложить в основу проектирования разработки системы безопасности информации в информаци¬ онной системе следующий порядок: 1) анализ заданных требований к информационной системе и на предмет определения перечня, структуры мости обрабатываемой информации и и динамики данных, стои¬ подлежащих защите; 2) выбор модели потенциального нарушителя; 3) выявление в данной информационной системе мально возможного количества каналов макси¬ несанкционированного доступа к информации согласно выбранной модели потенциаль¬ ного нарушителя; 4) анализ выявленных возможных каналов несанкциониро¬ доступа и выбор готовых или разработка новых средств защиты, способных их перекрыть с заданной прочностью; ванного 5) качественная и количественная оценка прочности каждого из применяемых средств защиты; 6) проверка возможности адаптации средств защиты в разра¬ батываемую информационную систему; 7) создание в разрабатываемой информационной системе средств централизованного контроля и управления; 8) количественная и качественная оценка прочности систе¬ мы защиты информации от несанкционированного доступа с от- Глава 1. Концептуальные основы проектирования системы... дельными 145 показателями по контролируемым и неконтролируе¬ мым возможным каналам несанкционированного доступа. При этом расчет прочности средств защиты производится по формулам (4) и (15), а расчет прочности системы защиты ин¬ формации в информационной системе с централизованной об¬ по формулам (16)—(18). работкой данных — Анализ вышеприведенного подхода к принципам построения защиты говорит о ряде принципиальных свойств предмета защи¬ ты, потенциальных угроз и защитных преград, которые целесо¬ образно учитывать при создании эффективной защиты. Это следующие свойства: • информация — объект права собственности, подлежащий защите от несанкционированного доступа; • время жизни защищаемой информации; • разные источники, место и время приложения случайных и преднамеренных несанкционированных доступов; • наличие достаточно • степень простой модели потенциального нару¬ шителя; ным охвата контролем информационной и средствами системы функциональ¬ повышения достоверности информации, определяющая вероятность чайных несанкционированных доступов; • возможные каналы появления несанкционированного доступа к слу¬ ин¬ формации; • степень замыкания преграды вокруг предмета защиты, определяющая вероятность ее обхода нарушителем; • деление возможных каналов несанкционированного досту¬ па на контролируемые и неконтролируемые; • зависимость ностью • обладающей способ¬ контроля несанкционированного доступа, ношения мени не прочности преграды, времени жизни информации и от соот- ожидаемого вре¬ преодоления преграды нарушителем; прочности преграды, обладающей способно¬ контроля несанкционированного доступа, от способ¬ зависимость стью ности преграды к своевременному обнаружению и блоки¬ ровке попыток несанкционированного доступа; • зависимость уровня прочности защиты информации в ин¬ формационной системе в целом от уровня прочности сла¬ бейшего звена; • информации и виде единого целого реально действующего механизма. возможность создания системы защиты в Раздел III. Проектирование системы обеспечения безопасности... 146 Основные тактика и стратегия защиты в санкционированного доступа информации от не¬ информационной системе за¬ ключаются в выполнении следующих задач: • ного • и предупреждении контроле попыток несанкционирован¬ доступа; обнаружении, определении места и блоки¬ своевременном ровки несанкционированных действий; • регистрации и документировании события; • установлении ного • и устранении причины несанкционирован¬ доступа; статистики ведении и прогнозировании несанкциониро¬ ванного доступа. Предупреждение и контроль несанкционированного доступа заключаются в следующем. 1. Для защиты от случайного несанкционированного доступа функционального контроля технических средств информационной системы и средств повышения досто¬ верности информации. 2. Для защиты от преднамеренного несанкционированного доступа создание в информационной системе замкнутого контура применение средств защиты, состоящего из системы преград, перекрывающих макси¬ мально возможное доступа и количество каналов несанкционированного обладающих такой прочностью, затраты времени на которой больше времени жизни защищаемой ин¬ формации или больше времени обнаружения и блокировки не¬ преодоление санкционированного доступа к ней. Задачей защиты теме единой щих надежное рованного является системы модификацию и информационной сис¬ взаимосвязанных преград, обеспечиваю¬ возможных каналов несанкциони¬ перекрытие доступа в создание воздействий, от направленных информации, утечку из т. е. на на утрату, безопасность этих событий, не преду¬ смотренных штатным режимом работы информационной систе¬ мы, рассматривается как факт совершения несанкционирован¬ информации. Наступление ного одного доступа. Утрата заключается в стирании, искажении, уничтоже¬ нии или хищении информации, находящейся в процессе обработки или хранения в информационной системе. Опас¬ ность ее мации. заключается в безвозвратной потере ценной инфор¬ Глава 1. Концептуальные основы проектирования системы... 147 Модификация заключается в изменении информации на лож¬ ную, которая корректна по форме и содержанию, но имеет дру¬ гой Навязывание ложной информации при отсутствии законной и недоведение законной информации до получателя можно также считать ее модификацией. Примером модифика¬ смысл. ции может служить изменение даты документа, суммы и т. д. Опасность модифика¬ рья и материалов, денежной ции заключается количества сы¬ в возможности секретной или (и) передачи ложной информации в дальнейшую обработку организации утечки и использование. Утечка информации заключается лица в несанкционированном постороннего секретной информацией. Опасность утечки информации состоит в разглашении частной, ознакомлении с коммерческой, служебной, военной или государственной тайны со всеми вытекающими отсюда последствиями. Из изложенного также следует, что в обеспечение безопасно¬ сти входит не только защита секретной, но и части несекретной информации. На основании изложенного можно дать следующее опреде¬ информационной системы с безопасной обработкой ин¬ формации и данных. Информационная система обработки информации обеспечивает их безопасность, если в ней предусмотрена централизованная сис¬ тема управляемых и взаимосвязанных преград, перекрывающих с ление гарантированной прочностью заданное потенциального нарушителя в соответствии количество возможных с моделью каналов не¬ санкционированного доступа и воздействий, направленных на утра¬ ту или модификацию информации, а также несанкционированное ознакомление с нею Предложенный посторонних лиц. подход отвечает смыслу защиты и позволяет построить на пути нарушителя строгую систему равнопрочных и взаимосвязанных деления уже преград с количественных имеющихся и возможностью качественных проработанных обоснованного опре¬ параметров отдельных средств на основе защиты. Предложенная модель объекта защиты информации рассматри¬ вается как базовая модель защищенного элемента информаци¬ онной сети или информационной системы, включая ее автома¬ что тизированную систему управления, можность решения задачи построения более для системы защиты информации и на их открывает уровне. также воз¬ эффективной Раздел III. Проектирование системы обеспечения безопасности... 148 Концептуальные основы для проектирования системы обеспечения безопасности информации от несанкционированного доступа в информационной сети и автоматизированной системы управления Рассматриваемые до сих пор обобщенные модели информа¬ ционных сетей как объектов обеспечения безопасности мации, с одной стороны, ру, а с другой слишком инфор¬ глубоко отражали ее структу¬ учитывали системные связи и от¬ ношения между ее элементами, так как за основу модели брался — не полностью неполный фрагмент архитектуры сети. Акцент делался на защите ресурсов сети (узлов обработки ин¬ формации), а не на самой информации, а также на ее децентра¬ лизованной обработке. Необходимо здесь заметить, что автома¬ тизированные системы управления будут и далее развиваться как ядро любой информационной системы. Попутно заметим, что информационную сеть с позиций управления тоже можно на¬ автоматизированной системой управления, так как у нее есть свои централизованные средства управления ее функциони¬ рованием и обработкой информации. Следовательно, должны быть и средства управления безопасностью информации. Отли¬ звать чают сеть и автоматизированную систему управления только сис¬ темные отношения между их управляемыми звеньями. В автома¬ тизированной системе управления может быть многоступенчатая иерархическая структура, а в сети этому в качестве объекта — всегда двухступенчатая. По¬ предлагается рассмотреть некоторую обобщенную модель структуры автоматизированной управления (см. рис. 1, б). На рисунке автоматизированная ставлена как совокупность системы система управления комплексов пред¬ средств автоматизации обработки информации и данных, соединенных между собой ка¬ налами связи. При этом под комплексом средств автоматизации подразумевается любая территориально-сосредоточенная инфор¬ на базе технических мационная система, комплексов средств автоматизации обработки информации, объ¬ построенная средств общим программным обеспечением и выполнением одной или нескольких общих задач. Согласно своей роли в авто¬ единенных матизированной системе управления и в сети обработки и пере¬ дачи информации и данных комплексы средств автоматизации в Глава 1. Концептуальные основы проектирования системы... той или иной структуре связаны определенными 149 системными отношениями. Одна группа обработки информации и данных, например узлы коммутации сообщений, вместе с другой группой комплексов средств автоматизации (ап¬ паратурой передачи данных) образуют сеть передачи данных, другая группа комплексов средств автоматизации (вычислитель¬ ные комплексы, системы, абонентские пункты и т. д.) вместе с этой сетью образуют автоматизированную систему управления. комплексов средств автоматизации У каждой названной структуры есть свои задачи и торые должны обеспечиваться средствами защиты границы, и роваться соответствующими средствами управления. ко¬ контроли¬ У каждой хозяин-собственник, отвечающий перед собой или своими клиентами за безопасность обработки информации. Если таковым собственником является государство, то должно структуры есть быть лицо, несущее такую ответственность. В этом аспекте со¬ здание для всех пользователей единой информационной среды является безнадежной задачей и применение термина «защи¬ информационная среда» оправдано только в философ¬ щенная ском смысле. В интересах обработке ин¬ формации автоматизированная система управления (сеть) содер¬ жит выполнения системных задач по следующие средства управления: • конфигурацией автомати¬ зированной системы управления (сети); • средства управления структурно-адресными таблицами; средства управления составом и функциональным контролем автома¬ тизированной системы управления (сети); средства управления функционированием автоматизиро¬ ванной системы управления (сети). Перечисленные средства размещаются на одном из элемен¬ тов автоматизированной системы управления (сети) управ¬ ляющем комплексе средств автоматизации автоматизированной системы управления (сети). Помимо указанных средств автома¬ • средства управления • — тизированная рактер система системных частей управления содержит определяющие отношений средства взаимодействия ее ха¬ со¬ (комплексов средств автоматизации обработки информации данных) между собой. Эти отношения связаны с выполнением основных задач автоматизированной системы управления, включая разграничение доступа к информации друг ставных и друга. Раздел III. Проектирование системы обеспечения безопасности... 150 Приведенная на рис. 1, б структура автоматизированной сис¬ темы позволяет управления ных каналов определить всего два несанкционированного доступа вида возмож¬ информации ав¬ к томатизированной системы управления (сети): комплексы средств автоматизации обработки информации (КСА); • • каналы связи. Концепция безопасности информации уровне КСА рас¬ на смотрена выше. Следовательно, остается рассмотреть только концепцию за¬ щиты информации в каналах связи. Принимая во внимание, что информация в автоматизиро¬ ванной системе управления (в сети) постоянно обновляется, а то, что на каналах связи в отличие от элементов автома¬ также и тизированной системы управления (сети) нарушитель ничем не рискует, особенно при пассивном перехвате информации, проч¬ ность защиты здесь должна го вмешательства между быть особенно высокой. От активно¬ нарушителя элементами в процесс обмена автоматизированной информацией системы управления (сети) должна быть применена система обнаружения и блоки¬ ровки несанкционированного доступа. Но и при этом риск на¬ рушителя по-прежнему невысок, так как у него по причине сложности определения ется достаточно времени на то, в этом случае пребывания оста¬ его места чтобы и отключиться и уничто¬ Поэтому в качестве исходной модели потенци¬ ального нарушителя следует выбрать нарушителя высокой ква¬ лификации. Такой подход поможет защититься также и от нарушителей, являющихся законными пользователями данной автоматизированной системы управления (сети). Кроме того, это жить свои следы. позволит защитить системные отношения между элементами ав¬ томатизированной системы управления (сети). Поскольку физически каналы связи в сети защитить не целесообразно строить защиту ин¬ формации и сопровождающих ее служебных признаков на осно¬ ве специальных криптографических преобразований, т. е. на ос¬ нове самой информации, а не на ресурсах автоматизированной представляется возможным, (сети). Такой основой должна быть кодо¬ грамма сообщений, которой обмениваются между собой элемен¬ ты автоматизированной системы управления (сети). Целостность этой кодограммы и содержащаяся в ней информация должны системы управления быть защищены от несанкционированного доступа. Глава 1. Концептуальные основы проектирования системы... 151 Данная кодограмма, как правило, содержит адрес получателя, заголовок, информацию отправителя, концевик, адрес отправи¬ теля, исходящий номер и время отправления. В пакетном режиме добавляется еще ется на номер пакета, поскольку сообщение разбива¬ и пакеты, которые на объекте-получателе должны быть со¬ браны в одно сообщение, чтобы оно приобрело первоначальный вид. Для синхронизации приема и обработки кодограммы в нее включаются признаки Кадр содержит информационное кадра. поле, а также заголовок и концевик, присваиваемый протоколом. Заголовок содержит служебную информацию, используемую протоколом канального уровня принимающей станции и служа¬ идентификации сообщения, правильного приема кад¬ восстановления и повторной передачи в случае ошибок щую для ров, Концевик содержит проверочное поле, служащее для кор¬ рекции и исправления ошибок (при помехоустойчивом кодиро¬ и т. д. Для обеспечения передачи блоков данных от передающей станции к приемной кодограмма содер¬ вании), внесенных каналом. признаки маршрута. Все жит граммы формируются другие составляющие кодо¬ на основе известной семиуровневой моде¬ эти и ли протоколов взаимодействия открытых систем 180/081. За основу безопасности информации в информационных се¬ тях следует взять следующие требования, которые должны быть конечной целью при создании средств ее защиты. После того как соединение между двумя абонентами инфор¬ мационной сети установлено, необходимо обеспечить четыре условия: а) получатель сообщения должен быть уверен источника в истинности данных; б) получатель должен быть уверен в истинности полученных данных; в) отправитель должен быть уверен в доставке данных полу¬ чателю; г) отправитель должен быть уверен в истинности доставлен¬ получателю данных. ных При этом предполагается, что выполнение включает защиту от следующих активных • этих условий вторжений нарушителя: сообщений: изменения, удаления, задержки, переупорядочения, дублирования регулярных и воздействий на посылки ложных поток сообщений; • воспрепятствования передаче сообщений; • осуществления ложных соединений. Раздел III. Проектирование системы обеспечения безопасности... 152 Однако они не включают защиту от пассивных вторжений: • чтения • анализа содержания сообщения; трафика и идентификаторов абонентов сети. Кроме того, необходимо отразить важные моменты: получа¬ тель не должен принимать все сообщения подряд, хотя бы они были подлинными и от истинных источников, а отправитель со¬ общения должен быть уверен, что получатель правильно отреаги¬ рует на него. Другими словами, и отправитель, и получатель должны в данной сети (автоматизированной системе управления) иметь полномочия на обмен друг с другом. Это необходимо не для ограничения их свободы, а для обеспечения доверия друг к другу и доверия их к автоматизированной системе, что является наи¬ первейшей обязанностью любой информационной сети и автома¬ тизированной системы управления с точки зрения юридического права независимо от того, «дружат» они или «не дружат» между собой. Если пользователь обращается в удаленную базу данных, юридическую ответственность, с одной стороны, несет пользова¬ тель, с другой Таким — владелец данной информационной системы. образом, для ным четырем условиям д) отправитель с и полноты постановки задачи необходимо дополнение еще к указан¬ четырех: получатель должны быть уверены в том, что доставленной информацией в сообщении никто, кроме них, не ознакомился; е) отправитель и получатель должны быть уверены, что ни¬ кому, кроме них и специального посредника, факт передачи со¬ общения между ними не известен; ж) получатель должен быть уверен, что отправитель — это то лицо, за которое себя выдает; быть уверен, что получатель лицо, которое ему необходимо для передачи сообщения. з) отправитель должен — то Данные требования (а—з) рассчитаны на защиту от квалифи¬ цированного нарушителя-профессионала по квалификации, приведенной выше. Для определения основных принципов решения этой задачи рассмотрим упомянутую выше унифицированную кодограмму, которая является носителем этой информации и, следовательно, предметом защиты. Исходим из того, что нарушителю доступна вся кодограмма, включая служебные признаки, а также из того, что единствен¬ ным методом защиты по этой причине может быть выбран ме¬ тод криптографических преобразований. Глава 1. Концептуальные основы проектирования системы... Один из методов должен быть таким, чтобы образно поскольку по причине всю кодограмме служебные признаки в откры¬ кодограмму преобразовывать нецелесо¬ сохранились некоторые адреса том виде, в 153 и невозможности дальнейшей обработки. ее Таким методом может быть использование механизма формиро¬ цифровой (электронной) подписи на базе несимметрич¬ ных алгоритмов шифрования. Кроме того, отдельные части ко¬ дограммы формируются на разных этапах ее обработки разными устройствами и узлами сети; часть этой информации принадле¬ вания ей, жит а другая и принадлежат часть кто — абонентам. Это определяет, кому ключи шифрования той или иной ее меняет части кодограммы: автоматизированная система управления или передачи информации. Шифрование частей кодограммы система с новременно формированием удобно производить од¬ соответствующих признаков обработки сообщения и его самого при реализации протоко¬ лов семиуровневой модели взаимодействия открытых систем 180/081. Для того чтобы обеспечивать возможность контроля и раз¬ граничения доступа, необходимо для всех участников обмена информацией, помимо условных номеров, присвоить перемен¬ ные идентификаторы в виде паролей, которые могут передавать¬ ся в открытом виде и подлинность которых будет обеспечивать¬ ся механизмом цифровой подписи. Тем абонентам, которым присвоены соответствующие полномочия, ставлены соответствующие значения должны быть предо¬ паролей и закрытых клю¬ чей шифрования. Таким образом, расчет безопасности информации в каналах группы показателей меха¬ низмов шифрования, примененного для каждой составляющей кодограммы. Стойкость, или прочность, защитного механизма связи можно производить на основе определяется стойкостью к подбору примененного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если оно составляет величину, превышающую время жизни защищаемой информации, то прочность или вероятность этой преграды равна 1. При этом обратим существенную разницу во времени жизни самого сообщения и его служебных частей. Само сообщение в зависимости темы может ти не — внимание сохранять на от назначения цену десятки лет, информационной сис¬ а его служебные час¬ более десятка минут (время доведения сообщения до ад- Раздел III. Проектирование системы обеспечения безопасности... 154 ресата). Это позволяет существенно увеличить быстродействие шифрования и, может быть, даже упростить его для служебных частей. Такой большой набор процедур может вызвать сомнение у разработчиков по поводу реальности воплощения этой идеи из-за возможного увеличения времени обработки кодограммы. Однако даже если это и случится, повышение безопасности ин¬ формации стоит того. При реализации системы контроля и разграничения доступа в автоматизированной системе управления (системе передачи информации) потребуется также организовать систему сбора с комплексом средств автоматизации обработки информации сиг¬ налов несовпадения кодов паролей, систему управления и рас¬ пределения ключей шифрования информации и организацион¬ ные мероприятия по безопасности информации. Изложенное позволяет предложить следующую группу средств для обеспечения безопасности информации, обрабаты¬ ваемой в каналах связи, ориентированных соответственно на вы¬ полнение приведенных выше восьми условий: а) средства формирования цифровой подписи сообщений; б) средства шифрования передаваемых данных; в) средства обеспечения цифровой подписи служебных при¬ знаков передаваемой информации, включая адреса и маршруты сообщения, а также получение квитанции от получателя; и отправителем посредником г) все перечисленные в пп. «а», «б» и «в» средства; д) средства п. «б»; е) введение в систему передачи информации маскирующих потоков сообщений при отсутствии активности в обмене инфор¬ мацией; ж) присвоение всем участникам обмена сообщениями пере¬ менных идентификаторов и создание в автоматизированной сис¬ теме управления и системе передачи информации системы кон¬ троля и разграничения доступа с защитой цифровой подписью паролей от подмены их нарушителем; з) средства те же, что и в п. «ж». Показатель прочности перечисленных средств защиты дет в конечном каналах связи. опасность ности итоге определять безопасность Учитывая высокую внедрения стоимость бу¬ информации в каналов и связи и нарушителя-профессионала, указанных средств (поскольку это расчет проч¬ сейчас технически воз¬ можно) предлагается производить только из обеспечения уело- Глава 1. Концептуальные основы проектирования системы... 155 вия, когда ожидаемое время, затрачиваемое нарушителем, долж¬ но быть больше времени жизни защищаемой информации. Это целесообразно выполнять всегда независимо от заданного класса нарушителя. потенциального В некоторых сетях и автоматизированных системах управле¬ потребуется защита трафика и защита от утечки инфор¬ мации. Для подобных систем предлагается ввести для каналов ния не связи следующую классификацию требований по классам потен¬ нарушителя: циального 1-й класс 2-й класс 3-й класс — — — все требования; все, кроме требования п. «е»; все, кроме требований пп. «б», «г», «д» и «е». Расчет уровня безопасности информации в системах переда¬ чи информации в целом необходимо производить по следующим показателям: ^ксаспи — группа показателей прочности защиты чи информации (СПИ); значениями информа¬ (КСА) переда¬ КСА с наименьшими основу берется ции в комплексе средств автоматизации за системы показателей; группа показателей прочности защиты информации в каналах связи системы передачи информации (кроме абонент¬ ского шифрования). ^кс — Расчет уровня безопасности ванной системе управления информации в целом можно в автоматизиро¬ производить по сле¬ дующим показателям: ^ксаасу ции в — группа показателей прочности защиты комплексе ванной системы наименьшими ^спи — передачи средств автоматизации (АСУ); показателей; за управления значениями информа¬ (КСА) автоматизиро¬ основу берется КСА с группа показателей, приведенная выше для системы информации; ^ксасу — группа показателей прочности защиты информа¬ ции в прямых каналах связи, если таковые имеются между ком¬ плексами средств автоматизации ных в обработки информации и дан¬ автоматизированной системе управления; ^тд — прочность защиты информации шифровании в трактах передачи данных. при абонентском Раздел III. Проектирование системы обеспечения безопасности... 156 Глава 2 ОСНОВНЫЕ ПРИНЦИПЫ ПРОЕКТИРОВАНИЯ СИСТЕМ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ ИНФОРМАЦИИ В процессе подготовки к началу работ по проектированию информационной системы при согласовании технического зада¬ ния в принципе уже известны предварительное распределение, места сосредоточения, характер, степень важности и секретности информации, подлежащей обработке. Таким образом определя¬ ется необходимость в разработке системы обеспечения безопас¬ ности информации и соответствующих требований к ней, кото¬ рые обязательно должны быть приведены в техническом задании на систему. Отсюда следует основное требование к порядку про¬ ведения проектирования, заключающееся раллельного проектирования системы в необходимости па¬ обеспечения безопасности информации с проектированием системы управления и обработ¬ ки информации и данных, начиная с момента выработки общего замысла построения информационной системы. Созданию сис¬ темы обеспечения безопасности информации, встроенной в ав¬ томатизированную систему, свойственны все этапы: • • • • • разработка технических предложений; разработка эскизного проекта; разработка технического проекта; выпуск рабочей документации; изготовление; • испытания; • сдача системы заказчику. Невыполнение этого принципа, «наложение» или «встраива¬ ние» средств защиты в уже готовую систему, может привести к эффективности защиты, невозможности создания цель¬ ной системы обеспечения безопасности, снижению производи¬ тельности и быстродействия информационных средств, а также к большим затратам, чем если бы система защиты разрабатыва¬ низкой лась и реализовывалась параллельно с основными задачами. При параллельном проектировании разработчиками систе¬ мы обеспечения безопасности информации (СБИ) производит¬ ся анализ циркуляции и мест сосредоточения информации в Глава 2. Основные принципы проектирования систем обеспечения... информационной проекте системы, наиболее определяются уязвимые для несанкционированного доступа точки менно 157 и своевре¬ технические предлагаются взаимоприемлемые решения по сокращению их количества путем изменения принципиаль¬ ной схемы информационной системы, что позволит обеспечить надежность простоту, и экономичную реализацию защиты с достаточной эффективностью. Кроме того, параллельное про¬ ектирование необходимо в силу встроенного характера большей части технических средств защиты. низма защиты должно Функционирование планироваться и меха¬ обеспечиваться наряду планированием и обеспечением процессов автоматизирован¬ ной обработки информации, что важно для определения степе¬ с информации на основные вероят¬ ностно-временные характеристики информационной системы, ни влияния средств защиты как которые, правило, изменяются в сторону ухудшения. Но приобретение нового и необходимого качества, которая иногда является причиной пренебрежительного отно¬ шения некоторых разработчиков и заказчиков информацион¬ это — ных плата за систем к защите. Однако за такую недальновидность приходится расплачиваться потом несоизмеримо им более дорогой ценой. Не выполнив эту задачу, они лишили владельца инфор¬ мационной системы гарантий на собственность его информа¬ ции, циркулирующей в ней. При разработке технического задания и дальнейшем проек¬ тировании системы создание задача не системы информационной обеспечения второстепенная, ибо следует помнить, что безопасности информации — ее невыполнение может быть причиной недостижения цели, поставленной информационной системе, потери доверия к ней, а в некоторых случаях утечки и модификации информации причиной более тяжелых по¬ — следствий. Техническое задание на проектируемую информационную систему должно содержать перечень сведений и характеристик, подлежащих защите, возможные пути циркуляции и места их со¬ средоточения, а также специальные требования к системе обес¬ информации. Если это автоматизирован¬ ная система управления или информационная сеть, то должна соблюдаться иерархия требований к системе защиты информа¬ печения безопасности ции. Они должны входить: • в общее техническое задание на автоматизированную сис¬ тему управления или информационную сеть в целом; Раздел III. Проектирование системы обеспечения безопасности... 158 • в частные системы технические управления, задания на функциональные под¬ отдельные объекты, комплексы, звенья, на автоматизированные технические средства; • в технические задания на сопряжение внешних систем; • в технические задания общее программное обеспечение отдельных на и информационных комплексов, на специальное программное обеспечение объектов эле¬ компьютеров — информационной сети и автоматизированных сис¬ ментов тем управления. Требования общего технического задания на информацион¬ ную сеть и автоматизированную систему управления руководящими для частных технических заданий являются подсистем, звеньев, объектов и т. д. При этом в автоматизированной системе управления требо¬ вания на связанные подсистемы с одним одного уровня иерархии, идеологически вышестоящим объектом, должны быть уни¬ фицированы между собой и не вступать в противоречие. Решение вопросов создания системы защиты информации должно поручаться лицам одного уровня с лицами, занимающи¬ мися вопросами функционирования автоматизированной систе¬ мы управления. Разработка системы защиты информации требу¬ ет привлечения специалистов широкого профиля, знающих, кроме системных вопросов, вопросов программного обеспечения, раз¬ работки комплексов и отдельных технических средств, специ¬ альные вопросы защиты информации. При проектировании защиты следует внимательно провести исследование разрабатываемой информационной системы на предмет выявления всех возможных каналов несанкционирован¬ информации, подлежащей защите, средствам ее ввода-вывода, хранения, обработки и только после этого строить ного доступа к Первое знакомство с разрабатываемой информационной системой должно закончиться рекомендациями по сокращению защиту. обнаруженных каналов доступа путем ее принципиальных изме¬ нений без ущерба выполнению основных задач. Анализ важнейших задач организации и формирования функ¬ ций, удовлетворяющих целям управления, носит обычно итера¬ тивный характер, обеспечивающий последовательное уточнение задач функций, согласование их на всех уровнях и ступенях ав¬ и томатизированной системы управления и сведение в единую функциональную схему. Это означает, что проведенные на неко¬ тором этапе проектирования технические решения, накладывае- Глава 2. Основные принципы проектирования систем обеспечения... мые системой защиты на основные задачи системы на основных принятия решения и автоматизированной управления, должны проверяться по степени их влияния решения ния 159 процессов управления по изменению основных и наоборот: после процессов управле¬ составу технических средств должно проверяться их соот¬ решениям по защите информации, которые при необхо¬ димости должны корректироваться или сохраняться, если кор¬ ветствие ректировка снижает прочность защиты. Важную роль играет простота системы обеспечения безо¬ пасности информации. Она должна быть простой настолько, на¬ сколько позволяют требования по ее эффективности. Простота защиты повышает ее надежность, экономичность, уменьшает ее влияние на вероятностно-временные характеристики автомати¬ зированной системы управления, создает удобства в обращении с нею. При неудобных средствах безопасности пользователь бу¬ дет стараться найти пути ее обхода, отключить ее механизм, что сделает защиту бессмысленной и ненужной. При проектировании системы обеспечения безопасности ин¬ формации, как и в обычных разработках, вполне разумно при¬ менение унифицированных или стандартных средств защиты. Однако желательно, чтобы указанное средство при применении в проектируемой информационной системе приобрело индиви¬ дуальные свойства защиты, которые потенциальному нарушите¬ лю не были бы известны. Данные по защите информации в проектируемой информа¬ ционной системе должны содержаться в отдельных документах и засекречиваться. Ознакомление опытных и квалифицированных специалистов с уязвимыми точками проекта на предмет его доработки можно осуществить путем организации контролируемого допуска их к секретному проекту. В этом случае по крайней мере будут из¬ щается число лиц комленные с — проектом. Таким образом сокра¬ потенциальных нарушителей, а лица, озна¬ вестны лица, ознакомленные с проектом, несут ответственность что, как известно, является сдерживающим перед фактором законом, для потен¬ циального нарушителя. В процессе проектирования возможности использовать действительных, системы но и испытаний рекомендуется по данные, отличающиеся от исходные позволяющие при последующей загрузке доработки. За¬ действительными данными нс проводить грузка действительных данных должна производиться только по- Раздел III. Проектирование системы обеспечения безопасности... 160 еле проверки функционирования системы защиты информации в данной информационной системе. Учитывая то, что система защиты в информационной систе¬ ме предусматривает, применение тий, в качестве кроме аппаратно-программных преграды выполняемых человеком ты, необходимо стремиться к — средств, и организационных мероприя¬ наиболее слабым звеном защи¬ максимальной автоматизации его функций и сокращению доли его участия в защите. Для жизнь, по того чтобы спроектированная необходимо также, чтобы возможности не система технические защиты обрела средства защиты ухудшали вероятностно-временные характе¬ ристики информационной системы: быстродействие, производи¬ тельность и другие. При проектировании необходимо найти ра¬ зумное соотношение в удовлетворении тех и других требований. Контрольные вопросы 1. Опишите состояние проблемы обеспечения безопасности информации в ин¬ формационных системах в настоящее время. 2. Раскройте сущность централизованной обработки информации и данных в 3. информационных системах. Приведите классификацию защиты информации в зависимости от квалифи¬ кации нарушителя. 4. Раскройте содержание элементарной защиты компьютерной системы. 5. Как принципиально определяется прочность защитной 6. Что включает модель многозвенной преграды? защиты? Что включает модель много¬ уровневой защиты? 7. Какие составляющие должна включать модель информационной системы с безопасной обработкой информации? 8. В чем заключаются концептуальные основы построения системы обеспечения безопасности информации от несанкционированного доступа в информаци¬ онной системе? 9. В чем заключаются концептуальные основы для проектирования системы обеспечения безопасности информации от несанкционированного доступа в информационной сети и автоматизированной системы управления? необходимость параллельного проектирования систем обеспечения безопасности и систем управления и обработки информации и 10. Что подразумевает данных? Раздел IV ПОСТРОЕНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОМПЛЕКСАХ СРЕДСТВ АВТОМАТИЗАЦИИ ЕЕ ОБРАБОТКИ Глава 1 ИСХОДНЫЕ ПРЕДПОСЫЛКИ Для построения системы обеспечения безопасности инфор¬ в комплексе средств автоматизации мации информационной системы необходимы следующие исходные данные: функции; • назначение и выполняемые • состав и назначение • структурная или функциональная схема; • структура и состав информационной базы; • перечень и время сохранения секретности сведений, подле¬ аппаратных и программных средств; жащих защите; • модель ожидаемого поведения потенциального нарушителя; • состав, количество и виды внутренних и выходных доку¬ ментов; • • • • функциональных задач прикладного программ¬ ного обеспечения; состав и выполняемые функции должностных лиц поль¬ зователей и обслуживающего персонала; режим работы (закрытый или открытый, круглосуточный или с перерывами, оперативный или пакетный); способы и средства загрузки программного обеспечения; описание — • базовые вычислительные средства и их характеристики; • интенсивность отказов входящих технических • показатели качества средств; функционального контроля; Раздел IV. Построение системы обеспечения безопасности информации... 162 план и • те условия размещения технических средств на объек¬ эксплуатации. Перечисленные данные являются параметрами конкретного объекта обеспечения безопасности. Его назначение и выполняе¬ функции дают первое представление о необходимом уровне мые обеспечения безопасности информации (например, для военных целей один уровень, для гражданских — другой и т. д.). Уточ¬ — работы комплекса средств автоматизации обработки информации, а также перечень сведений, подлежа¬ няет эту задачу режим щих защите. Состав и назначение аппаратных средств, структур¬ ная функциональная и обеспечения, схемы, способ загрузки программного план размещения технических средств и другие па¬ раметры дают представление о возможных каналах несанкцио¬ нированного доступа к информации, подлежащей защите. чень возможных ставлен выше. каналов Однако наоборот, некоторые доступа ботки на несанкционированного доступа пред¬ он не является конкретном модели исчерпывающим или, возможные каналы комплексе несанкционированного средств автоматизации обра¬ информации могут отсутствовать. заданной Пере¬ поведения Это нарушителя. зависит также от Перечень сведений, подлежащих защите, состав, количество и виды документов, со¬ держащих эти сведения, дают представление о предмете защиты. Состав и выполняемые пользова¬ функции должностных лиц телей и обслуживающего персонала, структура и состав инфор¬ — мационной базы, операционная базовых чения систему система программного обеспе¬ информационных средств опознания и разграничения позволяют доступа к построить информации, подлежащей защите от преднамеренного несанкционированного доступа. Интенсивность отказов входящих в комплекс техниче¬ средств и показатели качества функционального контроля необходимы для оценки эффективности защиты от случайных ских несанкционированных доступов. План размещения и состав тех¬ нических средств, а также данные о наличии датчиков дают представление о возможности и пов построения темы выборе принци¬ контроля вскрытия аппаратуры и сис¬ контроля доступа в помещения объекта эксплуатации ком¬ плекса средств автоматизации. При плексе ются системы соответствующих создании системы обеспечения безопасности в ком¬ средств автоматизации обработки информации использу¬ также принятые концептуальные основы для построения системы обеспечения безопасности информации. Глава 2. Состав средств и структура системы обеспечения безопасности... 163 В целях наиболее полного представления способов реализа¬ ции системы и средств обеспечения безопасности информации от преднамеренного несанкционированного доступа в комплексе средств автоматизации рассмотрим наиболее сложную ситуацию, когда состав комплекса средств автоматизации содержит по воз¬ можности наиболее полную номенклатуру типовых технических средств и количество возможных каналов го доступа соответствует модели поведения квалифицированного несанкционированно¬ нарушителя-профессионала. При описании системы обеспечения раскрытия безопасности смысла подчинения отдельных в целях средств общей задаче используем метод исследования от общего к частному, для этого приведем сначала описание структуры системы обеспечения безопасности, а затем ее составные части. Глава 2 СОСТАВ СРЕДСТВ И СТРУКТУРА СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОМПЛЕКСЕ СРЕДСТВ АВТОМАТИЗАЦИИ ОБРАБОТКИ ИНФОРМАЦИИ На основе изложенной концепции безопасности средства обеспечения средств автоматизации информации в комплексе обработки информации делятся на средства обеспечения безо¬ пасности информации от преднамеренного несанкционирован¬ ного доступа и от случайного несанкционированного доступа. Средства управления обеспечением безопасности информации от являются несанкционированного доступа объединяющими, дающими возможность с помощью целенаправленных и взаимо¬ увязанных функций в сочетании с наиболее полным возможных каналов несанкционированного доступа охватом объекта от¬ средствами защиты создать законченную и строгую систему защиты в комплексе средств автоматизации (информа¬ ционной системе). Пример структуры такой системы приведен дельными на рис. 1. Обозначения на рисунке: СКДТО СКРДП мещения; — — система система контроля доступа на территорию объекта; контроля и разграничения доступа в по¬ 164 Раздел IV. Построение системы обеспечения безопасности информации... С КЗ криптографической защиты; КПП контрольно-пропускной пункт; СЗИ ПЭМ ИН система защиты информации по каналам система — — — побочного электромагнитного излучения и наводок; СОС СЗИН СШД — — СУОИ охранной сигнализации; средства защиты информации на ее носителях; средства шифрования данных; система — средства уничтожения остатков информации; — САИН — телях; СВПО аутентификации информации на носи¬ средства верификации программного обеспечения; — СВАРК средства средства вывода аппаратуры из — рабочей конфигу¬ рации комплекса средств автоматизации; СЗР средства защиты ресурсов; — СОРДИ формации; СКВА ФЗ — — ПО система опознания и разграничения доступа к ин¬ средства контроля вскрытия аппаратуры; функциональные задачи — программного обеспе¬ чения; ФЗ УЗИ функциональные задачи управления защитой ин¬ — формации; АРМ СБ — автоматизированное рабочее место службы безо¬ пасности; ЖУРД — ТСБИ нкп — — — У КВА ЦСС — — аппаратура регистрации документирования — — средства повышения достоверности информации; — система защиты система СКЦ ПО — информации от аварийных си¬ функционального контроля; средства контроля целостности программного обеспечения; СТР — СЗПП СИФЗ ин¬ устройство контроля вскрытия аппаратуры; СЗИ АС туаций; СФК и цепи сбора сигналов; — СПДИ кодов-паролей; средства защиты кодов паролей; аппаратура записи кодов паролей; носители — СЗКП АЗ КП АРДИ формации; журнал учета и регистрации доступа к информации; технические средства безопасности информации; специальные технические решения; — — средства защиты от переадресации памяти; изоляция функциональных задач. Глава 2. Состав средств и струк а ситемы обеспчния Рис. 1. Структурная схема системы обеспечения безопасности информации в комплексе средств автоматизации ее обработки безопаснти. 165 166 Раздел IV. Построение системы обеспечения безопасности информации... Согласно принятой концепции системы обеспечения безо¬ информации от преднамеренного несанкционирован¬ пасности ного доступа доступа 1-й контур защиты — систему контроля объекта 2-й (СКДТО), территорию контур защиты на систему включают — контроля и разграничения доступа в помещения (СКРДП) и основной контур защиты (ОКЗ). Система контроля доступа на территорию объекта (СКДТО), содержащая систему охранной сигнализации (СОС) и контроль¬ но-пропускные пункты (КПП), служит для ограничения доступа лиц на территорию объекта, а также совместно со специальными аппаратными решениями ных электромагнитных Основной составляет средство защиты от побоч¬ излучений и наводок информации. контур защиты перекрывает каналы доступа по периметру комплекса средств автоматизации обработки инфор¬ Система контроля вскрытия аппаратуры мации. крывает доступ ческим к (СКВА) пере¬ внутреннему монтажу аппаратуры, технологи¬ (включая средства загрузки про¬ кабельным соединителям. Система органам управления граммного обеспечения) опознания и закрывает несанкционированный можность контроля санкционированного доступа и разграничения доступа к информации (СОРДИ) доступ и обеспечивает к воз¬ информа¬ ции законных пользователей и разграничения их полномочий в функциональными обязанностями. Средства вывода аппаратуры из рабочего контура (СВАРК) обмена ин¬ формацией в комплексе средств автоматизации обработки ин¬ формации обеспечивают блокировку несанкционированного доступа к информации, подлежащей защите, при ремонте и профилактике аппаратуры. Средства защиты информации на носителях закрывают несанкционированный доступ к ней при их транспортировке по неохраняемой территории, при съеме соответствии с их носителя В числе с работающей средств по системы созданию для хранения основного или ремонта. контура защиты при¬ средства защиты ресурсов (СЗР) комплекса средств автоматизации обработки информации и организаци¬ меняются онные также меры. исключения Средства защиты ресурсов используются в целях блокировки пользователем-нарушителем работы других пользователей, а также для контроля и ограничения дос¬ тупа пользователей к ресурсам комплекса средств автоматиза¬ обработки информации. Средства защиты информации на носителях (СЗИН) вклю¬ чают средства шифрования данных (СШД), средства уничтожеции Глава 2. Состав средств и структура системы обеспечения безопасности... ния 167 остатков информации (СУОИ), средства аутентификации информации на носителях (САИН), средства верификации про¬ граммного обеспечения (СВ ПО) и организационно-технические мероприятия. Система контроля вскрытия аппаратуры включает контролируемой аппарату¬ ре, цепи сбора сигналов (ЦСС) и устройство контроля вскрытия аппаратуры (УКВА). Система опознания и разграничения доступа к информации содержит терминал службы безопасности информации (ТСБИ), функциональные задачи программного обеспечения (ФЗ ПО) комплекса средств автоматизации обработки информации, реа¬ лизующие на программном уровне идентификацию и аутенти¬ фикацию пользователей, а также разграничение их полномочий по доступу к информации и функциям управления. Кроме того, датчики вскрытия, установленные система опознания и на разграничения доступа к информации мо¬ содержать физические ключи-пароли или специальные кар¬ точки пользователя, имеющие необходимые коды паролей и их жет преобразователи. В целях защиты кодов паролей от несанкцио¬ нированного доступа для них также должны быть предусмотре¬ ны средства защиты (СЗКП). Средства защиты от случайного несанкционированного до¬ ступа включают средства повышения достоверности информа¬ ции (СПДИ) и средства защиты информации от аварийных си¬ туаций (СЗИ АС). Средства повышения достоверности информации содержат систему функционального контроля (СФК), устройство защиты от ошибок в каналах связи (УЗО КС); средства контроля целост¬ ности программного обеспечения (СКЦ ПО) и специальные тех¬ нические решения (СТР). Специальные технические решения закладываются ют на этапе проектирования системы. Они включа¬ средства защиты от переадресации памяти (СЗПП), изоляции функциональных задач (СИФЗ) и другие технические решения, способствующие повышению достоверности обрабатываемой информации в современных информационных системах. Средства управления защитой информации содержат автома¬ тизированное рабочее место службы безопасности (АРМ СБ) ин¬ формации, функциональные задачи программного обеспечения, специально разработанные для выполнения функций управления защитой на программном уровне, включая ведение журнала учета и регистрации доступа к информации, входных и выходных доку¬ ментов (ЖУРД), фактов несанкционированного доступа и т. д., 168 Раздел IV. Построение системы обеспечения безопасности информации... и организационные мероприятия. Автоматизированное рабочее службы безопасности включает терминал безопасности ин¬ формации, входящий в систему опознания и разграничения до¬ ступа, устройство контроля вскрытия аппаратуры, аппаратуру за¬ писи кодов в физические ключи-пароли (АЗКП) или карточки пользователей, необходимое количество ключей-паролей (карто¬ чек) и аппаратуру регистрации и документирования информации (АРДИ). В дополнение к указанным средствам, выполненным на место аппаратном и программном уровнях, в необходимых случаях при¬ меняются организационные меры, содержание которых будет из¬ ложено ниже в отдельном разделе. В данном разделе учебного пособия возможно было бы изло¬ жить темы «Системы охранной сигнализации на территории и в объекта обеспечением безопасности информа¬ ции», а также «Система контроля вскрытия аппаратуры (СКВА)», но по данным темам достаточно много учебных пособий с учетом специфики разделов, производителей аппаратной части и про¬ граммного обеспечения. Авторы посчитали возможным пропус¬ помещениях с тить данные темы. Глава 3 СИСТЕМА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ (СОРДИ) Задачи и общие принципы построения системы опознания и разграничения доступа Основная задача системы опознания и разграничения досту¬ па — это перекрытие несанкционированного и контроль санк¬ информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должност¬ ных лиц пользователей, обслуживающего персонала, просто ционированного доступа к — пользователей. Основной принцип построения допускаются и системы выполняются только такие состоит в том, что обращения к инфор- Глава 3. Система опознания и разграничения доступа к информации 169 мации, в которых содержатся соответствующие признаки разре¬ шенных полномочий. В указанных целях осуществляется идентификация и аутен¬ тификация пользователей, устройств, процессов и т. д., деление информации и функций ее обработки, установка и ввод полно¬ мочий. Деление информации и функций ее обработки обычно про¬ изводится по следующим признакам: • по степени • степени • выполняемым • наименованию документов; • видам документов; • видам данных; • наименованию томов, • имени • функциям обработки информации: секретности; функциям пользователей, устройств; файлов, массивов, записей; пользователя; — чтению; — записи; — важности; исполнению по областям оперативной и долговременной памяти; • времени дня. Выбор конкретных признаков деления и их сочетаний про¬ изводится в соответствии с техническим заданием при проекти¬ ровании программного обеспечения информационной системы. Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. Защита в этом случае сводится к тому, доступ к информационному объекту осуществляется через единственный охраняемый проход. В функцию «охраны» входят что опознание пользователя по коду предъявленного пароля и при положительном результате проверки допуск его к информации в соответствии с выделенными ему полномочиями. выполняются при каждом обращении даче команд и т. д. Эти процедуры пользователя: запросе, вы¬ Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом но¬ сителе (ключе, карте), который перед входом в информационную систему должен вставляться пользователем в специальное гнездо в терминале. Если же требования к защите информации для кон¬ кретной системы позволяют применение набора пароля вручную, 170 Раздел IV. Построение системы обеспечения безопасности информации... Рис. 1. Алгоритм контроля и управления разграничением доступа к информации: УНДЛ — условный номер должностного лица; КП ключ-пароль; ТКП АРМ службы безопасности лица КП; АРМ СБ — — — таб¬ Глава 3. Система опознания и разграничения доступа к информации необходимо сделать так, чтобы предъявляемый пароль при 171 по¬ вторных обращениях в процессе работы с информацией находил¬ ся в памяти данного терминала. Хранение в центральном вы¬ обеспечении его связки с допускается только при условным номером данного терминала, т. е. все последующие об¬ числителе ращения в вычислителе центральном должны приниматься на обработку только с условным номером терминала, с которого предъявлялся хранимый код пароля. По окончании работы для исключения стороны возможности несанкционированного пользователей посторонних необходимо доступа с со терминала которой предъявленный ранее и хранимый пароль стирается. О факте стирания на терми¬ ввести соответствующую команду, по сообщение. Для проверки последней нал должно быть выдано операции полезно повторить одно из предыдущих обращений без пароля и убедиться по отрицательной реакции информационной системы, что обращение в обработку не принимается. Типовой пример алгоритма контроля и управления разграни¬ чением доступа приведен на рис. I. Разграничение полномочий пользователей Для реализации указанной процедуры в защищенной области информационной системы хранятся таблицы полномо¬ чий, которые содержат профили полномочий каждого пользова¬ теля, терминала, процедуры, процесса и т. д. Эти профили уста¬ памяти навливаются в системе ванной программы и с помощью их можно специальной привилегиро¬ представить в виде матрицы установления полномочий. Каждый элемент А^- в матрице установления полномочий определяет права доступа /-го пользователя ку-му элементу дан¬ ных. Типичный пример такой матрицы табл. I, где определен¬ — ным терминалам пользователей разрешается доступ к определен¬ ным элементам данных. Здесь «01» означает право ЧИТАТЬ и право ЗАПИСАТЬ; «00» в /-й строке иу-м столбце означа¬ ет, что терминалу из /-й строки запрещены все виды доступа к «10» — элементу данных, описанному ву-м столбце, и «11» означает, что с терминала можно как читать, так и записывать элемент данных. Если дается разрешение на выполнение затребованного дей¬ ствия, это означает, что объект, осуществляющий запрос, имеет необходимые полномочия по отношению к этому элементу дан- Раздел IV. Построение системы обеспечения безопасности информации... 172 ных. Наличие же самого разрешения на доступ зависит от торов, заложенных пользователя на в программе разграничения доступ, прав терминала на доступа: доступ, фак¬ прав требуемого действия, самого элемента информации, значения элемента ин¬ формации, или, например, времени дня, согласования или санк¬ руководства. ции Таблица 1. Матрица установления полномочий Место расположе¬ Имя Адрес служа¬ щего служа¬ щего Отдел кадров 11 Касса ния терминала Регистраци¬ онный номер Регистраци¬ онный номер в фонде со¬ Квали¬ фикация Данные об ок¬ Прогноз объема служа¬ щего ладе продаж Цены на закупки служащего циального обеспечения 11 11 10 11 11 00 00 01 00 01 01 00 11 00 00 Отдел сбыта 00 00 00 00 01 00 11 01 Отдел матери¬ 00 00 00 00 00 00 00 11 00 00 01 00 01 00 00 01 ально-техниче¬ ского снаб¬ жения Исследователь¬ ский отдел Дополнительно к правам ЧТЕНИЕ и ЗАПИСЬ существуют и другие общие типы прав: • ИСПОЛНЕНИЕ (исполнить процедуру, когда элементом информации является процедура); • УДАЛЕНИЕ (удалить элемент информации из информаци¬ онной базы или данных); ПРИСОЕДИНЕНИЕ (добавить что-либо к концу элемен¬ та информации без изменения его первоначального содер¬ жания). Элементы матрицы установления полномочий в этом случае содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу информа¬ ции. Однако если это требуется, элементы матрицы могут содер¬ • указатель на соответствующие процедуры. Эти процедуры исполняются при каждой попытке доступа с данного терминала жать и Глава 3. Система опознания и разграничения доступа к информации 173 информации и могут ограничивать доступ к информации в зависимости от определенных условий. Приведем несколько примеров: 1) решение о доступе зависит от предыстории. Пользова¬ тель А может записывать данные в файл Г только в том случае, если он не читал файл О; 2) решение о доступе основывается на динамическом состоя¬ нии системы. Пользователь В может открыть файл //только в то время, когда информационная база или база данных, в которой размещен файл, находится в открытом состоянии; 3) решение о доступе основывается на текущем содержании информации. Данному пользователю может быть не разрешено читать поле зарплаты, величина которой превышает 20 000 дол¬ к заданному элементу ларов; 4) решение о доступе основывается на значении определен¬ ных внутрисистемных переменных. Доступ может быть осущест¬ влен пользователями мя с данной группы только в определенное вре¬ 7 до 19 ч, исключая работу со специального терминала. При необходимости эти процедуры можно сделать взаимо¬ действующими. Для входа в таблицу полномочий требуется специальная таб¬ лица паролей, которая должна содержать список пользователей, процессов, процедур и т. д., обладающих правом доступа к ин¬ формации. Ниже приведен пример такой таблицы (табл. 2). Таблица 2. Таблица кодов паролей Учетный Имя пользователя, номер процесса Принадлежность Код пароля Условный номер терминала 001 Петров Иван Сидорович Отдел связи 01324647 сю 002 Сидорова Ангелина Даниловна Отдел кадров 12345678 К 20 003 Петухова Мария Игоревна Бухгалтерия 0321687 Б 30 004 Васильев Назар Никанорович Отдел информаци¬ 5417218 И 33 онных технологий Предложенные формы таблиц могут быть усовершенствова¬ ны или изменены в конкретной информационной системе. 174 Раздел IV. Построение системы обеспечения безопасности информации... В реальных ситуациях обработки данных число строк матри¬ цы полномочий может быть весьма значительным, а число эле¬ ментов данных чрезвычайно большим. Матрица установления полномочий обычно может быть сжата до приемлемых размеров путем использования некоторых или всех следующих методов: 1) установление групп «виртуальных» пользователей, каждая из которых представляет собой группу пользователей («клик») с идентичными полномочиями с точки зрения безопасности; в дейст¬ 2) установление групп «виртуальных» терминалов — вительности распределение терминалов по классам; 3) группировка элементов данных в некоторое число катего¬ рий с точки зрения безопасности данных. Разработаны средства управления доступом в системе управ¬ ления реляционной базой данных и применяемые в информаци¬ онных системах, позволяющие пользователю видеть только его собственный авторизованный разрез базы данных (рис. 2). Рис. 2. Автоматическая Эта схема не модификация запроса требует никакой сложной защиты со стороны операционной системы или аппаратных средств. Она естествен¬ ным образом получается из модели реляционной базы данных и просто позволяет принимать решения, независимые от содержания данных. довольно зависимые и Спецификации безопасности 5(Л), связанные с запросом К, К вводятся в запрос в форме нового запроса ^ 5(П). Запрос ТУ = является тем система или запросом, база данных. с которым работает информационная Глава 3. Система опознания и разграничения доступа к информации В качестве примера допустим, что сотрудник 175 бухгалтерии С1 щих, право на доступ к данным о заработной плате всех служа¬ кроме сотрудников бухгалтерии. Если он представит за¬ прос: НАЙТИ имеет (ИМЯ = НАЙТИ ПОЛЕ ЗАРПЛАТА ДЛЯ ВСЕХ ЗАПИСЕЙ С АНДРЕЙ), то запрос будет автоматически изменен на: ЗАПИСЕЙ С (ИМЯ АНДРЕЙ) И (ПОДРАЗДЕЛЕНИЕ^ БУХГАЛТЕРИЯ). В ре¬ зультате будут найдены только заработные платы Андреев, рабо¬ тающих во всех подразделениях, кроме бухгалтерии. Таким образом, при создании системы опознания и разгра¬ ничения доступа к информации в информационной системе ре¬ ПОЛЕ ЗАРПЛАТА ДЛЯ ВСЕХ = = шаются • следующие задачи: деление информации в соответствии с требованиями по разграничению доступа; • • информации в разделенных облас¬ тях оперативной и долговременной памяти в соответствии размещение элементов с заданным разграничением доступа; разработка, разделение и распределение функциональных задач прикладного программного обеспечения в соответст¬ вии с заданным разграничением доступа; • специальной разработка опознания и привилегированной контроля доступа к программы информации ограничен¬ ного пользования. Кроме перечисленных, в компьютер добавляются аппаратные и программные средства изоляции пользователей друг от друга и операционной системы. Эти средства осуществляют эффек¬ тивный контроль каждой выборки или посылки на хранение, ко¬ торые пытается сделать компьютер. Для этой цели на аппаратном от уровне используются специальные регистры границ памяти, зам¬ ки памяти и ключи, сегментация, дескрипторы, «кольца» изоля¬ ции и дание другие методы. На программном уровне используется соз¬ мониторов виртуальной системы со списками машины, мандатные системы, допуска к информации и т. п. методы. Выбор метода изоляции определяется требованиями к уров¬ ню защиты информации и техническими возможностями проек¬ тируемой системы, связанными с обеспечением заданных веро¬ ятностно-временных характеристик. С позиций излагаемой в пособии концепции построения защиты следует отметить, что методы изоляции решают задачу защиты случайных воздействий. информации только от Раздел IV. Построение системы обеспечения безопасности информации... 176 Средства контроля и управления доступом К системе опознания и разграничения доступа относятся: специальное программное обеспечение по управлению доступом, терминал службы безопасности информации (ТСБИ), с которого централизованное управление доступом, ком¬ плект физических носителей кодов паролей магнитных карт, осуществляется — пропусков, кредитных карточек и т. д., а также аппаратура запи¬ си кодов паролей (АЗКП) на эти носители. Необходимой состав¬ ной частью системы опознания и разграничения доступом к ин¬ формации должны быть также средства защиты кодов паролей (СЗКП). Учитывая накопленный опыт, рекомендуется действи¬ тельные значения кодов паролей в информационной системе не хранить. В информационной системе хранятся только значения паролей, преобразованных с помощью криптографических мето¬ Подобный метод обеспечивает высокий уровень защиты ко¬ дов. дов паролей и, следовательно, малую вероятность обхода защиты. На эффективность работы ния доступом • • к информации системы опознания и разграниче¬ влияют: выбор параметров паролей; метод защиты кодов паролей, хранимых в информацион¬ ной системе; • метод запоминания и хранения кодов вателя вне • паролей для пользо¬ информационной системы; организация контроля ции и средствам ее и информа¬ информационной системе. управления доступом обработки в к Выбор паролей (кодов паролей) Объектом аутентификации может быть некоторый объем зна¬ ний человека. В случае ввода кода пароля пользователем вручную с клавиатуры терминала идентификатор физически неотделим от человека, но способности человека по запоминанию ограничены, информации он стремится записать ее на листке бумаги, который может быть легко утерян или похи¬ щен. При выборе пароля естественно возникает вопрос, каким и при увеличении объема должен быть его размер и стойкость к несанкционированному подбору? Какие существуют способы его применения? Чем больше длина пароля, большую безопасность будет обеспечивать система, так как потребуются большие усилия для тем Глава 3. Система опознания и разграничения доступа к информации Это обстоятельство его отгадывания. можно минах представить ожидаемого времени раскрытия пароля безопасного времени. Ожидаемое безопасное время (77) — или 177 в тер¬ ожидаемого полупроизведение числа паролей и времени, требуемого для того, чтобы по¬ пробовать каждый пароль из последовательности запросов. Пред¬ ставим это в виде формулы возможных (I) где Г — Е/ Р\ Я требуемое на попытку введения пароля, равное скорость передачи (символы/мин) в линии связи; Е время, — — число символов чить передаваемом сообщении при доступ (включая пароль пароля; А ся в — число символов в пароль (т. е. 26, 36 и т. д.). Например, при /? даемое и = попытке 8 полу¬ служебные символы); алфавите, из которых составляет¬ 600 симв./мин Е=6, 8=6 и А = — 26 длина ожи¬ безопасное время 776 Л[266 600 ) — = 92 674 734 « 107 дней. Если после каждой неудачной попытки подбора автоматиче¬ ски предусматривается десятисекундная задержка, то безопасное время резко увеличивается. Если в дополнение к К, Е, М и А примем, что Р мая вероятность того, что — задавае¬ соответствующий пароль может быть раскрыт посторонним лицом, и Л/ период времени, в течение которого могут быть предприняты эти попытки (в месяцах при — работе 24 ч/день), то получим формулу Андерсона: 432х104^</. (2) Если К, Е, М и А фиксированы, то каждое значение (длина пароля) будет давать различную вероятность Р правильного его отгадывания. Если мы хотим построить систему, где незаконный пользователь имел бы вероятность отгадывания правильного па¬ большую, чем Р, то нам следует выбрать такое 8, кото¬ рое удовлетворяло бы выражению (2). Допустим, что мы хотим, используя стандартный английский алфавит, установить такой пароль, чтобы вероятность его отгароля не 178 Раздел IV. Построение системы обеспечения безопасности информации... дывания была не более 0,001 после трехмесячного систематиче¬ ского тестирования. Допустим, что скорость передачи по линии связи 600 симв./мин и что за одну попытку посылается 20 сим¬ волов. Используя соотношение (2), получаем: — 20 5 •4,32 104 -3 103 < 26 или 3,888 -109 < 265. • • Для 5= 6 265 = 5= 7 265 = 3,089 -108, т. е. меньше 3,888 -109; 8,03 109, т. е. больше 3,888 109. ■ • Следовательно, при данных обстоятельствах нам следует вы¬ бирать 8 7.> Нетрудно заметить, что в выражениях (1) и (2) величина 8 = является показателем возведения в степень и, следовательно, безопасное время и вероятность раскрытия пароля. Так, если безопасное время для трехсимволь¬ оказывает большое ного пароля, влияние на выбранного из 26-символьного алфавита, составит 3 месяца, то для четырехсимвольного — 65 лет. Прогресс в соз¬ быстрых и производительных компьютеров (которые мо¬ гут использоваться не только для работы с информацией, но и для взлома паролей) сильно изменяет приведенные примерные дании расчеты. Выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базы и быстро¬ действия. В настоящее время широко применяются многосим¬ вольные пароли, где 8> 10. В связи с этим возникают вопросы: аутентификацией лич¬ ности пользователя? На эти вопросы отвечает комбинированная система паролей, в которой код пароля состоит из двух частей. как и где его хранить и как связать его с Первая часть состоит из 3—4 десятичных знаков, если код циф¬ ровой, и более 3—4, если код буквенный, которые легко могут быть запомнены человеком. Вторая часть содержит количество требованиями к защите и возможностями технической реализации системы, она помещается на физиче¬ знаков, определяемое ский носитель и определяет ключ-пароль, расчет длины кода ко¬ торого ведется по указанной выше методике. В этом случае часть пароля будет недоступна для нарушителя. При расчете длины кода пароля, однако, не следует забывать о том, что при увеличении длины пароля риодичность его смены на новые нельзя значения увеличивать пе¬ более 1 года. Коды Глава 3. Система опознания и разграничения доступа к информации 179 паролей необходимо менять обязательно, так как за большой пе¬ риод времени прямого увеличивается их вероятность перехвата путем хищения носителя, снятия его копии, принуждения че¬ Выбор периодичности необходимо определять из кон¬ кретных условий работы системы, но не реже 1 раза в год. При¬ чем дата замены и периодичность должны носить случайный ха¬ ловека. рактер. Некоторые изменения в схеме применения простого пароля создают большую степень безопасности. Например, при обраще¬ нии пользователя к символы дельные системе у могут быть запрошены от¬ выбору компьютером. В схеме него из пароля по использования пароля однократного пользователю выдается ^ паролей. Такие же пароли хранятся в компьютере (конечно, в зашифрованном виде). После использования 1-го по список из списку пароля в следующий раз должен быть применен 2-й па¬ роль, так как 1-й пароль в памяти компьютера стирается, Этот способ и т. д. удобен. Он ис¬ пользуется при относительно редких обращениях или передаче специальной информации. Пароли однократного использования могут применяться так¬ же для проверки подлинности сообщения об окончании обслужи¬ вания пользователя или завершении его работы на компьютере. В этом эффективен, но не всегда случае уменьшается вероятность использования системы опытным ложное весьма нарушителем, который может послать сообщение об отключении компьютера пользователю и продолжать с ней работу от его имени. Схема применения паролей имеет следующие недостатки: • пользователь список • в если пользователь если или иметь ошибка встречается оказывается в в процессе затруднительном себе весь передачи, положении: следующий; пароли передаются с пароли были получены из линейной однократного использования терминалов, а сами последовательности псевдослучайных они при знает, следует ли ему передать тот же самый пароль или послать • помнить использования паролей и следить за текущим паролем; случае он не должен однократного чисел %„ X, ..., Хк, могут быть перехвачены определенными ловушками. В качестве пароля может быть использован набор ответов на т стандартных и п ориентированных на пользователя Метод называется «запрос—ответ». Когда вопросов. пользователь делает 180 Раздел IV. Построение системы обеспечения безопасности информации... попытку включиться в работу, операционная система информа¬ ционной системы случайным образом выбирает и задает ему не¬ (или все) из этих вопросов. Пользователь должен дать правильный ответ на все вопросы, чтобы получить разрешение которые доступ к информации. Вопросы при этом выбираются такие, чтобы ответы были легко запоминаемы. Возможны варианты на данного метода. Защита кодов паролей от несанкционированного доступа работают лишь тогда, когда действительные значения кода паролей недоступны Средства разграничения и контроля доступа посторонним лицам. Во избежание компрометации кодов паролей их тоже необхо¬ димо защищать от несанкционированного доступа. Компромета¬ ция паролей может произойти при следующих обстоятельствах: случайном высвечивании или распечатке паролей в при¬ • сутствии посторонних лиц; • информации в запоминающих устройст¬ вах во время профилактики и ремонта технических средств анализе остатков комплекса • отказах ния средств автоматизации обработки информации; аппаратуры, приводящих к невозможности стира¬ секретной информации; • наличии возможности • обслуживающего персонала; прямом хищении носителей кодов паролей; аварийных ситуациях, приводящих к невозможности кон¬ доступа к паролям со стороны тех¬ нического • информации и средствам сс обработки; умышленном считывании паролей при доступе через сеть и троля доступа к • использовании специального программного обеспечения. В этой связи перечислим основные меры предосторожности, рекомендуемые для защиты кодов паролей: 1) пароли никогда системе в явном 2) пароли не виде, не следует хранить они всегда должны следует печатать в информационной быть зашифрованы; (отображать) в явном виде на терминале пользователя (за исключением терминала оператора службы безопасности информации, который должен находиться в изолированном помещении). В системах, где характеристики Глава 3. Система опознания и разграничения доступа к информации 181 терминалов не позволяют это сделать, пароль печатается на мас¬ ку, закрывающую его значение; 3) чем больший период времени используется один и тот же пароль, тем больше вероятность его раскрытия. Следовательно, его надо менять как можно чаще и по случайному закону; 4) система никогда не должна вырабатывать новый пароль в конце сеанса связи даже в зашифрованном виде, так как это по¬ зволит нарушителю легко им воспользоваться. Для закрытия кодов паролей можно использовать методы не¬ обратимого шифрования или более сложный метод «необрати¬ мой беспорядочной сборки», когда пароли с помощью специаль¬ ного полинома преобразуются в зашифрованный пароль. В этом не случае существует никакой При налу пароля. ному закону во схемы для возвращения преобразует вводе пароля система время процесса регистрации и к ориги¬ его по дан¬ сверяет результат преобразованным ранее паролем, хранящимся в системе. При¬ мером такого преобразования может быть полиномиальное с представление: /(х) (х" + а,!"1 + а2х2 + а3х2 + а4х + а5) той р, любое произвольное 59; л 224 + 17; л, 224 + 3; а, 19-разрядное число (/= 1, 2, 3, 4, 5); х пароль в явной форме; зашифрованный пароль. Более детально выбор полино¬ /(х) где р 2м = = = - = — — — мов рассмотрен в специальной литературе. Однако при выборе данного метода следует защититься от обхода путем перебора значений пароля. В пер¬ вую очередь обязателен контроль несовпадений, который состоит возможного его несовпадений, например, более трех, должен вырабатываться сигнал тревожной сигнализации и блоки¬ в том, что количестве при ровки обращения с указанием времени и места события. В ответ¬ ственных случаях рекомендуется также введение временной за¬ держки на выдачу результата совпадения введенного и хранимого паролей для того, чтобы увеличить ожидаемое время раскрытия пароля. Возможен и другой способ защиты паролей, использующих метод гаммирования (наложения) при наличии в компьютере (комплексе средств автоматизации обработки информации) по меньшей мере двух (не считая ленных областей памяти. резервных) конструктивно разде¬ 182 Раздел IV. Построение системы обеспечения безопасности информации... Х}, X, щие защите, а через К{, К2, Кп Если обозначить через Хп коды паролей, подлежа¬ ..., — ..., соответствующие коды закрытия, то, используя метод гаммирования, закрытые чисел значения кодов паролей Ух, У2, ..., их можно получить Уп путем сложения Хи А'по шод 2: *, ©К, ^2 © К2 = Уу, = У2; ©^ =У,. Значения К и памяти, тер У хранятся а значения кода пароля в компьютере X не хранятся. от пользователя в разных областях При поступлении в компью¬ производится сложение по той 2 его значений с соответствующим кодом закрытия «К». Ре¬ зультат сложения проверяется на совпадение с хранимым значе¬ нием У Смысл защиты заключается в раздельном хранении зна¬ чений Ки У (так как К ® У = X), доступ к которым должен быть открыт только программе опознания пользователей и программе ввода их значений. Последняя должна работать только на опера¬ безопасности, у которого должен быть свой пароль из числа тех же паролей, но со своим идентификатором. Значе¬ ние его идентификатора можно также сделать переменным. При вводе новых паролей оператор службы безопасности выбирает случайные значения паролей и кодов их закрытия. Любая система защиты паролей сохраняет свою силу лишь при обязательном наличии контроля службой безопасности до¬ тора службы ступа к программе защиты как со стороны штатных средств ком¬ плекса средств автоматизации обработки информации, так и по¬ сторонних. Защита от подбора пароля также необходима, как и в первом случае. Для повышения степени защиты кодов паролей в компьюте¬ ре можно применить на программном уровне метод генератора псевдослучайных чисел, позволяющий из одного числа получить группу чисел, которые можно использовать в качестве кодов за¬ крытия. При этом первое число, называемое главным паролем, мо¬ жет на время работы храниться в памяти терминала службы в опера¬ безопасности, а выбранные из него коды закрытия — тивном запоминающем зации устройстве комплекса средств автомати¬ обработки информационной системы. В случае ремонта Глава 3. Система опознания и разграничения доступа к информации оперативного для устройства значения паролей и новыми. Данная мера необходима запоминающего закрытия кодов 183 заменяются исключения несанкционированного доступа к паролям на содержания значений Л" и У в остатках информации в случай устройстве. Поэтому съем опера¬ устройства должен производиться с оперативном запоминающем тивного запоминающего службы безопасности. Необходимо отметить, что благодаря прогрессу в электронной технике, разработке и удешевлении больших интегральных схем разрешения и реализации на них не только процессоров, и микросхем памяти описанные операции сильно упрощаются. Возможны и другие методы защиты кодов паролей. Выбор криптографического метода для но и конкретной контроллеров, системы должен быть обязательно проверен специалистами по криптографии. Наиболее эффективной защитой пароля от несанкциониро¬ ванного перехвата считается разделение его на две части: одну для запоминания пользователем, вторую циальном носителе. — — для хранения на спе¬ В этом случае при утере или хищении носи¬ пароля у пользователя будет время заявить об этом службе безопасности информации, а эта служба успеет изменить пароль. теля Принципы построения носителей кодов паролей В настоящее кодов время существует много различных носителей паролей. Такими носителями могут быть пропуска в кон¬ трольно-пропускных системах, кредитные карточки для иденти¬ фикации личности или подлинников документов и т. п. Выбор того или иного носителя определяется требованиями к автома¬ тизированной системе, ее назначению, режиму использования, степени защиты мости т. и д. информации, количеству пользователей, стои¬ Рассмотрим некоторые из них, получившие наи¬ большее распространение. Применяемые носители кодов паролей (НКП) можно разде¬ лить на контактные, бесконтактные и смешанного типа. Каж¬ дый вид носителя обладает своими достоинствами и недостатка¬ ми. При частом применении контактных носителей кодов паро¬ (стыковке и расстыковке с ответной частью) предъявляются высокие требования к качеству контактной поверхности и меха¬ лей нической прочности эти контактов. характеристики ухудшаются. С увеличением числа контактов Раздел IV. Построение системы обеспечения безопасности информации... 184 Еще недавно существенную роль в выборе конструкции но¬ сителей кодов и паролей играл объем записываемой информации физический процесс записи информации в носитель. Бескон¬ могут быть простыми, а аппаратура записи или применяемое для этой цели оборудование относительно сложным и дорогим, объем записываемой информации неболь¬ тактные носители — шой. Простые носители часто не отвечают требованиям защиты от компрометации, которые в последнее время существенно воз¬ росли. Развитие технологии лило изготовления элементов памяти позво¬ получить перепрограммируемые полупроводниковые энер¬ устройства с достаточно большим гонезависимые запоминающие объемом памяти, что почти решило проблему создания носителей паролей широкого применения с высокими показателями. Возможно применение и других типов носителей кодов паролей. В качестве носителей кодов паролей целесообразно применять более дешевые и унифицированные серийные аппаратные сред¬ ства. При этом необходимо принимать во внимание не только кодов стоимость самого носителя, но и стоимость аппаратуры записи информации на него, а также стоимость терминалов, для которых он предназначен, т. е. стоимость всего комплекса технических средств. При выборе типа носителя существенную роль также иг¬ рает количество пользователей, режим работы, назначение и сро¬ ки эксплуатации информационной системы. Основная функция, которую носитель кодов паролей выполняет, хранение кода па¬ роля его предъявителя. В этом смысле содержание записанной в — информации от владельца скрывать не стоит. Однако слиш¬ ком очевидная и легко читаемая информация может быть доступ¬ нем посторонних лиц. В ответственных системах может по¬ требоваться защита кода пароля от компрометации. Большей на и для стойкостью к компрометации обладают носители, требующие для информации специальной аппаратуры. Логично ут¬ верждать, что стойкость носителя кодов паролей к компромета¬ ции тем выше, чем сложнее аппаратура считывания информации. Этим требованиям наиболее полно отвечают запоминающие устройства постоянной памяти. Процесс усложнения несанкцио¬ нированного считывания информации далее идет по пути приме¬ нения криптографических методов, когда на носители кодов па¬ ролей, кроме памяти, помещаются защитные схемы и преобразо¬ ватели, нс позволяющие считать информацию с носителя кодов паролей без дополнительных специальных, периодически замесчитывания Глава 3. Система опознания и разграничения доступа к информации 185 При этом следует иметь в виду, что непосредственное шифрование только кода пароля его стойкость няемых парольных процедур. компрометации не увеличит, так как по сути паролем становит¬ ся результат преобразования, а он остается легкодоступным. По¬ к этому подделка и фальсификация носителя кодов паролей долж¬ ны быть существенно затруднены. С переходом на «электронные деньги» потребовалось созда¬ ние носителей кодов паролей массового применения (кредитных карточек), надежных и удобных в обращении, с высокой досто¬ верностью хранения и стойкостью к компрометации инфор¬ мации. При выборе и создании носителей кодов паролей для проек¬ тируемой системы следует учитывать следующие требования: количество пользователей; • • характер и стоимость защищаемой информации; • необходимость кость к в защите пароля от пользователя и стой¬ компрометации паролей; многократной записи информации; • возможность • объем записываемой в носитель информации; • стойкость к подделке и фальсификации носителя с паролем; • устойчивость к климатическим, • время хранения записанной вания • • внешним магнитным воздействиям, полям, свету и механическим, др.; информации; скорость считы¬ информации; периодичность повторной записи информации в носитель; условия и способ хранения носителя у пользователя; мозаменяемость конструкции носителя; взаи¬ габариты и вес но¬ сителя; • конструкцию и принцип работы ответной части устройства считывания • пароля с носителя; согласование ле с содержания и объема информации на носите¬ идеологией применения кодов паролей в системе опо¬ знания и разграничения доступа; • надежность хранения • срок службы; • стоимость информации и функционирования; работ, связанных с изготовлением и эксплуата¬ цией носителей. Влияние перечисленных требований на выбор конструкции паролей и системы их применения выражается следующим образом. При большом количестве пользователей увеличивается вероятность потери, хищения, фальсификации носителя кодов Раздел IV. Построение системы обеспечения безопасности информации... 186 носителя и компрометации кода пароля. Характер и высокая стоимость защищаемой информации могут быть привлекатель¬ ными для нарушителя. Защита кода пароля от пользователя вряд ли целесообразна при невысоких стоимости и важности инфор¬ мации, так как пароль является его идентификатором, и носи¬ тель выполняет Возможность в вспомогательную роль многократной записи в запоминании носитель позволяет использовать одни и те же носители выполняемой кодов пароля. паролей при замене кодов эффек¬ тивности защиты информации в системе, что может потребовать наличия у владельца комплекса средств автоматизации обработ¬ ки информации соответствующей аппаратуры записи. Использо¬ вание носителей с готовой записью кодов, произведенной на за¬ воде-изготовителе, требует соблюдения некоторых условий: записи кодов паролей в виде случайных чисел; изготовления носителей кодов паролей с разными значе¬ ниями паролей в количестве, превышающем количество паролей, в интересах сохранения уровня • • пользователей, и с учетом периодичности замены и выпол¬ нения требуемой стойкости к подбору паролей; соблюдение при записи и поставке носителей кодов паро¬ • лей режима секретности. Однако, принимая во внимание один из принципов построе¬ ния защиты (исходить из наихудших условий), следует считать, что записанные на заводе значения паролей независимо от гри¬ фа секретности будут храниться постоянно и, следовательно, мо¬ гут быть известны нарушителю. Случайный характер значений паролей в данном случае те¬ ряет свой смысл, а стойкость к подбору пароля с первой попыт¬ ки будет равна Р= 1/М где /V — количество записанных паролей. По этой причине за¬ паролей на заводе менее предпочтительна. Объем записываемой в носитель информации определяется пись исходя из длины ностей носителя записываемого по пароля и технических возмож¬ выбранной технологии записи информации. Ранее уже отмечалось, что чем длиннее пароль, тем выше его стойкость к подбору. Стойкость компрометации пароля и фаль¬ сификации носителя нужна только для особых систем, связан¬ ных с большим риском потери или искажения ценной информа¬ ции, и должна быть такой, чтобы стоимость работ нарушителя Глава 3. Система опознания и разграничения доступа к информации по вскрытию пароля или 187 фальсификации носителя кодов паро¬ лей превышала его материальную выгоду от несанкционирован¬ ного доступа. Другим критерием оценки стойкости к компрометации паро¬ ля и фальсификации носителя может быть сравнение ожидаемо¬ времени, затрачиваемого потенциальным нарушителем на не¬ санкционированный доступ, и времени действия данного пароля го в информационной системе, т. е. периода его замены. Если пер¬ превышает второе, стойкость обеспечена. вое Время надежного хранения паролей в носителе кодов паро¬ лей должно быть не меньше периода замены паролей в информа¬ ционной системе на новые, а скорость считывания информации с него должна удовлетворять требованиям быстродействия ин¬ формационной системы, в которой применяется данный носи¬ тель кодов паролей. Периодичность повторной замены информа¬ ции в носителе связана с его техническими возможностями по информации. Условия и способ хранения но¬ сителя у пользователя связаны с назначением информационной системы, с габаритом и весом носителя, его конструкцией, кото¬ времени хранения быть минимальными, желательно в виде плоской карточки, помещающейся в кармане одежды пользователя. Взаи¬ должны рые мозаменяемость конструкции носителя необходима для обеспе¬ чения его работы на ответных частях всех терминалов данной ин¬ формационной системы. Содержание и объем паролей и служеб¬ ной части информации носителей кодов паролей должны строго соответствовать идеологии применения знания лей, и если разграничения доступа, таковые применены, так паролей в системе опо¬ как являются носители кодов неотъемлемой паро¬ ее ча¬ разработанной по единому техническому заданию. Перечисленные требования говорят о том, что создание но¬ стью, сителей кодов паролей — проблема комплексная. Решению об предшествовать глубокая и всесторонняя оценка всех взаимосвязанных вопросов, в первую очередь ха¬ их создании должна рактера и стоимости защищаемой информации, затрат на созда¬ ние и применение носителей кодов паролей и аппаратуры запи¬ си для них. Важную роль при применении носителей кодов паролей на практике играет вопрос синхронизации записи паролей на носи¬ тели кодов паролей и ввод их значений в компьютер. При зна¬ чительном количестве пользователей возникает увеличении объемов этих необходимость в работ. Однако не следует торопиться 188 Раздел IV. Построение системы обеспечения безопасности информации... автоматизировать этот процесс путем совмещения ввода паролей в компьютер так как может это и записи их значений на носитель кодов паролей, потребует разработки специальной аппаратуры, что усложнить техническую задачу и увеличит расходы. При сохранении раздельной записи большой объем работ действительно будет, но только при первоначальной загрузке ин¬ формационной системы. Необходимая в процессе эксплуатации системы замена паролей может производиться в течение долгого времени по группам паролей без ущерба уровню безопасности. Для этого в таблице кодов паролей на переходный период (на¬ пример, в течение суток) могут храниться одновременно старое и новое значения После выдачи пользователю носителя пароля. кодов паролей с новым значением пароля старое значение стира¬ При этом надо еще принять во внимание психологический аспект в работе службы безопасности, выполняющей эту работу. Напомним, что ее функции в основном контрольные и сводятся к наблюдению, т. е. пассивной роли, которая на практике приту¬ ется. пляет бдительность и внимание. Живая и активная деятельность повышает эффективность работы исполнителей. Для защиты носителей кодов паролей от потери можно снаб¬ дить его простым механическим креплением. Все рассмотренные системы (и в особенности те из них, в ко¬ торых кодовые карты снабжены магнитными элементами) не требуют точной установки кодовой карты вследствие относитель¬ но больших размеров обнаруживаемых элементов или относи¬ тельно большой величины магнитного поля, благодаря этому проблема совмещения не является в этом случае очень критич¬ ной. В них не предусмотрено средство фиксации кодовой карты для ее точной установки, а также отсутствуют схемные средства обнаружения фальсифицированного кода или защиты от попы¬ ток привести устройство в действие с помощью примитивной на¬ магниченной или ненамагниченной металлической пластинки. Для решения подобных проблем существует масса конструк¬ ций и устройств, но их описание выходит за рамки данного учебного пособия. Отметим, что все большее значение на рынке подобных средств находят смарт-карты Сыпай интеллектуальная), кото¬ — рые сейчас широко применяются, в том числе и как карта досту¬ па, идентификации и аутентификации. Наиболее и т. п. известные из них — карты банкоматов, кредитки Глава 4. Обеспечение безопасности информации и ПО... 189 Глава 4 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ОТ ПРЕДНАМЕРЕННОГО НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (ПНСД) ПРИ ВВОДЕ, ВЫВОДЕ И ТРАНСПОРТИРОВКЕ Практика показывает, что наиболее слабым местом с пози¬ ций несанкционированного доступа информационных систе¬ мах являются каналы доступа к информации и программному обеспечению (вирусные атаки) и в частности, средств загрузки как при начале работы, так и в процессе эксплуатации. Это объ¬ в наиболее активным участием в процессе человека. ясняется Отметим, что защита программного обеспечения на предмет авторского права не является задачей данного учебного пособия. Поэтому средства защиты от несанкционированного копирова¬ ния (ИСК), направленные на решение этой задачи, не входят в систему безопасности информационной системы. К средствам, с помощью которых производятся процессы ввода и транспортировки информации, относятся носители про¬ граммного обеспечения и информации. На одних носителях мо¬ жет находиться операционная система информационного ком¬ плекса, отдельные сервисные программы, на других приклад¬ ные программы, информационные базы и базы данных и т. д. — Потенциальные угрозы в этом случае необходимо рассматривать такие, возможны которые обеспечения, на транспортировке этапе создания носителя на программного объект эксплуата¬ информации на другой носитель, хранении и возможной его транспортировке на другой объект эксплуата¬ ции, вводе и выводе ции. На программного обеспечения для исклю¬ и преднамеренных несанкционированных изменений чения этапе создания информацией к работам привлекаются прове¬ ренные и квалифицированные специалисты, которым создаются ознакомления с необходимые условия для ронних лиц граммное документам, изделие; проверенное ется к на работы, исключающие доступ посто¬ по которым предоставляется изготавливается стендовое про¬ оборудование, отсутствие программных «вирусов»; обеспечива¬ хранение носителя в специальных шкафах, закрываемых на ключ, и ступом. помещениях с ограниченным и контролируемым до¬ 190 Раздел IV. Построение системы обеспечения безопасности информации... При разработке программного обеспечения разработчик ис¬ пользует следующие меры по защите: • точное и определение для каждой однозначное разрабаты¬ ваемой программы перечня автоматизируемых функций; • использование средств минимизирующих чия и число технологии точек входа программирования, и вероятность нали¬ функциональных возможностей, дополнительных ко¬ торые могут быть использованы для несанкционированных действий; исключение • возможности внесения несанкционированных изменений разработки ее в посторонними лицами программу в процессе и отладки. После того как программное изделие будет готово, обеспечи¬ ваются дачи определенные гарантии того, его верки что после новому владельцу последний будет (верификации) неизменности и продажи иметь и пере¬ средства про¬ подлинности программ¬ ного изделия. Самыми простыми и необходимыми средствами для этой цели являются маркировка носителя и паспорт на него, подпи¬ санный главным конструктором, изделия. сумма В паспорте всех на машинных разработчиком и приемщиком изделие слов проставляется данного данного изделия снимается несколько изделия. контрольная Кроме того, с копий, количество кото¬ потребностей заказчика, но не ме¬ нее двух, одна из которых будет считаться эталонной, а вто¬ рая рабочей. Эталон изделия должен храниться в удаленном рых определяется исходя из — и надежном чающих месте в условиях ограниченного доступа, влияние внешних случайных и исклю¬ преднамеренных воз¬ действий. Он используется для периодических проверок рабо¬ чей копии во время эксплуатации комплекса средств автомати¬ обработки информации. В процессе эксплуатации (согласно инструкции на комплекс зации обработки информации, по желанию оператора функционального контроля или администратора безо¬ пасности данных) производится периодическая проверка кон¬ средств автоматизации трольной суммы на соответствие ее значению, указанному в пас¬ порте на программное изделие. Указанные средства в основном предназначены для защиты программного обеспечения от случайных воздействий, но в определенной мерс они могут защищать систему и от преднаме¬ ренных действий. От ловкой подмены они защитить не могут. Глава 4. Обеспечение безопасности информации и ПО... 191 Для повышения эффективности защиты специалисты пред¬ лагают применять ряд дополнительных мер, основными из кото¬ рых являются: введение в процесс контрольного суммирования, общего, фрагментарного суммирования (отдельных бло¬ ков и строк по заданному маршруту). При этом способ получе¬ кроме контрольных сумм рекомендуется хранить втайне органи¬ зация специальных сохраняемых втайне контрольных точек вхо¬ ния — (нестандартных адресов обращения к программам и их отдельным блокам) криптографическое закрытие программ с их дешифрацией перед использованием. да — Последняя мера является самым надежным способом защи¬ ты. Все перечисленные меры сравнительно несложно реализуют¬ ся программным путем. разграничение доступа Разумеется, к что программам по осуществляется любому из также методов, приведенных выше. Одним из наиболее эффективных методов предупреждения несанкционированного использования программ является метод модульного диалога, суть которого может быть представлена на примере. При разработке каждого программного модуля в нем преду¬ сматриваются некоторые специальные процедуры, такие, как сло¬ жение по «шод» четных разрядов предъявленного кода или иные. Команды этих процедур шифруются и располагаются в определен¬ ных местах программного модуля (они сохраняются втайне). ме того, Кро¬ предварительно определяется некоторый код, являющий¬ ся функцией содержания модуля (например, совокупность разря¬ дов, выбранных из процедур модуля в определенном порядке). Этот код хранится в защищенном поле памяти. При обращении к модулю может быть осуществлена дополнительная проверка на санкционированность обращения и на подмену программ и внесе¬ ние в них несанкционированных изменений. Сама процедура про¬ верки может осуществляться в такой последовательности: I) в запросе пользователь должен предъявить коды тех моду¬ лей, которые необходимы ему для проведения обработки инфор¬ мации (эти коды могут выбираться автоматически специальными программами после опознания пользователя, для этого в запоми¬ устройство должна вестись таблица распределения кодов между пользователями в соответствии с их полномочиями); 2) проверяется соответствие кодов, предъявленных пользова¬ телем, эталонным кодам. При несовпадении кодов дальнейшая работа блокируется; нающее Раздел IV. Построение системы обеспечения безопасности информации... 192 3) специальные программы расшифровывают контрольные процедуры модуля и дают команду на их выполнение; 4) программа механизма защиты посылает контрольным про¬ цедурам контрольный код модуля; 5) контрольные процедуры модуля осуществляют преобразо¬ вание контрольного кода и результат посылают программам ме¬ ханизма защиты; 6) программы механизма защиты зашифровывают контроль¬ ные процедуры модуля нового значения кода (причем каждый раз с использованием ключа), сверяют представленный кон¬ трольными процедурами решение о результат с эталонным передаче управления модулю или о и принимают блокировании его работы. Для повышения уровня защиты рекомендуется периодически контрольные коды. Известны и другие варианты процедуры модульного диалога, однако в основе всех изменять процедуры и вариантов лежит принцип заблаговременного формирования не¬ которой контрольной информации и венно Однако перед выполнением модуля. проверки к ее непосредст¬ данному методу следует подходить с позиций четкого представления о том, что и от кого (или чего) защищать, где, когда и от каких действий или воздействий. Для программное защиты обеспечение места создания до от преднамеренных при воздействий на носителя от транспортировке объекта его применения или хранения метод модульного диалога целесообразен для защиты от неквалифици¬ рованного нарушителя, так как квалифицированный нарушитель все же может произвести подмену программного обеспечения. Для защиты от случайных воздействий метод достаточно эффек¬ тивен, но приведенные выше более простые методы контрольно¬ го суммирования дают почти такой же эффект. установке носителя с программным обеспечением в комплекс средств автоматизации обработки информации или за¬ При грузке программного обеспечения меняются условия пребывания объекта защиты и потенциальные угрозы. Защиту обрабатывае¬ мой информации и программного обеспечения необходимо рас¬ сматривать с учетом случайных процессов, происходящих в ком¬ плексе средств автоматизации обработки информации, и воз¬ можностей несанкционированного входа в систему человека (см. 1, разд.З концепцию обеспечения безопас¬ ности информации). Предлагаемые в методе модульного диалога приведенную в главе контрольные процедуры, в которых человек не участвует, явля- Глава 4. Обеспечение безопасности информации и ПО... ются по прочной изоляцией существу более от 193 вмешательства посторонних программ, что аналогично процессу разграничения областей оперативной памяти в оперативном запоминающем устройстве. Поэтому замена значений ключей при функциониро¬ программного обеспечения в составе комплекса средств автоматизации обработки информации вряд ли имеет смысл. вании Определенную проблему представляет собой защита от не¬ санкционированного доступа к остаткам информации на магнит¬ которые могут сохраниться даже при наложении на старую запись новой информации на одном и том же носителе. ных носителях, Это может произойти в том случае, когда новый файл оказывает¬ ся короче предыдущего, а также при отказах аппаратуры. Приме¬ обычного стирания (запись 0) и наложения новой записи на старую также не гарантируют пропадание старой информации, нение так как физически за счет некоторого смещения записывающей головки возможно смещение новой записи относительно старой, которое обнаруживается специальной аппаратурой. Обычно защита остатков файла осуществляется с помощью программы, на что затрачивается значительное время. Сложность возрастает в связи с тем, что основной источник остатков ра¬ — бочие файлы, которые освобождаются после окончания работы Все файлы управляются операционной системой, распределяющей память в соответствии с запросами различных пользователя. пользователей. Поэтому вводится указатель областей основной памяти, отводимых всем файлам. По мере освобождения области необходимо затирать памяти ее путем записи нулей. Но это работа, требующая значительных затрат и времени. С другой стороны, защита остатков от несанкционированно¬ сложная го к ступа ланной не им предполагать При ним. зователю другое решение последовательном разрешается ранее и записи. размещении объекта с прочитано нулей запрет до¬ файлов поль¬ участки за пределами сде¬ способ предполагает защиту считывать Но этот Если же магнитная лента (стриммера) несены — файлов только при доступе через операционную систе¬ остатков му. может доступа на на эксплуатации, другом компьютере. место остатка может то В или пакет дисков вы¬ содержимое этом оказаться может случае даже быть запись недостаточной. Спе¬ циалисты рекомендуют в этом случае на место остатка записы¬ вать шумовую нс мснсс ских 7 раз системах). (случайную) информацию с повторением записи (чем успешно пользуются, например, в банков¬ Раздел IV. Построение системы обеспечения безопасности информации... 194 Отдельную проблему в защите программного обеспечения и информации составляет применение персональных компьюте¬ ров, а также проблема защиты создателем последних является от программных вирусов. человек, данную угрозу Хотя можно преднамеренной, но и случайной. Если комплекс средств автоматизации обработки информа¬ ции работает в автономном режиме, проникновение вируса воз¬ считать не только можно только со внешних носителей программного обеспечения и информации. Если комплекс средств автоматиза¬ стороны обработки информации является элементом информацион¬ ной системы (сети) или автоматизированной системы управле¬ ции ния, то проникновение вируса возможно также и со стороны ка¬ налов связи. Поскольку появление вирусов связано с распространением персональных компьютеров, проблема защиты от них рассмот¬ рена в отдельном разделе, посвященной защите информации в информационных системах, построенных на базе данных компь¬ ютеров. Глава 5 СРЕДСТВА УПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОМПЛЕКСЕ СРЕДСТВ АВТОМАТИЗАЦИИ ОБРАБОТКИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ Назначение, решаемые задачи и принципы построения Описанные выше средства защиты информации, обладаю¬ эффективностью каждое в отдельности, могут ока¬ заться бесполезными, если они не будут взаимоувязаны между собой, так как в защите могут образоваться «щели», через кото¬ щие высокой рые нарушитель может обойти непреодолимую для него прегра¬ ду. На этапе проектирования в проект системы согласно приня¬ той концепции из отдельных средств (звеньев) строится замкну¬ тый контур защиты. Среди средств защиты, как правило, в сочетании с техническими средствами есть организационная Глава 5. Средства управления обеспечения безопасности информации... 195 (например, вывод технических средств на профилактику и ремонт, уничтожение или стирание остатков информации на ее носителях, учет и регистрация носителей и т. д.), которая долж¬ на быть организационно увязана с непрерывным функциониро¬ ванием остальных средств защиты. Кроме того, функционирова¬ ние всех средств защиты (за исключением шифрования ин¬ формации) предусматривает выполнение функций контроля, обнаружения, регистрации и блокировки несанкционированного мера доступа, а также последующее установление ционированного доступа части системы, и восстановление причины несанк¬ функционирования подвергнувшейся несанкционированному досту¬ пу. Реализация концепции единого замкнутого контура защиты требует централизованного контроля выполнения указанных функций. Такое объединение позволяет уменьшить вероятность обхода нарушителем средств защиты и реализовать естественно тактику стратегию защиты и в системном плане и в масштабе информационной системы в целом. Своевременное обнаружение и блокировка несанкциониро¬ ванного доступа заключается в выработке сигналов тревожной сигнализации и блокировки за время, меньшее времени, необхо¬ димого нарушителю на преодоление защитной преграды и совер¬ шение условие гда и несанкционированного доступа во многих системах, к информации. Данное к сожалению, выполняется не все¬ ограничивается лишь регистрацией события без вывода на отображение лишь по его дежурному администратору. Вывод производится вызову. Отложенное сообщение о факте несанкцио¬ нированного доступа существенно снижает безопасность инфор¬ мации в системе, так как дает время нарушителю на отключение программы регистрации доступа. В интересах системе и выполнение функционирования опознания и несанкционированного средств защиты разграничения доступа к в целом в информации должны выполняться следующие функции: • ввод списка • пользователей, терминалов, процессов, информации средств автомати¬ зации обработки информации информационной системы; выбор и ввод носителей кодов паролей; допущенных • имен к в комплексе ввод назначенных полномочий пользователей, терминалов, процессов; • сбор сигналов полномочий; несовпадения кодов паролей и нарушения Раздел IV. Построение системы обеспечения безопасности информации... 196 информации; • ведение журнала регистрации доступа к • сбор сигналов вскрытия аппаратуры; взаимодействие со службой функционального контроля комплекса средств автоматизации обработки информации; контроль функционирования систем опознавания и разгра¬ ничения доступа к информации и контроля вскрытия ап¬ • • паратуры; • • аппаратурой комплекса средств автоматизации обработки информации; контроль и обеспечение возможности шифрования инфор¬ контроль доступа в с помещения мации; • и контроль регистрации учета носителей информации и документов; • контроль стирания и уничтожения остатков секретной ин¬ формации; • ведение статистики и прогнозирование несанкционирован¬ ного доступа. Для выполнения перечисленных функций используются программные средства, входящие в состав технических средств комплекса средств автоматизации специальные аппаратные и обработки и информации, организационные мероприятия, включаемые в отдельную инструкцию по эксплуатации средств защиты комплекса средств автоматизации обработки информа¬ Контроль и управление защитой информации в комплексе автоматизации осуществляется службой безопасности инфор¬ мации комплекса средств автоматизации обработки информа¬ ции. ции или представителями администрации, выполняющими ее функции. Состав и назначение средств управления безопасностью информации Средства управления защитой информации в комплексе средств автоматизации обработки информации включают в себя специальное программное обеспечение, автоматизированное ра¬ бочее место службы безопасности информации специалистов службы безопасности и организационные мероприятия. К сред¬ ствам управления можно также отнести информационное и лин¬ гвистическое обеспечение. Глава 5. Средства управления обеспечения безопасности информации... В состав специального программного обеспечения 197 входят программы, обеспечивающие возможность выполнения с терми¬ нала • службы безопасности следующих функций: сбора и отображения сообщений о несанкционированном доступе; • управления системой опознания и разграничения доступа; • регистрации и учета всех внутренних и выходных докумен¬ тов, содержащих информацию, подлежащую защите; • • • • обращений к информа¬ ции с указанием имени пользователя, устройства, процес¬ са, а также времени и даты события; формирования и выдачи необходимых справок на терми¬ нал службы безопасности информации; криптографического закрытия информации, в том числе кодов паролей, хранимых в комплексе средств автоматиза¬ ции обработки информации; ведения журнала регистрации всех контроля целостности программного обеспечения ком¬ средств автоматизации обработки информации; контроля загрузки и перезагрузки программного обеспече¬ плекса • ния комплекса средств автоматизации обработки инфор¬ мации; • рабочего контура обмена инфор¬ мацией аппаратуры при выводе ее в ремонт и профилак¬ контроля отключения от тику; • • • • конфигурации комплекса средств автоматизации обработки информации и ее изменений; управления шифрованием информации; контроля факта стирания или уничтожения остаточной ин¬ формации в оперативной и долговременной памяти ком¬ плекса средств автоматизации обработки информации; контроля периодического тестирования полнения ном перечисленных и контроля правильного вы¬ функций защиты на программ¬ уровне; • документирования вышеназванных событий; • ведения статистики несанкционированного доступа. Рабочее место службы безопасности информации (АРМ СБ) должно находиться в отдельном помещении с кодовым замком и содержать в своем составе следующие аппаратные средства: • • терминал службы безопасности информации (ТСБИ); аппаратуру регистрации (АРДИ); и документирования информации Раздел IV. Построение системы обеспечения безопасности информации... 198 • • • устройство контроля вскрытия аппаратуры (УКВА); аппаратуру записи кодов паролей (АЗКП) на носители; носители кодов паролей. В качестве терминала, аппаратуры регистрации и документи¬ могут быть рования числа терминалов, использованы применяемых средств автоматизации основной задачи. ставу и в стандартные составе устройства данного из комплекса обработки информации для выполнения В некоторых относительно небольших менее ответственных по со¬ средств автоматизации комплексах обработки информации функции терминала службы безопасно¬ сти могут совмещаться с другими административными функция¬ ми в информационной системе на одном терминале. Однако это не значит, что функции контроля несанкционированного досту¬ па должны При быть временно возникновении отключены от процесса управления. несанкционированного доступа о нем должно выдаваться на сообщение блок отображения терминала служ¬ информации с первым приоритетом. С терми¬ нала службы безопасности осуществляются все функции управ¬ ления и контроля, перечисленные выше, для специальных функ¬ бы безопасности циональных задач программного обеспечения. В качестве устройства контроля вскрытия аппаратуры зачас¬ тую используется устройство, отдельное от комплекса средств ав¬ томатизации обработки информации, но расположенное в одном изолированном помещении с терминалом службы безопасности информации. Все чаще можно встретить решение с аппаратным интерфейсом (блок обмена информацией с компьютером) и ав¬ томатизацией функции контроля прецедентов вскрытия аппара¬ туры. В любом случае предполагается, на с основной объем работ контроля вскрытия аппаратуры будет контролем вывода технических средств комплекса устройствах только что связан средств автоматизации обработки информации в ремонт и про¬ филактику и ввода их вновь в рабочую конфигурацию ком¬ плекса. Если в особо ответственных комплексах средств автоматиза¬ обработки информации будут применяться физические но¬ сители кодов паролей, для последних потребуется аппаратура ции контроля. Количество носителей должно превышать количество пользователей. Избыточное количество носителей записи и необходимо для периодической замены значений кодов-паролей на новые в целях сохранения уровня безопасности информации Глава 5. Средства управления обеспечения безопасности информации... в комплексе средств автоматизации мена ся в в то производится 199 обработки информации. За¬ время, когда первые носители находят¬ работе. Средства регистрации доступа к информации в комплексе средств автоматизации обработки информации Регистрация является одним из эффективных и важных ме¬ безопасности увеличения тодов регистрационного в произошло журнала прошлом, и Без систем. невозможно перекрыть ведения проследить каналы точного за тем, утечки что информа¬ Регистрационный журнал может анализироваться как пе¬ ции. риодически, так непрерывно. Записи журнала и дить на экран и автоматизированного для или распечатывать, а также можно можно статистического выво¬ использовать мониторинга и анализа. В регистрационном журнале ведется пользователем осуществляемых Для каждого терминал, запроса принятых фиксируется элементы время, и список тип данных, из записи, всех запросов, каналов связи. пользователь, представляемые задания информация о том, был разрешен до¬ ступ или нет. Система защиты информации может периодически выводить на печать информацию, отсортированную по пользо¬ вателям, терминалам, датам, элементам данных и т. д. Выдержки или программы, а также из журнала могут посылаться пользователем для проверки досту¬ па к файлам. Копию получает представитель системы безо¬ их пасности информации. Если объем точно велик, торые он не информации в регистрационном журнале доста¬ следует позволит отказываться получить, а от именно заранее заданного периода времени тех возможностей, ко¬ определить для любого (в прошлом) следующие со¬ бытия: • профили и учет изменений полномочий, связанные с лю¬ бым защищаемым ресурсом; • сами • все по изменения, сделанные в профилях полномочий; доступы к любому защищаемому ресурсу, выделенные каждому пользователю, программе, терминалу, заданию, элементу данных и т. д.; • все отказы в доступе; 200 Раздел IV. Построение системы обеспечения безопасности информации... • случаи неиспользованного разрешенного доступа; • изменения • другие показаний системных часов; изменения, производимые оператором в содержа¬ нии памяти системы. Данные журналы могут помочь выявить пользователей, ко¬ торые случайно допускали ошибки, и оказать им помощь в при¬ обретении также навыков, показывать, никогда необходимых что обращаются не некоторые к для работы. Журналы пользователи элементу данных, номочий могут быть сокращены. и или их терминалы профили пол¬ Журналы могут также служить в качестве инструмента психологического воздействия циальных нарушителей. Журналы врата системы в исходное могут часто состояние и на потен¬ используются для восстановления воз¬ наборов данных, которые были искажены за счет неполадок в системе. Для дальнейшего повышения безопасности записи регистра¬ ционного журнала могут быть зашифрованы. Для осуществления потребуются небольшие затраты на дополнительное программирование и резервирование устройства для записи регистрационной информации. Стирание информа¬ ции следует разрешать только по предъявлению физического регистрации, по-видимому, ключа. Если имеются какие-либо надежные средства защиты на¬ боров данных регистрационного журнала, то может и не потре¬ боваться отдельное устройство для его ведения. Но тем не менее регистрационный журнал должен быть независим от системы, которую он контролирует. В противном вмешательства системы в ведение журнала имеется риск превращение его в случае и неэффективное средство защиты. Информационное обеспечение системы безопасности информации Информационное обеспечение комплекса средств автомати¬ обработки информации является совокупностью реализо¬ ванных решений по объектам, размещению и формам организа¬ ции информации, циркулирующей в информационной системе и в комплексе средств автоматизации обработки информации при их функционировании. Оно включает в себя упорядоченные и систематизированные массивы информации и данных, унифи¬ цированные документы, необходимые классификаторы, нормазации Глава 5. Средства управления обеспечения безопасности информации... 201 информацию и т. д. Система автоматизиро¬ ванного управления имеет дело не с самим объектом, а с инфор¬ мацией о нем. Поэтому основной функцией информационного тивно-справочную обеспечения является создание и ведение динамической инфор¬ мационной объекта защиты, которая модели в каждый момент фактическим зна¬ чениям параметров с минимально допустимой задержкой во вре¬ мени. Система защиты информации комплекса средств автома¬ тизации обработки информации является его составной частью и на нее также распространяются принципы построения инфор¬ времени содержит данные, соответствующие мационного Одним плекса обеспечения. из условий эффективного функционирования ком¬ средств автоматизации обработки информации любого рациональная организация общения пользовате¬ ля с системой. В качестве средства общения используются ин¬ формационные языки, представляющие собой совокупность типа является словаря, правил записи и объектах, запросах, ситуациях и передачи компьютер сообщений об позволяющих использовать в формализованные процедуры их обработки в интересах их уни¬ фикации и удобств в эксплуатации. В настоящее время в каче¬ стве специальных используются данных языков безопасности безопасности язык рубежом частично Хартсона, язык описания за рабочей группы по базам данных системного комитета Кодае ил и др. Организационные меры по контролю и управлению безопасностью информации В системах с высокой степенью безопасности специалисты, обслуживающие комплекс средств автоматизации информацион¬ ной системы в процессе эксплуатации, делятся на три категории: • • • пользователи, т. е. представители организации-владельца информационной системы, выполняющие оперативные за¬ дачи при работе с информацией; технический персонал, поддерживающий нормальное функционирование информационной системы; должностные лица службы обеспечения безопасности ин¬ формации, подчиненные руководству организации-владель¬ ца информационной системы. 202 Раздел IV. Построение системы обеспечения безопасности информации... Если комплекс средств автоматизации обработки информа¬ ции, автоматизированная система управления, информационная сеть или сама информационная система в целом используются для обслуживания населения, то появляется другой тип пользо¬ вателей и значительно повышается риск несанкционированного в банковских автоматизиро¬ информации (например, ванных системах управления). Для обеспечения безопасности информации разграничение доступа к ней осуществляется так и доступа к вертикали, по гори¬ организации-владельца информационной комплекса средств автоматизации обработки зонтали структуры системы в целом, информации, как по автоматизированной системы управления или сети, включая категории специалистов и пользователей. Особая категория специалисты и должностные лица службы — безопасности информации, которая, владея средствами управления защитой, может иметь доступ к охраняемой информации. Однако существуют возможности разграничения и ограничения доступа, которые необходимо по возможности реализовать. и здесь распределения обязанностей между от¬ дельными служащими может в значительной мере способство¬ вать повышению уровня безопасности информации со стороны Принятая система персонала. Рекомендуются следующие принципы организации работ. Минимизация сведений, доступных персоналу. Каждый служа¬ щий должен знать только ту информацию, которая необходима ему для успешного выполнения своих обязанностей. связей Организация технологиче¬ ского процесса сбора и обработки информации и планирование Минимизация помещений должны дить к работ. по персонала. мере возможности исключать или сво¬ минимуму контакты персонала в процессе выполнения Системные программисты и инженеры должны допус¬ каться, когда в этом есть необходимость, в зал обработки ин¬ формации и никогда не должны заходить в зону участка подго¬ товки информации и данных и т. д. Разделение полномочий (привилегий). В системах с высокими требованиями безопасности некоторая ответственная процедура выполняется после трудниками. Например, осуществляется трудник сылают в подтверждения изменение необходимости двумя полномочий в со¬ пользователя случае, когда руководитель и безопасности информации одновременно только системы ее том систему свои пароли со своих терминалов. со¬ по¬ Глава 5. Средства управления обеспечения безопасности информации... Минимизация информации Информация 203 и данных, доступных персоналу. и данные, которые могут быть обозримы персона¬ лом, ограничиваются. Так, отходы, в том числе и носители, быв¬ шие в употреблении, должны систематически уничтожаться. Вы¬ ходные данные, полученные на печатающих ны устройствах, долж¬ быть взяты на учет и могут предоставляться только тем, кому они предназначены. Количество копий документов должно строго контролироваться. Обозначения и наименования доку¬ ментов и носителей информации не должны раскрывать их со¬ держание. Дублирование контроля. Контроль важных операций никогда нельзя поручать одному сотруднику. Присутствие еще одного че¬ ловека оказывает психологическое влияние его на другого и делает более добросовестным в работе. Факт передачи рабочей смены должен быть зафиксирован в специальных журналах, с собственноручными подписями ответ¬ ственных и сдающих смену, причем должно быть документально зафиксировано не только то, что передается, но и в каком со¬ стоянии. В специальных хранилищах носителей вестись учет, информации должен фиксироваться каждая выдача и возвращение носи¬ Носители с данными ограниченного пользования должны телей. выдаваться только допущенным к ним лицам под расписку. Фак¬ ты выдачи этих данных на печатающие устройства и записи на другие носители должны немедленно фиксироваться в журнале с указанием времени, объема и назначения проведенных работ. В конце рабочей смены должны быть уничтожены установ¬ ленным порядком накопившиеся за смену рабочие отходы, о чем должна быть произведена запись с подписями должностных рабочем журнале. Независимо от того, в круглосуточном режиме или с переры¬ лиц в информационной систе¬ мы, в ответственных системах обработки данных осуществляется непрерывный контроль доступа к информации, подлежащей за¬ щите. Это означает, что по окончании рабочей смены, прекра¬ щении функционирования информационной системы и/или комплекса средств автоматизации обработки информации и не¬ вами в работе организации-владельца обходимости их выключения контроль доступа в помещения с аппаратурой комплекса средств автоматизации обработки ин¬ формации и носителями информации должен передаваться под расписку другим ответственным за их охрану лицам до после- 204 Раздел IV. Построение системы обеспечения безопасности информации... дующей передачи контроля следующей смене с регистрацией и подписями должностных лиц в специальном Специалисты журнале. безопасности информации должны быть разносторонне подготовленными и разбираться не только в системы вопросах защиты, но и в технических вопросах, включая прин¬ работы и эксплуатации информационной техники, в осо¬ бенности средств хранения, ввода и вывода информации. ципы Глава 6 ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОМПЛЕКСАХ СРЕДСТВ АВТОМАТИЗАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ В процессе подготовки системы к эксплуатации в целях обес¬ печения • безопасности информации в ней необходимо: при выделении территории, зданий чить и помещений обозна¬ контролируемую зону вокруг размещения комплекса средств автоматизации обработки информации; • установить и оборудовать охранную сигнализацию ницам контролируемой зоны; • создать контрольно-пропускную систему; • проверить схему размещения и места установки аппара¬ туры комплекса средств автоматизации обработки инфор¬ по гра¬ мации; • проверить состояние системы жизнеобеспечения условия функционирования аппаратуры и людей, хранения доку¬ ментации. Параллельно с указанными мероприятиями провести: • • перестройку структуры организации-потребителя в соот¬ ветствии с потребностями внедряемой системы; подобрать кадры для технического и оперативного обслу¬ живания комплекса средств автоматизации обработки ин¬ формации; • боты по защите подобрать специальные кадры для ра¬ информации в автоматизированной систе¬ ме и при необходимости управления создать централизованную систему без- Глава б. Организационные мероприятия по обеспечению безопасности... 205 опасности информации при руководстве организации-по¬ требителе информационной системы; • провести обучение персонала; • организовать распределение функциональных стей и ответственности должностных лиц; • установить полномочия должностных лиц по доступу к тех¬ ническим • обязанно¬ средствам и информации; разработать должностные инструкции по выполнению функциональных обязанностей технического, оперативно¬ го состава должностных лиц, включая службу безопасности информации. После выполнения указанных мероприятий и приема аппа¬ ратуры необходимо выполнить: • постановку на учет аппаратуры, носителей информации и документации; • проверку отсутствия посторонней аппаратуры; • контроль размещения аппаратуры ваниями в соответствии с требо¬ побочного электро¬ по разграничению доступа, магнитного излучения и наводок информации; • проверку функционирования подсистемы контроля вскры¬ тия технических средств; • проверку функционирования зации комплекса обработки информации с средств помощью автомати¬ средств функ¬ ционального контроля; • верификацию программного обеспечения; • проверку побочного излучения информации ап¬ паратурой комплекса средств автоматизации обработки ин¬ формации на границах контролируемой зоны; • проверку на отсутствие каций, • и наводок штатных и посторонних коммуни¬ контролируемой зоны; проверку функционирования информационной системы, комплекса средств автоматизации обработки информации, выходящих за пределы включая систему защиты информации, автономно и в со¬ автоматизированной системы управления альным программам испытаний; ставе • по тренировку оперативного состава должностных лиц, чая службу безопасности информации, по нировок к штатных вклю¬ специальным программам. По положительным результатам указанных проверок можно специ¬ и тре¬ приступать загрузке прикладных и действительной информации, проверке готовности программ 206 Раздел IV. Построение системы обеспечения безопасности информации... остальных комплексов средств автоматизации обработки инфор¬ мации автоматизированной система управления, после этого на¬ чинается непосредственная эксплуатация системы. В процессе эксплуатации служба безопасности ин¬ формации осуществляет централизованный контроль доступа к информации с помощью терминала и организационными сред¬ ствами; выполняются функции, перечисленные выше. системы В процессе эксплуатации может возникнуть необходимость в доработках комплекса средств автоматизации обработки инфор¬ мации, которые должны проводиться под контролем службы безопасности. Контроль при этом заключается в проверке пол¬ номочий лиц, осуществляющих доработку. Кроме того, в процессе эксплуатации системы рекомендует¬ ся проводить: • периодические проверки полномочий лиц, работающих на комплексе средств автоматизации обработки информации; • инспектирование правильности и полноты выполнения персоналом мер по обеспечению сохранности необходимых дубликатов файлов, библиотеки программ, оборудования комплекса • средств автоматизации обработки информации; практическую проверку функционирования отдельных мер защиты; • контроль недозволенных изменений программ и оборудо¬ вания; • контроль всех процедур с библиотеками файлов на носите¬ лях и т. • д.; стимулирование персонала в вопросах обеспечения за¬ щиты; • • разработку и обеспечение всех противопожарных меро¬ приятий и обучение персонала действиям по тревоге; консультирование всех сотрудников, работающих с ком¬ средств автоматизации обработки информации, по вопросам обеспечения защиты информации. плексом Одна из обязанностей службы безопасности организация и проведение обучения персонала методам обеспечения защиты информации. Обучение необходимо для всех сотрудников, начи¬ ная с момента их поступления на работу, включая руководящий состав организации-потребителя информационной системы. Все служащие должны знать, что данные и файлы, с кото¬ — рыми они альны. работают, могут быть в высшей степени конфиденци¬ Программы и документы с информацией, подлежащей Глава б. Организационные мероприятия по обеспечению безопасности... 207 работы на дом. В детальной степе¬ ни должны быть определены и идентифицированы все функции и ограничения при выполнении каждой работы. Это связано с защите, не следует брать для необходимостью минимизировать сведения, которыми обладает каждый сотрудник, сохранив при этом их эффективное взаимо¬ действие. По окончании эксплуатации комплекса средств автоматиза¬ обработки информации (когда-то наступает и такое событие, связанное с заменой информационной системы на более совре¬ ции менную) необходимо провести ревизию остатков хранимой ин¬ формации в комплексе средств автоматизации обработки ин¬ формации, ценную информацию с обеспечением режима огра¬ ниченного а доступа переписать на более современные носители, остальную — уничтожить. Контрольные вопросы 1. Какие основные средства безопасности информации и от какую структуру имеет система несанкционированного доступа обеспечения в комплексе средств автоматизации обработки информации? 2. Какова основная задача системы опознания и разграничения доступа? 3. По каким признакам производится деление информации и функций ее обра¬ ботки? Каким образом производится разграничение полномочий пользователей? 5. Какова особенность выбора паролей (кодов паролей)? 4. б. Какие требования учитываются при проектировании кодов паролей? 7. Какие основные 8. обеспечение, предназначенное для управления безопасностью информации? Какие требования предъявляются к рабочему месту службы безопасности ин¬ функции должно поддерживать специальное программное формации? 9. Каким образом производится регистрация доступа к информации в комплек¬ се средств автоматизации обработки информации и что именно должно под¬ вергаться регистрации? 10. Каковы организационные мероприятия по контролю и управлению безопас¬ ностью информации? Раздел V БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ Глава 1 АНАЛИЗ ОБЪЕКТОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ПОСТАНОВКА ЗАДАЧИ В качестве объекта защиты информации выбираем автомати¬ зированную систему управления (см. рис. 6, гл. 1, разд. 3) более универсальную систему. В нее входят практически как все информационных систем по класси¬ фикации (см. рис. 1, гл. 2, разд. 1), согласно которой автоматизи¬ автоматизированных виды рованная система управления автоматизированных систем, может включать в числе том различные виды информационные и вычислительные системы и сети. Большая автоматизированная система управления, вило, состоит из нескольких мационных систем из (комплексов информационной сетью, нескольких ции — это средств автоматизации, системами ком¬ средств), связанных между со¬ которая, узлов коммутации, вычислительными пра¬ территориально удаленных инфор¬ плексов аппаратно-программных бой как в свою связанных каналами очередь, состоит между собой и с связи. совокупность средств коммуникации Узел коммута¬ и передачи дан¬ который средств рассматри¬ как информационную систему, являющуюся элементом сети. Такой подход с позиций защиты информации позволяет по ных, вать и составу технических можно Глава 1. Анализ объектов обеспечения безопасности информации... 209 некоторый обобщенный элемент автоматизированной выделить системы, на базе которого, по существу, она строится, — ком¬ средств автоматизации обработки информации. Анализ объекта защиты будем вести с позиций, изложенных плекс в разд. 3. Предметом защиты в этом случае может служить следующая информация: • структура, состав, назначение и принципы построения ав¬ томатизированной системы управления; • • структура, состав, назначение и принципы построения сети обмена информацией системе управления; • в автоматизированной данных; адресные ния и • данными направлений связи в сети передачи информации состояние и и таблицы автоматизированной управле¬ сети; таблицы полномочий темы системы элементов автоматизированной сис¬ управления и сети; информация, циркулирующая в комплексе средств автома¬ тизации обработки информации и каналах связи. Согласно принципам построения данная информация (кро¬ ме последней), если в сети заложен принцип обмена «каждый с • каждым» сети. ми (одноранговые сети), размещается на каждом элементе Обмен информацией может происходить между процесса¬ элементов разных пользователем и сети, между их пользователями, между процессом разных элементов сети. В автоматизированных системах управления каждый пользо¬ ватель и процесс имеет свой узла коммутации сети, через нентская а уровень полномочий. Персонал который транзитом проходит або¬ информация, не должен ее видеть и документировать, обработка данной информации должна исключать ее запись в долговременную память. Наличие на элементе автоматизированной системы управле¬ ния, сети нию и ные и каналах связи информации, различной по назначе¬ уровню защиты, предполагает соответствующие систем¬ средства защиты, объединенные в систему защиты инфор¬ мации от несанкционированного доступа в системе автоматизированной управления. Средства защиты информации так же, как и основные сред¬ ства сс ратном обработки в системе, реализуются на программном, аппа¬ и организационном уровнях. При этом они выполняют Раздел V. Безопасность информации в информационных сетях и АСУ 210 свои функции в тесном тами комплексов взаимодействии с основными компонен¬ средств автоматизированной автоматизации Совокупность определенных средств защиты уровнях средств автоматизации обработ¬ ки информации, систем передачи информации и данных и авто¬ матизированной системе управления образуют на каждом уровне свою систему защиты информации. Причем, с одной стороны, системы и сети. управления на комплексов средства защиты являются общесистемными ресурсами, а с дру¬ гой — в силу специфики решаемых задач, система защиты для быть представлена в виде самостоятель¬ ной структуры, которая нуждается в собственном управлении в целях координации и контроля своих процессов по обеспечению каждого уровня может безопасности информации. Согласно изложенной выше концепции защиты информации для создания замкнутого контура (оболочки, периметра) защиты необходимо объединить средства низм — в защиты целостный встроенную автоматизированную систему защиты, обес¬ ме и управ¬ безопасностью информации в автоматизированной систе¬ печивающую централизованные подготовку, контроль ление меха¬ управления. Анализ принципов построения автоматизированной системы управления показал, что обработка и обмен информацией в ней производится на четырех уровнях: • на уровне комплекса средств автоматизации обработки ин¬ формации автоматизированной системы управления; • уровне комплекса средств автоматизации системы пере¬ дачи информации (сети передачи информации); • на на уровне автоматизированной системы управления в це¬ лом; уровне системы передачи информации в целом. На каждом из уровней образуется своя автоматизирован¬ • ная на система, выполняющая свои задачи, дом-выводом, хранением, обработкой ной информации, соответствующей занностям должностных лиц и связанные с вво¬ передачей определен¬ функциональным обя¬ и пользователей в структуре автоматизированной управления передачи информации. Аналогичным образом целесообразно распределить в авто¬ матизированной системе управления функции обеспечения безопасности информации, подлежащей защите от утечки, мо¬ дификации и утраты, и создать в автоматизированной системе системы и системы Глава 1. Анализ объектов обеспечения безопасности информации... управления на соответствующих уровнях 211 системы встроенные информации. Эти системы должны удовлетворять опре¬ деленным требованиям. Так, для защиты передаваемой инфор¬ защиты мации по тракту передачи данных от пользователя одного ком¬ плекса средств автоматизации обработки информации к пользо¬ вателю содержать средства абонентского другого они должны шифрования. Система защиты информации в трактах передачи информа¬ ции должна включать средства абонентского шифрования, сред¬ ства обеспечения цифровой подписи передаваемых сообщений, систему генерации и распределения соответствующих ключей шифрования, действительные значения которых вырабатывают¬ ся и распределяются с помощью средств управления службой безопасности (защиты) информации автоматизированной систе¬ мы управления. Безопасность информации в системе передачи должна содер¬ жать средства линейного шифрования. В каждой из перечисленных систем должна быть система опознания, разграничения доступа и средства контроля и управ¬ ления, с помощью которых в рамках данной системы можно вы¬ полнять • следующие функции: составление перечня, ранжирование по важности и степе¬ сроков действия документов и других данных, подлежащих защите от несанкциониро¬ ни секретности ванного • и назначение доступа; и разграничение, распределение контроль полномочий должностных лиц-пользователей по отношению к инфор¬ функциям управления; организацию и поддержку функционирования безопасности информации в системе; мации и • • системы подготовку, выбор, распределение и периодическую заме¬ ну ключей шифрования информации и кодов цифровой подписи; • обнаружение, блокировку, сбор, регистра¬ документирование фактов несанкционированного своевременное цию и доступа; • своевременное установление места, времени и причины несанкционированного доступа; • взаимодействие со службой функционального контроля администраторами системы; • взаимодействие со службами безопасности других систем; и Раздел V. Безопасность информации в информационных сетях и АСУ 212 • взаимодействие со службой безопасности нижестоящих объектов управления (комплексы средств автоматизации обработки информации). К числу наиболее важных функций, определяющих необходи¬ мость создания системы защиты информации в автоматизирован¬ ной системе, относятся: периодическая подготовка, распределе¬ ние и периодическая замена ключей абонентского шифрования и кодов подписи, действительные значения которых должны быть доступны только должностным лицам этой службы и пользовате¬ Распреде¬ к информации, лям в соответствии с назначенными им полномочиями. ление ключей, позволяет темных помимо разграничения доступа обеспечить выполнение требований по иерархии сис¬ отношений между должностными лицами автоматизиро¬ ванной системы управления и системы передачи информации. Учитывая изложенное, на уровне комплекса средств автома¬ тизации обработки информации должны быть предусмотрены, кроме собственных средств, средства защиты, работающие в ин¬ тересах выполнения перечисленных выше системных функций. В конечном итоге в обобщенном каждый виде комплекс средств автоматизации обработки информации должен содержать следующие средства обеспечения безопасности • систему защиты информации автоматизации обработки информации; • средства взаимодействия в данном и нижестоящих информации: комплексе средств со средствами управления вышекомплексов средств автоматизации обра¬ ботки информации; • • • средства абонентского шифрования информации; средства обеспечения цифровой подписи сообщений; средства линейного шифрования информации. При этом положением функции комплекса средств взаимодействия определяются средств автоматизации обработки ин¬ формации в структуре автоматизированной системы управления и системы передачи информации. Комплекс средств автоматиза¬ ции обработки информации верхних звеньев управления должен обладать соответствующими средствами управления безопасно¬ стью информации в подчиненной ему структуре. Отметим, что в последнее время в результате совершенство¬ средств шифрования появилась возможность отказа от средств линейного шифрования и этому способствует концеп¬ вания ция защиты информации в автоматизированной системе управ¬ ления, предложенная в разд. 3. Глава 2. Принципы построения системы безопасности информации... 213 При построении системы защиты информации в автомати¬ зированной системе управления необходимо определить следую¬ щие исходные данные: • структуру, мы • • • состав и назначение автоматизированной систе¬ управления и ее элементов; структуру, состав и принципы построения сети передачи информации; информационные процессы, подлежащие автоматизации; задачи и функции управления, их распределение между ис¬ полнителями; • • • информационных потоков и места сосредоточения информации, подлежащей защите; структуру, состав и размещение информационной базы ав¬ томатизированной системы управления; перечень и сроки сохранения сведений, подлежащих за¬ схему щите; • состав и выполняемые функции должностных лиц-пользо¬ вателей; • перечень, форму и количество входных, внутренних и вы¬ ходных документов; • • • автоматизированной системы управ¬ ления (открытый, закрытый и т. д.); вероятностно-временные характеристики обработки сооб¬ щений; органы управления и их размещение в автоматизированной режим использования системе • управления; органы управления сетью передачи информации и их раз¬ мещение в автоматизированной системе управления. Глава 2 ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ На основе данных о структуре, составе автоматизированной системы управления и системы передачи информации, а также возможных каналов несанкционированного доступа и концепту¬ альных основ, приведенных в гл. 1, разд. 3, структура системы Раздел V. Безопасность информации в информационных сетях и АСУ 214 1. Рис. Структура системы безопасности информации в автоматизированной системе управления безопасности информации в автоматизированной управления будет иметь вид, представленный на рис. 1. системе Из данной структуры следует, что система безопасности ин¬ формации в автоматизированной системе управления (СБИ АСУ) включает в • • • себя: систему безопасности информации элементов автоматизи¬ рованной системы управления (СБИ ЭАСУ); систему опознания и разграничения доступа к информации автоматизированной системы управления (СОРДИ АСУ); средства безопасности информации в трактах передачи ин¬ формации (СБИ ТПИ); • • • средства управления безопасностью информации в автома¬ тизированной системе управления (СУБИ АСУ); систему безопасности информации в сети передачи инфор¬ мации (СБИ СПИ); систему управления безопасностью информации в сети пе¬ редачи информации (СУБИ СПИ); • систему безопасности информации в каналах связи (СБИ КС); • систему повышения достоверности информации (СПДИ); Глава 2. Принципы построения системы безопасности информации... • безопасности систему информации элементов 215 сети (СБИ ЭС). Система безопасности информации мы — элемента ляющегося автоматизированной информационной систе¬ системы управления, яв¬ абонентом системы передачи информации, в соответ¬ структурой и выполняемыми функциями по обработ¬ ке информации, кроме автономных, должна содержать средства, работающие в интересах безопасности автоматизированной сис¬ ствии с его темы управления в целом. Данные средства предполагают организацию средств выдачи на объект управления доступом управления информации о в автоматизированную систему фактах несанкционированного досту¬ па на элементе автоматизированной системы управления, време¬ ни, месте и характере события. Кроме того, каждый автоматизированной элемент управления в целях реализации системы поставленных задач в рамках ав¬ производит обмен ин¬ томатизированной системы управления формацией с другими элементами автоматизированной системы управления или информационной сети на уровне пользователей, терминалов, компьютеров, процессов, информационных систем и т. д. Отношения между элементами автоматизированной сис¬ темы управления определяются уровнем ступ к информации. должны их полномочий на до¬ При обращении к адресату эти полномочия ему предъявляться в виде пароля. Отсюда вытекает не¬ обходимость их хранения у адресата для проверки подлинности обращения путем сравнения значений предъявленного и хранимого паролей. В связи с тем, что полно¬ санкционированного мочия у разных запросов могут быть также различны, необходи¬ мо вводить и тизяпии ной хранить их обработки информяции системы в комплексе признаки управления. — элементе Указанные систему опознания и разграничения средств автома- автоматизирован¬ средства и составляют доступа к информации авто¬ матизированной системы управления. Средствами защиты информации в трактах передачи информа¬ ции можно назвать криптографическую защиту или шифрование сообщений в тракте «Пользователь 1 -э ЭАСУ > СПИ > ЭАСУ -> пользователь 2» Данный метод защиты информации от источника до адреса¬ та называют межконцевым, или абонентским шифрованием. Раздел V. Безопасность информации в информационных сетях и АСУ 216 Средства управления безопасностью информации в автомати¬ зированной системе управления обеспечивают: контроль состава и структуры автоматизированной систе¬ • мы управления; ввод • ной и контроль системы полномочий объектов автоматизирован¬ управления, процессов, терминалов, пользо¬ вателей и т. д.; обнаружение и блокировку несанкционированного доступа; сбор, регистрацию и документирование информации о не¬ • • санкционированном доступе с элементов автоматизирован¬ ной системы управления; • рассылку и подготовку, нентского данных, ции • • их а смену ключей шифрования информации также в або¬ паролей для трактах передачи установку периодичности и синхрониза¬ применения; функционирования системы защиты информа¬ ции в автоматизированной системе управления; проведение организационных мероприятий по защите ин¬ формации в автоматизированной системе управления. контроль В достаточно сложных автоматизированных системах управ¬ ления, в состав которых могут входить подсистемы со своей ар¬ хитектурой, целесообразно иногда предусматривать отдельную систему защиты информации с аналогичной структурой. Система безопасности информации при передаче информа¬ ции (СБИ СПД) объединяет средства безопасности информации группы элементов автоматизированной системы управления, яв¬ ляющихся одновременно элементами сети передачи информа¬ ции, которые вместе с каналами связи представляют собой ту пе¬ редающую среду, которая ной системе управления. Структура СБИ СПД выше. несет информацию автоматизирован¬ аналогична структуре, приведенной В структуру СБИ СПД входят системы защиты информа¬ ции элементов сети (СБИ дели сети ЭС). При этом в рассматриваемой мо¬ (см. рис. 7, гл. 2, разд. 1) имеется несколько участков, где можно легко опознать каналы связи. Такие каналы соединя¬ ют информационные системы системы управления ции, а узлы связи — с — элементы автоматизированной передачи информа¬ связи системы узлами между собой. Средства безопасности информации в каналах связи (СБИ КС) называют нием. канально-ориентированным, или линейным шифрова¬ Глава 3. Эталонная модель открытых систем 217 В отличие от системы безопасности информации тракта пере¬ дачи информации, защищающей конкретное сообщение из конца в конец, средства безопасности информации каналов связи обес¬ печивают безопасность всего потока информации, проходящей че¬ рез канал связи. Чтобы предотвратить раскрытие содержания сооб¬ щений, можно использовать оба подхода к шифрованию. Кроме того, канальное шифрование обеспечивает и защиту от несанкцио¬ нированного анализа потока сообщений. (Более полное представ¬ ление о механизмах сетях и шифрования информации в информационных автоматизированных системах управления можно полу¬ чить, познакомившись с принципами передачи и протоколами взаимодействия элементов сети, которые рассмотрены ниже.) Средства повышения достоверности информации (СПДИ) обес¬ печивают защиту последней от случайных воздействий в каналах связи (задачи СПДИ рассмотрены выше). Любая система управления не может работать без информа¬ ции о состоянии управляемого объекта и внешней среды, без на¬ информации о принятых управляющих воз¬ действиях. Определение оптимальных объемов, систематизация, сортировка, упаковка и распределение потоков информации во копления и передачи времени вания и пространстве системы необходимое условие функциониро¬ — управления. Совокупность данных, языковых средств описания данных, методов организации, хранения, нако¬ пления и доступа к информационным массивам, обеспечиваю¬ рациональной обработки и выдачи всей ин¬ формации, необходимой в процессе решения функциональных задач по безопасности информации, представляет собой инфор¬ мационное и лингвистическое обеспечение системы защиты инфор¬ мации в информационных сетях и автоматизированных системах щая возможность управления. По причинам, дачи производится изложенным на этане выше, решение этой за¬ разработки конкретных автоматизи¬ рованных систем управления. Глава 3 ЭТАЛОННАЯ МОДЕЛЬ ОТКРЫТЫХ СИСТЕМ Эталонная Международного стандарта на организа¬ цию архитектуры информационных сетей является базовой при модель организации взаимодействия открытых систем. Раздел V. Безопасность информации в информационных сетях и АСУ 218 Под системой в данном случае понимают автономную сово¬ информационных средств, осуществляющих телеобра¬ ботку данных прикладных процессов пользователей. При этом система считается открытой, если она выполняет стандартное множество функций взаимодействия, принятое в информацион¬ ных сетях, т. е. не в смысле доступа к информации. купность Область взаимодействия открытых систем определяется по¬ следовательно-параллельными группами функций или модулями взаимодействия, реализуемыми программными или аппаратными Модули, образующие область взаимодействия при¬ кладных процессов и физических средств соединения, делятся на средствами. семь иерархических уровней (рис. 1). Как видно из табл. 1, каж¬ дый из них выполняет определенную функциональную задачу. Х21 — Рис. 1. Эталонная модель открытых систем: интерфейс между оконечным оборудованием данных и аппаратурой пере¬ протокол канального уровня, обеспечивающий передачу последовательности пакетов через физический канал; Х25 протокол, опреде¬ дачи данных; НОЕС — — ляющий процедуры сетевого уровня управления передачей пакетов в интересах организации виртуальных каналов между абонентами и передачи по каналам по¬ следовательностей пакетов; 1Р — межсетевой протокол Три верхних уровня (5, 6 и 7) вместе с прикладными процес¬ сами образуют область обработки данных, в которой выполня¬ ются информационные процессы системы. Процессы этой области используют сервис по транспорти¬ ровке данных уровня 4, который осуществляет процедуры пере- Глава 3. Эталонная модель открытых систем 219 Таблица 1. Уровни взаимодействия открытых систем Наименование Уровень 1 Физический 2 Канальный Основная задача Выполняемые функции Сопряжение физи¬ Установление, поддержка и разъедине¬ ческого канала ние физического канала Управление переда¬ Управление передачей кадров, контроль чей по информаци¬ данных, обеспечение прозрачности и онному каналу проверка состояния информационного канала. Обрамление массивов служебны¬ ми символами управления 3 Сетевой Маршрутизация пакетов каналом Управление коммуникационными ресур¬ сами, маршрутизация пакетов, обрамле¬ ние служебными символами управления сетью Транспортный 4 Управление логиче¬ Управление информационными потока¬ ским каналом ми, организация логических каналов ме¬ жду процессами, обрамление служебны¬ ми символами запроса и ответа Сеансовый 5 Обеспечение сеан¬ сов связи Организация поддержки и окончания се¬ интерфейс с транспортным ансов связи, уровнем Представительный 6 Параметрическое отображение данных Генерация и интерпретация команд взаи¬ модействия процессов. Представление данных программе пользователей информации от системы-отправителя к системе-адресату: прикладной реализует решение информационно-информацион¬ ных задач прикладных процессов пользователей; представитель¬ дачи ный интерпретирует информационный обмен между прикладны¬ ми процессами в форматах данных программ пользователей; се¬ ансовый реализует диалог или монолог между прикладными процессами в режиме организуемых сеансов связи; транспорт¬ ный осуществляет управление передачей информационных пото¬ ков между сеансовыми объектами пользователей. Три нижних уровня (1, 2, 3) образуют область передачи дан¬ ных между множеством взаимодействующих систем, выполняют коммуникационные процессы по транспортировке данных: • сетевой обеспечивает машрутизацию и мультиплексирова¬ ние потоков данных в транспортной среде пользователей; Раздел V. Безопасность информации в информационных сетях и АСУ 220 • канальный управляет передачей данных через устанавливае¬ физические средства соединения; физический сопрягает физические каналы передачи данных мые • в синхронном или асинхронном режиме. Область взаимодействия открытых систем характеризуется семиуровневой иерархией протоколов, обеспечивающих взаимо¬ действие абонентских систем сети, путем передачи данных меж¬ ду ними. Каждый из блоков данных состоит из заголовка, ин¬ формационного поля данных и концевика. Заголовок содержит информацию, связанную с управлением передачей информационных потоков. Данные центральной час¬ ти блока представляют собой информационное поле, передавае¬ мое между прикладными процессами взаимодействующих або¬ нентских систем. Основная задача проверка ин¬ проверочного блока концевика формационного поля путем формирования — данных. Глава 4 МЕХАНИЗМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ТРАКТАХ ПЕРЕДАЧИ ДАННЫХ И В КАНАЛАХ СВЯЗИ Напомним, гаться данные каким преднамеренным угрозам могут подвер¬ без средств защиты при их передаче: • раскрытие содержания информации; • модификация содержания информации; анализ потока информации; • сообщений; • изменение потока • прерывание передачи сообщений; инициирование ложного соединения. Остановимся на принципиальных моментах применения • ме¬ информации от указанных угроз. Канальное шифрование можно выполнять независимо в каж¬ тодов защиты дом канале связи. ключ, Обычно для каждого канала применяется свой чтобы раскрытие одного канала не приводило к раскры¬ При канальном шифровании, как правило, применяют поточные шифры, и ме¬ жду узлами связи поддерживается сплошной поток битов шифтию данных, передаваемых по другим каналам. Глава 4. Механизмы безопасности информации в трактах... рованного текста. Так как функции коммутации 221 (маршрутиза¬ ции) в сетях выполняются только в узлах, то в каналах можно зашифровать как заголовок, так и информационную часть тек¬ ста. Из-за того, что большинство каналов в сетях являются муль¬ типлексными, чение в канале нарушителю сложно навязать разграни¬ соединений. Данные шифруются только в каналах, а не в узлах, соединенных каналами, быть защищенными. в связи с чем эти узлы должны Для защиты от анализа потока сообщений с целью определе¬ ния частоты и продолжительности соединений при канальном шифровании может быть установлен непрерывный поток битов шифрованного текста. Если каналы связи используются несколь¬ кими соединениями, то канальное шифрование также обеспечи¬ вает сокрытие источника и адресата, так как в канале шифруется и маршрутная информация сообщения. При этом подходе не снижается эффективная пропускная способность сети, так как не требуется передача никакой дополнительной информации, кроме генерации непрерывного зашифрованного потока в каждом узле. При межконцевом шифровании каждое сообщение, за исклю¬ чением некоторых данных заголовка, которые должны обраба¬ тываться в промежуточных узлах маршрута, зашифровывается в его источнике и не дешифруется, пока не достигнет места назна¬ чения. Для каждого соединения может быть использован уни¬ кальный ключ или применено более крупное дробление при рас¬ (например, отдельный ключ между каждой парой связанных между собой главных информационных машин или один ключ внутри всей защищенной подсети). Вторая схема пределении ключей предоставляет межконцевую защиту, но не обеспечивает разгра¬ соединений, которое дает первый подход. По мере рас¬ ширения области использования единственного ключа (ключе¬ вой зоны) растет и количество связанной с ним информации, а ничение вероятность раскрытия ключа, однако задача распределения ключей становится легче. Согласно принципу наименьшей осведомленности, сообще¬ вместе с ним и образом, чтобы каждый модуль, с помощью которого обрабатывается сообщение, содержал ин¬ формацию, необходимую для выполнения только конкретного ние следует зашифровать таким задания. В случае применения межконцевого щиты от частоты анализа и длины, потока и шифрования в целях за¬ искусственно выбранных значений которые могут поддерживаться отдельно для Раздел V. Безопасность информации в информационных сетях и АСУ 222 можно каждого соединения, генерировать «пустые» сообщения различных длин, а настоящие сообщения дополнять пустыми Для определения получателем посторонних расши¬ символами. рений и «пустых» сообщений, подлежащих удалению, можно ис¬ пользовать зашифрованное поле длины. Для поддержания ис¬ кусственных значений межконцевой и длины сообщений особенно пригоден шифрования уровневой организации протоколов сети обмена данными. Для сокрытия настоящей длины и частоты сообщений можно использовать информацию о последовательных номерах и длине сообщения, содержащуюся в метод при протоколе верхнего уровня, так как ложные сообщения можно сбросить, а расширение удалить перед тем, как сообщение будет передано для обработки на следующий протокольный уровень. Изменение деляющие что источник но, целостность изменено, источника сообщений обнаруживают методы, подлинность, В условиях щений. чает, потока — целостность и упорядоченность опре¬ сооб¬ рассматриваемой модели подлинность озна¬ сообщения может быть определен достовер¬ что сообщение на пути следования не было сообщение при передаче от к адресату правильно помещено в общий поток ин¬ а упорядоченность — что формации. Хотя эти задачи решаются при повышении лизацией протоколов передачи данных, этого надежности реа¬ недостаточно, так причиной их невыполнения могут быть и преднамеренные воздействия нарушителя. Требования к подлинности и упорядо¬ как чению сообщений взаимосвязаны с защитой шифрования соеди¬ нения, что побуждает применять индивидуальные ключи шиф¬ рования для каждого соединения. Данные протокола, которые создают основу для определения подлинности и упорядоченно¬ сти, должны быть вставлены в пользовательские данные так, чтобы предотвратить необнаруженные изменения любой части полученного сообщения. Упорядочение защищенных сообщений не означает, что со¬ общения приходят к адресату по порядку или даже что они все¬ передаются по порядку прикладной программы адресата. В некоторых областях применения (например, при передаче речи или изображения в реальном масштабе времени) сообще¬ гда ния, которые поступают раньше их отдельных логических пред¬ шественников, могут быть доставлены немедленно, в то время прибыли после некоторых своих логических преем¬ ников, могут быть сброшены. В случае диалогового режима откак тс, что Глава 4. Механизмы безопасности информации в трактах... 223 дельные высокоприоритетные сообщения могут поступать на об¬ служивающий компьютер (сервер) обычного рядка в отличном порядке, сообщений, потока а процесс от по¬ пользователя требовать немедленного получения информации об их прибытии. В других случаях (например, при определенных видах обработки транзакций) программы готовы к приему сообщений может независимо от их порядка передачи, а прикладная система обна¬ руживает дублирование сообщений. Однако в общем случае на прикладном уровне сообщения должны поступать таким обра¬ зом, чтобы сохранялись как порядок передачи, так и непрерыв¬ ность (т. е. чтобы не было потерь сообщений). Для выполнения этих требований сообщения могут быть обо¬ значены последовательными номерами, указывающими порядок передачи. Последовательная нумерация сообщений позволяет выдавать их процессу по не порядку, зависящему от порядка прибытия, обнаруживать потери сообщений, обнаружи¬ вать и устранять дубликаты сообщений. Если время от времени а также сообщения выдаются процессу не по порядку, то должно быть дешифрование каждого из них. При этом следует не забывать о криптографической синхронно¬ предусмотрено сти и независимое сообщений. Присвоение циклических номеров, уже присво¬ енных мени сообщениям, не должно повторяться на протяжении вре¬ применения одного тивном и того же случае нарушитель ключа может вставить шифрования. В про¬ в соединение копии старых сообщений, которые невозможно будет обнаружить. В каждое сообщение для определения его целостности следу¬ обнаружения ошибок. В условиях применения защиты сообщений объединение шифрования и поля обнаруже¬ ет включать поля ния ошибок позволят также прочно связать данные прикладного уровня и протокольную тификации и информацию, необходимую для аутен¬ упорядочения сообщений. обеспечить высокую гарантию того, исказить ни При этом необходимо что нарушитель не сможет данные, ни заголовки данных так, чтобы это оста¬ необнаруженным. Для удовлетворения этих требований ис¬ лось пользуются два основных подхода, каждый из которых зависит от свойств размножения ошибок алгоритмов дешифрования. Первый подход состоит в применении к протокольной ин¬ формации и данным обычного кода с обнаружением ошибок (например, циклического избыточного кода), шифруемого вме¬ сте с Этот способ применим ко всем режимам приведенным выше. Если применяется л-битный сообщением. шифрования, Раздел V. Безопасность информации в информационных сетях и АСУ 224 обнаружением ошибок, то вероятность необнаруженного изменения сообщения нарушителем можно снизить до 1/2". На¬ код с пример, в случае использования 16-битного циклического избы¬ точного кода вероятность зительно равна 1,5 • необнаруженного изменения прибли¬ 10-5. Второй подход к обнаружению воздействий на целостность сообщений больше основан на свойствах размножения ошибок шифрования. Вместо кода для обнаружения ошибок, который является функцией текста сообщения, используется поле обнаружения ошибки, содержащее значение, которое мо¬ методов жет предсказать получатель подхода является отсутствие ческих сообщения. Достоинством необходимости такого вычисления цикли¬ избыточных кодов, а также возможность использования в поля необходимо качестве предсказуемого как часть протокола (например, поля циклического номера). Это значение должно любое изменение такое, которое уже быть размещено внутри сообщения в точке, где зашифрованного сообщения будет с большой вероятностью приводить к изменению этого значения. Этот спо¬ соб обеспечивает проверку не только целостности, но и упоря¬ если доченности, поле изменяется последовательно во времени (например, циклические номера). Однако данный подход непри¬ годен в шифрах с обратной связью и со сцеплением блоков из-за ограничения размножения ошибок в этих шифрах. Другой цели защиты обнаружения прерывания передачи — можно достичь, используя протокол «запрос—от¬ сообщений вет». Такой протокол, надстроенный над протоколом аутентифи¬ — кации и упорядочения сообщений, включает в себя обмен парой сообщений, устанавливающих временную целостность и статус соединения. На каждом конце соединения используется таймер для периодического запуска передачи сообщения запроса, на ко¬ торое должен поступить ответ с другого соединения. Каждое этих из сообщений содержит информацию своего передатчика, ко¬ торая позволяет обнаружить потерю сообщений в соединении. Для обнаружения инициирования ложного соединения раз¬ работаны контрмеры, обеспечивающие надежную основу для проверки подлинности конце и для ветственным проверки за ответственного за соединение временной целостности соединения. От¬ соединение, применяемых мер защиты, терминал, компьютер, на каждом зависимости может от сферы действия быть процесс, пользователь, Проверка временной целостности воздействий, осуществляемых с помо- сеть. соединения защищает от в Глава 5. Рекомендации по безопасности информации... щью воспроизведения конного» соединения. нарушителем записи предыдущего 225 «за¬ Пример механизма защиты можно легко получить из меха¬ низма обнаружения прерывания передачи сообщения, приведен¬ ного выше. На конце соединения генерируется уникальный вы¬ зов (например, двоичное значение времени и даты), и он переда¬ ется на другой конец. Затем вызовы возвращаются отправителям (возможно, модифицированные некоторым предопределенным образом) для проверки того, что эта процедура происходит в те¬ кущий момент. Получение соответствующих ответов на каждом конце завершает эту процедуру. Проверка подлинности ответственных за соединение на каж¬ дом конце во время процедуры инициирования соединения слу¬ жит основанием для вывода о подлинности последующего потока сообщений. Поддержание этой ными за соединение, соединения, взаимосвязи определенными во между ответствен¬ время инициирования и самим этим соединением включает в себя методы соответствующего распределения ключей шифрования и некото¬ рые другие меры его (например, физическая защита терминала при использовании) или механизмы защиты, которые «привязы¬ вают» соединение к процессу компьютера. Глава 5 РЕКОМЕНДАЦИИ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ТЕЛЕКОММУНИКАЦИОННЫХ КАНАЛАХ СВЯЗИ Рассмотренная в разделе 3 концепция безопасности инфор¬ мации в каналах связи согласуется с рекомендациями Междуна¬ родной организации по стандартизации (МОС). В соответствии с рекомендациями МОС в дополнение к мо¬ дели взаимосвязи (ВОС) предложен проект служб защиты, функции которых реализу¬ систем открытых создания сервисных ются с помощью специальных При этом процедур защиты, совместное которых позволяет организовать 14 служб. Взаи¬ определены использование процедур. восемь (средств) мосвязь служб (функций) табл. 1. При этом цифрами в таблице обозначены номера логи- и процедур представлена в Раздел V. Безопасность информации в информационных сетях и АСУ 226 Таблица 1. Средства защиты, рекомендуемые МОС в модели взаимосвязи открытых систем Функция защиты Логические уровни Номер функции Средство защиты 1 2 3 4 5 6 7 — — + + — — — — — + + — — — — — + + — — — — — + + — — — — + + — — + + + + — — — — — — — Аутентификация: одноуровневых объектов 1 Шифрование, цифровая подпись Обеспечение аутентификации источника данных 2 Шифрование Цифровая подпись Контроль доступа 3 Управление доступом 4 Шифрование + + Засекречивание: соединения Управление маршрутом в режиме без соеди¬ 5 Шифрование — + + + + + — + + — — — + — нения Управление маршрутом выборочных полей 6 Шифрование потока данных 7 Шифрование Заполнение потока Управление маршрутом + — — — — — — — 4- — — — — + — — — — — — — — — — + — — + — — + — — — — + — — — — — — — + + — — + — Обеспечение целостности соединения с восстанов- 8 ле нием соединения без восста¬ 9 + — + + — — — — — — + + — — — + — — + + + Шифрование, обеспечение целостности данных 10 Шифрование, обеспечение целостности данных 11 Шифрование данных без установления — целостности данных новления выборочных полей Шифрование, обеспечение соединения данных Цифровая подпись Обеспечение целостности данных — + Глава 5. Рекомендации по безопасности информации... 227 Окончание табл. 1 Логические уровни Номер функции Функция защиты выборочных полей без Средство защиты 1 12 2 3 Шифрование 4 5 6 — — 7 — со единения Цифровая подпись — — Обеспечение целостности — + + + — данных Информирование: об отправке 13 Цифровая подпись, обеспе¬ + — чение целостности данных, подтверждение характери¬ стик данных 14 о доставке ческих данные То же + — уровней эталонной модели ВОС, на которых реализуются процедуры образования служб с целью с разночтением обеспечения безопасности. Однако, в связи в специальной литературе предварительно договоримся об эквивалентах-терминах «службы функции» и «процедуры средства». Шифрование данных предназначено для закрытия — в виде — ных абонента или некоторых полей всех дан¬ сообщения, может иметь два уровня: • • шифрование в канале связи (линейное); межконцевое (абонентское) шифрование. В первом случае, чтобы предотвратить возможности анализа трафика, шифруется вся информация, передаваемая в канал свя¬ зи, включая все сетевые заголовки. предназначено для предотвращения абонента. Абонентское раскрытия шифрование только данных Цифровая подпись передаваемых сообщений служит для под¬ тверждения правильности веряет факт его указан содержания отправления именно сообщения. Она удосто¬ тем абонентом, который в заголовке в качестве источника данных. пись является известного Цифровая под¬ функцией содержания секретного сообщения, абоненту-источнику, и общей информации, от только известной всем абонентам сети. Раздел V. Безопасность информации в информационных сетях и АСУ 228 Управление доступом к ресурсам сети выполняется на осно¬ вании множества правил и формальных моделей, использующих в качестве аргумента доступа информацию о ресурсах (класси¬ идентификаторы абонентов. Служебная информа¬ ция для управления доступом (пароли абонентов, списки разре¬ шенных операций, персональные идентификаторы, временные ограничители и т. д.) содержится в локальных базах данных службы обеспечения безопасности сети. фикацию) и Обеспечение целостности данных предполагает введение в ка¬ ждое сообщение некоторой дополнительной информации, кото¬ рая является функцией от содержания сообщения. В рекоменда¬ циях МОС рассматриваются методы обеспечения целостности двух типов: первые обеспечивают целостность единственного блока данных, вторые целостность потока блоков данных или — отдельных полей этих блоков. При этом обеспечение целостно¬ сти потока блоков данных не имеет смысла без обеспечения це¬ лостности режимах отдельных обнаруживаются данных с Эти методы применяются в дейтаграммной передачи. В первом случае использовании при блоков. двух по и данных соединению при передаче виртуальному — неупорядоченность, помощью потери, повторы, специальной нумерации блоков вставки или введе¬ времени. В дейтаграммном режиме метки времени могут обеспечить только ограниченную защиту целостности по¬ нием меток блоков данных цию отдельных блоков. следовательности и предотвратить переадреса¬ Процедуры аутентификации предназначены для защиты при передаче в сети паролей, аутентификаторов логических объектов и т. д. Для этого используются криптографические методы и протоколы, основанные, например, на процедуре «троекратного Целью таких протоколов является защита от уста¬ новления соединения с логическим объектом, образованным на¬ рукопожатия». рушителем или действующим под его управлением с целью ими¬ тации работы подлинного объекта. Процедура заполнения возможности анализа потока служит для предотвращения трафика. Эффективность применения этой процедуры повышается, если одновременно с ней предусмотре¬ но линейное шифрование всего потока данных, т. е. потоки ин¬ формации и заполнения делаются неразличимыми. Управление маршрутом предназначено для организации пе¬ образованным с помощью безопасных технических устройств и систем. При редачи данных только по маршрутам, надежных и Глава б. Система безопасности информации в трактах передачи данных... 229 этом может быть организован контроль со стороны получателя, который в случае возникновения подозрения о компрометации используемой системы защиты может потребовать изменения маршрута следования данных. Процедура подтверждения характеристик данных предполага¬ ет наличие арбитра, который является доверенным лицом взаи¬ модействующих абонентов и может подтвердить целостность, время передачи сообщения, а также предотвратить возможность отказа источника от выдачи какого-либо сообщения, а потреби¬ теля — от его приема. Данные рекомендации, безусловно, требуют более детальной проработки на предмет их реализации в существующих протоко¬ лах. С позиций рассматриваемой в данном учебном пособии концепции защиты (разд. 3) отметим некоторую избыточность защитных функций, например аутентификации, которая являет¬ ся неотъемлемой частью функции контроля доступа и, следова¬ тельно, автоматически в нее входит Для сокращения средств защиты на количества целесообразно взять за основу средства защиты 7-м уровне и дополнить их средствами на остальных уровнях, но только теми, которые выполнят защитные функции, не охва¬ 7-м уровне. При этом критерием выбора средств должно служить выполнение условий «а»—«з», ченные средствами защиты на приведенных в разд. 3. Глава 6 СИСТЕМА БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ТРАКТАХ ПЕРЕДАЧИ ДАННЫХ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ Основные задачи и принципы построения Под трактом передачи данных в автоматизированной систе¬ ме управления понимается тракт, образуемый при передаче ин¬ формации от пользователя к пользователю. Участниками этого процесса могут быть пользователи как одного комплекса средств автоматизации обработки информации, так и разных комплек¬ сов средств автоматизации, входящих в состав автоматизирован¬ ной системы управления. Раздел V. Безопасность информации в информационных сетях и АСУ 230 Примером тракта служит цепочка А -^ рабочая станция ^ сервер связи ^ «пользователь ^ аппаратура передачи данных КСА1 —> узел коммутации сообщении ^ канал связи ^ -> ^ канал связи ^ аппаратура передачи данных КСА2 ^ сервер связи ^ -> рабочая станция ^ пользователь В» При этом количество промежуточных элементов, составляю¬ щих цепочку, имеет переменный характер (может быть увеличе¬ но) и зависит от маршрута сообщения, определяемого сетью пе¬ редачи данных. Защита информации в этом тракте с учетом вы¬ шеизложенного обеспечивается набором средств: цепочкой «рабочая станция ^ сервер связи ^ аппаратура пе¬ редачи данных», закрывается системой защиты информации комплекса средств автоматизации обработки информации; каналом связи средствами линейного шифрования; собственной системой за¬ узлом коммутации сообщений • • — • — щиты, аналогичной защите зации обработки информации. Обработка сообщения в комплексе средств автомати¬ в узле производится в открытом виде. В итоге передаваемая информация проходит довольно слож¬ ный путь, при этом одновременно происходит передача множе¬ ства других сообщений. Пункты их передачи и обработки разне¬ сены друг сятся к от на далекие друга разным организациям расстояния. Пользователи с различными отно¬ полномочиями. Передача документов по указанным трактам потребовала опре¬ деленных юридических гарантий. Возросшие при этом потенци¬ альные угрозы безопасности передаваемой информации предо¬ пределили появление специальных средств защиты, в функции которых вошли: • • • гарантированной стойкостью информации ее отправителем и дешифрование получателем; шифрование с обеспечение соответствующих полномочий пользователей путем распределения ключей шифрования; обеспечение юридической значимости документам, переда¬ ваемым по сети передачи данных. Первые две функции выполняют средства абонентского шиф¬ рования информации, третью средства цифровой подписи. — Глава б. Система безопасности информации в трактах передачи данных... 231 Абонентское шифрование При абонентском шифровании схема подготовки, передачи и приема информации в классическом варианте (применение одного общего секретного ключа шифрования-дешифрования) выглядит согласно рис. 1. В такой системе центр изготовления и рассылки ключей не только снабжает пользователей ключами, но и несет ответствен¬ ность за их сохранение в секрете при изготовлении и доставке. А поскольку в случае утечки информации в результате компро¬ метации ключей в такой системе практически невозможно дока¬ где зать, или в произошла компрометация (у одного из пользователей центре), то обычно принимается, что центр в этом смысле надежнее, и потому на него возлагается контроль за всеми клю¬ чами на протяжении всего цикла от изготовления до их уничто¬ жения у пользователя. Таким образом, вопрос о том, кто являет¬ информации, получает однозначный от¬ вет. По этой причине функции центра должны принадлежать информационной системе и/или автоматизированной системе ся истинным хозяином управления, а не сети передачи данных. Рис. 1. Схема рассылки и использования ключей при симметричном шифровании Раздел V. Безопасность информации в информационных сетях и АСУ 232 Центр выступает также и как гарант подлинности передавае¬ мых сообщений, так как если пользователю В (см. рис. 1) удается с секретного помощью ключа К, доставленного из центра, рас¬ А, то шифровать сообщение М, полученное он уверен, что зашифровать и отправить его мог только облада¬ тель того же ключа К, а это мог быть только пользователь А (или другой пользователь, получивший такой же ключ из центра). Здесь мы подходим к следующей проблеме. Если в сети об¬ мениваются информацией по принципу «каждый с каждым», на¬ пример, 100 пользователей, то потенциально возможных связей 4851, т. е. для обеспечения неза¬ между ними будет (99 х 98)/2 им от пользователя = обмена информацией между каждой парой пользовате¬ висимого лей центр С должен изготовить 99 ключей в сформированных надлежащим образом из исходного набора 4851 ключей. Если ключи сменяются хотя бы каждом, и разослать 100 комплектов по 1 раз в месяц, то в течение года необходимо изготовить 58 212 исходных ключей, сформировать из них 1200 комплектов по 99 ключей в каждом и развезти всем пользователям системы. И это для сети, состоящей только из 100 пользователей. Этот «генетический дефект» традиционных систем обмена шифрованной информацией сразу же был остро прочувствован разработчиками коммерческих телекоммуникационных сетей при первых попытках использовать шифрование как средство под¬ тверждения подлинности и авторства электронных документов при передаче их по каналам электросвязи 70-х годов. Даже такие области межбанковских расчетов, как 8.\У.1.ЕТ. (Международная межбанковская организация по фи¬ мощные организации нансовым в расчетам), вынуждены были идти на риск и прибегать при рассылке части секретных ключей к услугам обычной почты. Это дает возможность несколько снизить расходы, ние дополнительных мер защиты секретных но примене¬ ключей, пересылае¬ конвертах, делает удешевление не столь ощутимым. Размышления о том, как избавиться от недостатков традици¬ мых в димостью криптографической защиты, связанных с необхо¬ содержать мощную и дорогую службу изготовления секретных ключей онных систем и снабжения ими пользователей, привели двух американских исследователей У. Диффи и М. Хеллмана в 1976 г. к следующим принципиально новым идеям. Предполагая, что пользователи имеют некоторую общеизве¬ стную надежную процедуру (программу) шифрования и обще¬ известные процедуры преобразования исходных ключей, мож- Глава б. Система безопасности информации в трактах передачи данных... но 233 изобразить схему формирования парой пользователей А и В общего секретного К для ключа шифрования/расшифрования (рис. 2). Рис. 2. Схема формирования общего секретного ключа Главным пунктом, принципиально отличающим данную схе¬ му получения диционной, и общего секретного ключа от тра¬ что обмен открытыми ключами /(х) пользователями является то, Ду) производится по любому доступному каналу связи в от¬ крытом виде. При этом должна быть гарантия, что по перехваченным в ка¬ нале открытым ключам Дх) и Ду) практически невозможно по¬ лучить общий ключ К, не зная хотя бы один из исходных секрет¬ ных ключей х, у. В качестве такой гарантии в данном случае вы¬ ступает сложность известной которую приходится решать Если в качестве математической в ходе вычисления ключей х и у выбираются проблемы, К по Дх) и Ду). случайные целые числа из 512 бит каждое, то для вычисления К по Дх) = ах той р Ду) = ау той р и с целыми а ул работу р (также по 512 бит каждое) не менее чем из 1024 операций. необходимо проделать 234 Раздел V. Безопасность информации в информационных сетях и АСУ Таким образом, вычисление общего секретного ключа К открытым ключам /(х) и /(у) является практически не¬ выполнимой задачей, что позволяет применять ключ К для на¬ только по зашифрования информации. Другой принцип, предложенный У. Диффи и М. Хеллманом для решения проблемы снабжения пользователей сети ключами шифрования/расшифрования, получил название открытое шиф¬ дежного рование. Для зашифрования и расшифрования информации использу¬ ются различные ключи, которые хотя и связаны между собой, но устроены так, что вычислить по одному из них (открытому клю¬ чу) второй (секретный ключ) практически невозможно (в том же смысле, что и выше). Теперь обмен зашифрованной информацией между пользо¬ вателями можно изобразить так, как показано на рис. 3. Дешифрование С Шифрование М с помощью X с помощью У Рис. 3. Схема открытого шифрования Первое практическое воплощение принцип открытого шиф¬ рования получил в системе К8А, разработанной в 1977 г. в Мас¬ сачусетсом Технологическом институте (США). Идея авторов состояла в том, что взяв целое число п в виде произведения двух больших простых чисел п = ру, можно легко подобрать пару чисел е и (1, таких, что I < е, с/ < п, чтобы для лю- Глава б. Система безопасности информации в трактах передачи данных... 235 бого целого числа т, меньшего п, было справедливо соотноше¬ (тс1У ние т = той п. В качестве открытого ключа шифрования в системе К8А вы¬ ступает пара У = (л, е), а секретным ключом для расшифрования сообщений является число (1. Процедура шифрования сообщения М, рассматриваемого как целое число, меньшее п (при необходимости длинное сооб¬ щение разбивается на отрезки, шифруемые независимо), состоит в вычислении значения С = Ме той п. Расшифрование осуществляется аналогично с помощью сек¬ ретного ключа с1 М =С‘‘ той п. Математически строго паре чисел множители ния на п, е задача. секретного числа п, множители нейших времен можно доказать, и т. е. ключа с! нахождения не что определение по проще разложения на ряд. Задача же разложе¬ целого числа изучается известна очень как в математике с сложная древ¬ вычислительная На современных компьютерах разложение числа, состоя¬ щего из нескольких сотен десятичных знаков, потребует тысячи непрерывной работы. Кроме системы К8А, известен целый ряд систем открытого шифрования, основанных на других сложных математических за¬ дачах («укладка ранца», декодирование линейных кодов и т. д.). Некоторые из них так и остались теоретическими разработками, лет другие получили ту или иную реализацию. С идейной точки зрения различие между системами откры¬ того распределения ключей и открытого шифрования не столь принципиально; каждая из них при небольшой модификации может использоваться как для шифрования, так и для распро¬ странения секретных ключей по открытым каналам связи. Переход от открытого шифрования к открытому распределе¬ нию ключей достаточно прозрачен: отправитель шифрует и пе¬ редает с помощью системы открытого шифрования секретный ключ, на котором потом будет традиционным способом шифро¬ ваться информация. Общий секретный ключ, получаемый при открытом распределении ключей, можно использовать непо- Раздел V. Безопасность информации в информационных сетях и АСУ 236 шифрования, побитно складывая его с переда¬ ваемым сообщением, в результате этого получается система от¬ крытого шифрования. Поэтому для именования обеих систем часто употребляют единый термин «системы с открытым клю¬ средственно для без уточнения, какой чом» имеется в обмена сообщений тип или ключей виду. Дополнительным соображением в пользу единого именова¬ ния систем является то, что с практической точки зрения их эф¬ фективнее использовать лишь для распределения секретных ключей, осуществляя шифрование информации традиционным способом. Дело в том, что основной операцией в этих системах модулю 500—1000-битовых чи¬ является возведение в степень по программной реализации в несколько десятков раз медленнее, чем шифрование того же размера данных стандарт¬ ным алгоритмом (например, ЭЕ8). В связи с этим для быстрой обработки большого потока сообщений применяют специализи¬ что сел, при рованные процессоры, выполняющие данную операцию, или же используют системы с открытым ключом только для получения секретного ключа шифрования. Средства формирования цифровой подписи передаваемых сообщений Принципы открытого распределения ключей и открытого шифрования, решая наиболее трудоемкую проблему изготовле¬ ния и рассылки секретных ключей для шифрования и предо¬ ставляя абонентам открытых систем возможность конфиденциальную информацию без такта ключами, угла и предварительного обмена передавать непосредственного поставили во кон¬ главу проблему подлинности партнера и авторства принимаемых сообщений. не Развитие деловой переписки в только получателю возможности подлинности документа, самому электронном виде требовало удостовериться но и в возможности доказать в авторство документа третьей стороне, например суду. Классическое распределение ключей посредством центра ре¬ шало данную ванного проблему частично: автором правильно расшифро¬ сообщения мог быть только тот, кто знал ключ, т. с. от¬ правитель, получатель и, возможно, центр. Глава 7. Управление доступом к информации в сети передачи и в АСУ 237 Кроме того, предъявление третьему лицу документа вместе с ключом шифрования означает, что становятся известными и все сообщения, переданные с остальные помощью данного ключа, что не всегда приемлемо, а обеспечить всем по разовому ключу на каждое сообщение не представляется возможным. Следова¬ тельно, потребовался электронный аналог физической подписи, обладающий двумя свойствами: • подпись воспроизводится только одним лицом, ность ее может • подпись быть удостоверена многими; неразрывно ется с данным а подлин¬ (посредством листа бумаги) связыва¬ документом и только с ним. Путь создания электронной подписи также был предложен У. Диффи и М. Хеллманом и основывался, как и при открытом пары связанных между собой ключей (секретного и открытого). Их идея состояла в том, чтобы шифровании, на использовании открытого шифрования поменять роли секретного открытого ключей: ключ подписывания сделать секретным, в системе ключ — проверки и а открытым. Если при этом сохраняется свойст¬ открытому ключу с информационной точки зрения нельзя в обозримое время найти секретный ключ подписывания, во, то что по электронной подписи может выступать само сооб¬ в качестве щение, подписанное на секретном ключе. Тем самым подписать сообщение может только владелец секретного ключа, но каждый, кто имеет его открытый ключ, может проверить подпись, обрабо¬ тав ее на известном ключе. Более вести по подробное изучение данной технологии можно про¬ специальной литературе или учебному пособию ав¬ торов [4]. Глава 7 УПРАВЛЕНИЕ ДОСТУПОМ К ИНФОРМАЦИИ В СЕТИ ПЕРЕДАЧИ И В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ УПРАВЛЕНИЯ Управление доступом к информации в сети передачи осуще¬ ствляется при шения работ. ее подготовке, в процессе эксплуатации и завер¬ Раздел V. Безопасность информации в информационных сетях и АСУ 238 При подготовке сети передачи информации и автоматизиро¬ ванной системы управления к пом заключается в выполнении уточнении задач • и эксплуатации управление досту¬ следующих функций: распределении функций элементов сети и автоматизированной система управления и обслуживаю¬ щего персонала; • контроле ввода адресных таблиц в элементы сети; • вводе таблиц полномочий элементов сети, пользователей, процессов и т. д.; выборе значений, распределении и рассылке ключей шиф¬ • рования • по назначению; функционирования проверке систем шифрования и кон¬ троля полномочий. В процессе эксплуатации управление доступом предполагает: • контроль соблюдения полномочий элементами сети, про¬ цессами, пользователями и т. обнаруже¬ д.; своевременное блокировку несанкционированного доступа; контроль соблюдения правил шифрования данных и при¬ ние и • шифрования; менения ключей сбор, регистрацию и документирование информации о не¬ • санкционированном доступе с указанием места, даты и времени события; регистрацию, документирование и контроль всех обраще¬ ний к информации, подлежащей защите, с указанием даты, • времени и данных отправителя и получателя информации; • выбор, распределение, рассылку и синхронизацию приме¬ нения новых значений ключей шифрования; • изменение и элементов сети, процессов, терминалов и пользователей; • ввод при необходимости проведение организационных новых полномочий мероприятий по защите ин¬ формации в сети передачи и автоматизированной системе управления. В для простейшем случае управление доступом определения доступ к того, разрешено или некоторому элементу сети. управления доступом можно сети разрешался или служить пользователю Повышая запрещался иметь избирательность добиться того, чтобы доступ дельным элементам сети для отдельных тов нет может пользователей независимо к от¬ и элемен¬ от других. И наконец, механизмы управления доступом можно расширить так, чтобы они охватывали объекты внутри элемента сети, на¬ пример процессы или файлы. Глава 7. Управление доступом к информации в сети передачи и в АСУ 239 Нарушение полномочий выражается: в обращении с запросом или выдаче отправителем команд, • не • • предусмотренных в списке несовпадении значений получателей элемента сети; предъявленного и хранимого объекте-получателе паролей; получении им зашифрованной информации, не на поддаю¬ щейся расшифровке, и т. д. Во всех перечисленных случаях дальнейшая обработка и пе¬ редача данных кодограмм прекращается, и на объект управле¬ ния безопасностью информации автоматически передается со¬ общение о факте несанкционированного доступа, его характере, имени объекта-отправителя, дате и времени события. Каждый случай несанкционированного доступа регистрируется и доку¬ ментируется на объекте-получателе и объекте управления досту¬ пом в сети передачи информации и автоматизированной систе¬ ме управления. После получения сообщения ванном доступе служба безопасности о несанкциониро¬ информации производит расследование случившегося устанавливает причину события. Если причина события случайная, решение вопроса поручается и службе обеспечения надежности, если преднамеренная полняются соответствующие указания должностной ции, разработанной данной организацией цем сети передачи информации и — вы¬ инструк¬ фирмой-владель¬ автоматизированной системы или управления. Управление доступом может быть трех видов: • централизованное управление. Установление полномочий администрацией организации или фирмывладельца автоматизированной системы управления, сети или информационной системы в целом. Ввод и контроль полномочий осуществляется представителем службы безо¬ пасности информации с соответствующего объекта управ¬ производится ления; • иерархическое децентрализованное управление. Центральная организация, осуществляющая установление полномочий, может передавать некоторые свои полномочия подчинен¬ сохраняя за собой право отменить или пересмотреть решения подчиненной организации или ным организациям, лица; • индивидуальное управление. В этой ситуации не существует статической иерархии в управлении распределением пол¬ номочий. Отдельному лицу может быть разрешено созда- Раздел V. Безопасность информации в информационных сетях и АСУ 240 информацию, гарантируя при этом ее защиту от несанкционированного доступа. Владелец информации мо¬ вать свою своему усмотрению открыть доступ к ней другим пользователям, включая передачу права собственности. жет по Все указанные виды управления могут применяться одновре¬ менно в зависимости от характера деятельности и задач органи¬ зации-владельца автоматизированной системы управления, сети информационной системы в целом. При централизованном контроле полномочий на терминале возможно отображение структуры автоматизированной системы управления, сети или информационной системы в целом. При или этом каждому элементу автоматизированной системы управле¬ информационной системы присваивается имя или номер, при отображении которых вводятся по каждому эле¬ ния, сети или менту следующие признаки его состояния: «введен—не состав системы», «исправен—неисправен» и «нет введен в несанкциони¬ рованного доступа—есть несанкционированный доступ». Современные средства отображения позволяют реализовать эти признаки в различных вариантах, удобных для операторов. Функции контроля и управления безопасностью информа¬ ции в автоматизированной системе управления (сети) можно возложить на оператора автоматизированного рабочего места системы безопасности информации комплекса средств автома¬ тизации обработки информации, являющегося управляющим объектом автоматизированной системы управления (сети). На каждом элементе автоматизированной системы управле¬ ния и сети на терминал службы безопасности информации или терминал, выполняющий его функции, информация выводится в виде списка пользователей, процессов и элементов сети (авто¬ матизированной системы управления), имеющих право обра¬ щаться к данному элементу сети, процессу или пользователю, а также в виде перечня их полномочий. му вызову должен процессов данного быть представлен элемента Соответственно по друго¬ список имеющих пользователей и на в право каналы связи сети с указанием их полномочий. В последние годы сети, выход российском рынке приобретают попу¬ лярность корпоративные (частные) цифровые сети связи, ранее в основном использовавшиеся для передачи секретной инфор¬ мации в оборонных отраслях промышленности. Основное на¬ значение таких сетей обеспечить закрытой связью абонентов, на — связанных корпоративными интересами. Глава 8. Организационные мероприятия по обеспечению безопасности... 241 Глава 8 ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В СЕТЯХ ПЕРЕДАЧИ ИНФОРМАЦИИ И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ Организационные составляют мероприятия наиболее важ¬ ную часть системы обеспечения безопасности информации в ин¬ формационных системах в целом, а также в автоматизированных На организационном уровне осуществляются системах. взаимо¬ действие элементов автоматизированной системы управления и передачи информации, синхронизация действий подсистем, объектов и персонала. В результате исследования видов инфор¬ сети мации, подлежащей защите, циркуляции, мест сосредоточе¬ полномочий элементов автоматизиро¬ ния, а также функций и ванной системы управления ее и сети передачи информации опре¬ перечень видов управляющей деятельности службы безопасности информации; стоящие цели, перед органами деляются: обеспечении защиты информации; перечень подзадач, посредством решения которых реализуются цели за¬ щиты; распределение задач защиты между органами исполнения управления при уровней; объемы, виды, формы и сроки представле¬ ния информации вышестоящим органам управления. Разработка функциональной структуры службы безопасности информации затрагивает главные проблемы руководства и ос¬ различных новные идеологические концепции построения автоматизиро¬ ванной системы управления и сети передачи данных, исходя из как общих закономерностей управления организационными сис¬ темами, ния и так и из анализа особенностей технологии планирова¬ принятия решений, специфичных для данной автоматизи¬ рованной системы управления и сети передачи информации. В процессе подготовки к эксплуатации системы пользовате¬ обучаются правилам выполнения защитных мероприятий при работе с системой, убеждаясь в их необходимости и важности. При этом по-прежнему важны подбор и расстановка кадров в ли соответствии с их квалификацией и функциональными обязан¬ будущих работ. При переходе на авто¬ матизированную систему в целях защиты информации возможно потребуется перестройка структуры организации. В период реорностями при выполнении Раздел V. Безопасность информации в информационных сетях и АСУ 242 ганизации система особенно уязвима, что объясняется вием многих факторов. Назовем некоторые из них: отсутствие на первых порах привычки пользователей отсутствие осторожности и следствие, ление воздейст¬ к новой появление системе и, как ошибок; появ¬ ошибок разработчиков системы, включая систему защиты; отвлечение внимания пользователей текущими проблемами от вопросов защиты и т. д. В связи с этим вопросы защиты должны быть строго учтены при составлении планов работ и их реализации особенно в на¬ чальный период эксплуатации. В период подготовки и эксплуа¬ автоматизированной системы управления (сети передачи информации) проводятся организационные мероприятия в инте¬ ресах выполнения функций управления. В процессе эксплуатации автоматизированной системы управления (сети передачи информации) в ее состав могут быть тации введены новые элементы или выведены по какой-либо причине старые. Перед вводом нового элемента должны быть проверены и испытаны на функционирование его системы защиты информа¬ ции. После принятия решения о выводе старого элемента автома¬ тизированной системы управления (сети передачи информации) необходимо скорректировать соответствующие таблицы полно¬ мочий других элементов автоматизированной системы управле¬ ния (сети передачи информации) на предмет его исключения и удалить значения кодов его паролей, а на самом элементе удалить секретную информацию из его оперативной и при необходимости долговременной памяти, включая адресные таблицы сети переда¬ чи, структуру автоматизированной системы управления и сети передачи информации, таблицы полномочий и кодов паролей, о чем целесообразно составить соответствующий акт, подписанный ответственными исполнителями работ. Наконец, наступает такое время, когда необходима замена самой системы в целом, как мо¬ рально устаревшей, на новую. Однако информация, циркулирую¬ щая в старой системе, может быть ценной и подлежать защите по сей день. Тогда необходимо работать с каждым элементом авто¬ матизированной системы управления (сети передачи информа¬ ции), аналогично описанной выше процедуре работы с элемен¬ том, выводимым из системы. Специалисты рекомендуют соблюдать следующие требова¬ ния по безопасности информации в информационных сетях: все возможные пути прохождения данных в сети от отправителя со¬ общения до получателя должны быть защищены. Это обычно Глава 8. Организационные мероприятия по обеспечению безопасности... называют безопасностью должны появляться терминалы из конца в конец; данные никогда внутри сети в форме, пользователей и терминалы, в любое время, функционирование не оказывая всем сети; не пригодной для чтения; обслуживающие серве¬ ра, должны быть способны осуществлять операцию старта тановки 243 влияния на терминалам и длительного пользователям, и ос¬ компьютерам должны быть присвоены уникальные идентифика¬ и осуществлена проверка их подлинности при доступе в сеть; если исходный текст состоит только из нулей и единиц, то торы передаваемое сообщение шифроваться не должно; при отсутст¬ вии передачи сообщения в целях скрытия своей активности дол¬ жен использоваться генератор шума. При разработке важна оценка тия ключа. системы защитных преобразований очень объема усилий и затрат, необходимых для раскры¬ Если эти затраты нарушителя превышают получае¬ мый при этом выигрыш, система защиты считается эффектив¬ ной. Следуя концепции защиты, принятой за основу, вводим временной фактор, так как он позволяет провести относительно стоимостного более точную оценку, т. е. система шифрования данных считается эффективной, если объем усилий, выражен¬ ный затратах времени для раскрытия ключа нарушителем, пре¬ вышает время старения защищаемых данных. в При раскрытии нарушителем ключа следует учитывать воз¬ можность применения для этой цели современной информаци¬ онной техники, а также ее развитие за период использования средств защиты в данной информационной сети и информации, автоматизированной системе управления. Контрольные вопросы 1. Какие исходные данные необходимо знать при построении систем защиты ин¬ формации? 2. Как выглядит структура системы безопасности информации в автоматизиро¬ ванной системе управления? 3. Какие существуют механизмы безопасности информации в трактах передачи данных и в каналах связи? 4. Что подразумевается под трактом передачи данных в автоматизированной системе управления? Как в нем осуществляется защита информации? 5. Как осуществляется симметричное шифрование? 6. В чем заключается открытое шифрование? Раздел VI ОЦЕНКА УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ Глава 1 АНАЛИЗ МЕТОДОВ ОЦЕНКИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ Вопрос оценки защищенности информации в информацион¬ ных системах в связи с постоянно меняющимся граммно-аппаратных комплексов, компьютерной тей является по-прежнему актуальным. Безопасность информации формационной системы иметь единицы измерения. необходима для точности для Вопросам много как техники про¬ и се¬ важнейшая характеристика ин¬ любая характеристика, должна Оценка защищенности информации определения уровня безопасности и его доста¬ той или иной системы. оценки литературы. тивных — — парком документов мые в США. защищенности информации Первыми завершившиеся в этой области являются посвящено выпуском норма¬ работы, проводи¬ Следуя по пути интеграции, Франция, Германия, Нидерлан¬ ды и Великобритания в 1991 г. приняли согласованные «Евро¬ пейские Критерии» оценки безопасности информационных тех¬ нологий. Министерство обороны США выработало ряд классифика¬ ций для определения различных уровней Они изложены в «Оранжевой книге» или защищенности в ЭВМ. «Оценочных крите- Глава 1. Анализ методов оценки защищенности информации 245 информационных систем». Шкала данных стандартов включает градации от Б до А1, где уровень А1 наи¬ высший. Классы угроз сформулированы в разделах об оценках и риях защищенности в классах «Оценочных критериев...». Подход к критериям оценки систем в них выражается в сле¬ дующем. Безответственность пользователей вызывает необходи¬ мость контроля пользовательской деятельности для обеспечения защищенности уровне поднимает ном С1 информационных систем. Контроль на приклад¬ вычислительные системы категорий до С2 «Оценочных критериев...», а для борьбы с попытками проникновения требуется полный набор средств защиты и более и эффективное его использование. Согласно «Оценочным крите¬ риям...» такие системы можно отнести к категориям от С2 до В2. Системы с хорошо развитыми средствами защиты относятся к категориям В2 и А1. Механизм одобрения создания принципе включены изделия оцененных перечня с систем защищенных для определенной щенные системы оцениваются изделий, степенью основан в на который качества. Защи¬ по запросам их изготовителей и помещаются в перечень оценочных изделий по шести защищенности. В случае необходимости уровням потребитель требованиям изделие либо может вы¬ брать перечня подходящее обратиться с просьбой оценить необходимое ему изделие, из к его перечень оцененных. Оценка защищенности информации не входящее в системах по информационных уровням «Оценочных критериев...» основывается классификации класса: в потенциальных угроз, которые безответственность пользователей, на делятся попытки на три несанкцио¬ нированного проникновения и сам факт несанкционированного проникновения. Под безответственностью пользователя понимаются такие действия аккредитованного лица, которые приводят к нелояль¬ ным или преступным результатам. Попытка несанкционированного проникновения означающий использование нарушителем плохого системой, а также можно сказать о вый доступ рые к и несовершенства системах, где все пользователи термин, управления То же самое имеют одинако¬ файлам. В этом случае возможны действия, кото¬ полностью следствия системы защиты. — законны, но нежелательные могут иметь результаты для ляющих вычислительными системами. непредвиденные владельцев по¬ и управ¬ Раздел VI. Оценка уровня безопасности информации... 246 И наконец, проникновение подразумевает полный обход всех видов системного ного контроля для достижения несанкционирован¬ Например, проникновение с помощью специально доступа. составленной программы, которая использует несовершенство контрольных параметров операционной системы для получения управляющего воздействия на информационную систему в отно¬ шении супервизора или режима ядра либо же проникновение в трассировочный шкаф в здании офиса для установки перехваты¬ вающего устройства на телефонной линии. Следует подчеркнуть, что проникновение требует затрат квалифицированного труда, направленного на преднамеренное нарушение. Критерием оценки информационных систем согласно прин¬ ципам классификации «Оранжевой книги» по существу является соответствие состава программных и аппаратных средств защиты данной системы составу средств, приведенному в одном из клас¬ сов оценки. класса, системе ная книга сти Если состав средств не дотягивает до более высокого присваивается ближайший нижний широко используется в класс. Дан¬ США при оценке защищенно¬ информации в военных и коммерческих информационных Однако зарубежными системах. специалистами недостатки этой системы оценки. уже отмечались По мнению сотрудников Цен¬ тра безопасности ЭВМ МО США, «Оценочные критерии...», хотя и являются мерилом степени безопасности, но не дают ответа на вопрос, в какой степени должна быть защищена та или иная сис¬ тема, т. е. они не обеспечивают привязку классов критериев к требованиям защиты обрабатывающих средств, испытывающих различные степени риска. «Оценочные критерии...» не работают при оценке уровня без¬ опасности информационных сетей и нет еще принципиальной основы для оценки защищенности сети как части интегрирован¬ обмена информацией. ного целого при Специалистами ключается в наличии отмечается недостаточно опасная сеть». межсетевого также, четкой что основная трудность за¬ формулировке понятия «без¬ Особые трудности в этом плане представляет тер¬ риториально распределенная вычислительная сеть. «Европейские Критерии» рассматривают следующие состав¬ ляющие информационной безопасности: конфиденциальность защиту от несанкционированного получения информации; • • — целостность ния — защиту информации; от несанкционированного измене¬ Глава 1. Анализ методов оценки защищенности информации • доступность ния — от защиту 247 несанкционированного удержа¬ информации и ресурсов. «Чтобы объект оценки можно было признать надежным, не¬ обходима определенная степень уверенности в наборе функций и безопасности. Степень уверенности рантированностью, которая может быть большей механизмов зависимости от тщательности проведения оценки. называется или га¬ меньшей в Гарантирован¬ затрагивает два аспекта эффективность и корректность средств безопасности». «При проверке эффективности анализи¬ ность — руется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безопасности. Точнее говоря, рассматриваются вопросы адекватности функцио¬ нальности, взаимной согласованности функций, простоты пользования, вестных ности а также возможные слабых мест защиты. способность входит атакам прямым ции мощности последствия их ис¬ эксплуатации из¬ Кроме того, в понятие эффектив¬ механизмов защиты противостоять (мощность механизма). Определяются три града¬ базовая, средняя и высокая. Под корректностью — правильность реализации функций и механизмов безопасности. В «Европейских Критериях» определяется семь понимается уровней гарантированности корректности в порядке от ЕО до Е6. Уровень ЕО обозначает отсутствие га¬ возрастания аналог уровня В «Оранжевой книги». При рантированности возможных — — проверке корректности анализируется весь жизненный цикл объ¬ екта оценки от проектирования до эксплуатации и сопровож¬ — дения. Общая мощности сти оценка системы механизмов складывается безопасности и из минимальной уровня гарантированно¬ корректности». Приведенные выше с сведения позиций о «Европейских Критериях» безопасности информа¬ концепции проанализируем ции, предложенной изучению в данном учебном пособии. задачи Конфиденциальность и целостность информации обеспечения ее безопасности от утечки, модификации и утраты — для ее владельца. А вот ее «доступность» должна обеспечиваться средствами автоматизации ее обработки, но не сред¬ обеспечить к информации доступ, защиты. Их задача основными ствами — санкционированный ее владельцем или доверенным лицом, от¬ вечающим за ее безопасность. Конституционное право на доступ проблема, нс имеющая отношения к к ее тирует право собственности на нее, информации безопасности, как на вещь. А — — другая гаран¬ требовать, Раздел VI. Оценка уровня безопасности информации... 248 как известно, можно лишь то, на что имеешь право собствен¬ ности. Владелец информации и владелец ресурсов могут быть раз¬ быть ресурсы информационной системы конфиденциальными? Возможна ли их утечка? Предме¬ ными лицами. Да и том защиты должна могут ли быть только информация. Анализ применяемых «Европейских Критериях» терминов и определений (гарантированности, корректности, адекватности функциональности, мощности) говорит о весьма приближенном в характере их влияния на конечный результат оценки. Их основ¬ ной недостаток заключается в том, что при проектировании ин¬ формационной системы и средств автоматизации системы разра¬ ботчик не имеет четких исходных данных, руководствуясь кото¬ Другими словами, процессы проектирования и оценки не связаны между собой. При проведе¬ нии такой оценки может оказаться, что она будет иметь отрица¬ тельный результат и потребуется большая доработка информаци¬ онной системы, затраты на которую разработчиком не учтены. В 1992 г. Гостехкомиссией России (ГТК РФ) выпущен пакет руководящих документов по защите информации от несанкцио¬ нированного доступа в автоматизированных системах (АС) и средствах информационной техники (СВТ), содержащий кон¬ он рыми цепцию должен строить систему. защиты, термины и определения, показатели защищен¬ ности, классификацию СВТ и АС по уровням защищенности. Концепции защиты информации, критерии оценки защи¬ информации, используемые в «Оранжевой книге», «Европейских Критериях» и «Положении ГТК РФ», не всегда щенности учитывают или не учитывают совсем следующие параметры за¬ щиты: • деление средств защиты на средства защиты от случайного преднамеренного несанкционированного доступа, имею¬ щих различную физическую природу, характер воздействия и и точки приложения в объекте защиты; • образование системы взаимосвязанных преград, щихся вокруг предмета защиты и замыкаю¬ обходу препятствующих преград нарушителем; • время жизни информации, обнаружения и блокировки не¬ санкционированного доступа; • ожидаемое время преодоления преграды нарушителем. Из-за отсутствия теории и расчетных соотношений ночных критериях...» не приведены единицы измерения в «Оце¬ и коли- Глава 2. Принципиальный подход к оценке уровня безопасности... 249 информации в информацион¬ чественная оценка защищенности ных системах. Перечисленные факторы дают основания полагать, что «Оце¬ ночные критерии...», «Европейские Критерии» и «Временное по¬ ложение...» ГТК РФ, использующие существующую концепцию защиты, действительно не дают адекватного представления свойствах и взаимодействии звеньев защиты и, следовательно, о о информации в информационной системе в целом. Используемый в данном учебном пособии метод оценки, прочности защиты использующий в свою очередь приведенную концепцию и тео¬ рию построения системы обеспечения безопасности (разд. 3), позволит специалисту освободиться от указанных недостатков, также создать на ности а практике более эффективную систему безопас¬ информации в информационной системе на этапе ее про¬ ектирования и эксплуатации соотношений. учетом более с точных расчетных Как было показано выше, вопрос разработки средств защиты от случайных воздействий в достаточной степени решается сред¬ ствами повышения надежности технических средств и достовер¬ ности информации, и созданию оценке которых посвящено много литературы, в том числе и учебной. Поэтому в этом посо¬ бии прежде целесообразно средств защиты от рассмотреть, всего, вопрос оценки преднамеренного несанкционированного до¬ ступа. Глава 2 ПРИНЦИПИАЛЬНЫЙ ПОДХОД К ОЦЕНКЕ УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОТ ПРЕДНАМЕРЕННОГО НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ Безопасность ции — это информации в способность данных системах систем обработки информа¬ создавать условия, при которых будут существовать определенные гарантии защиты информации от несанкционированных техническим задани¬ ем менений, разрушения, хищения ронних лиц. и ознакомления с нею из¬ посто¬ Раздел VI. Оценка уровня безопасности информации... 250 Данное свойство информационной системы обеспечивается системой защиты информации, состоящей из системы преград, прочность которых и будет, вероятно, определять уровень защи¬ щенности информации в информационной системе. С учетом принятой концепции защиты оценка уровня защи¬ информации в конкретной информационной системе должна производиться в следующей последовательности: 1) оценка информации, обрабатываемой информационной системой, на предмет ее ценности, секретности, мест размеще¬ щенности сроков действия; ния и 2) оценка заданной модели потенциального нарушителя ее соответствие информации, подлежащей защите; на 3) анализ информационной системы как объекта защиты на предмет наличия в нем максимально возможного числа каналов несанкционированного доступа го к информации соответствующе¬ заданной модели потенциального нарушителя; 4) проверка наличия реализованных в информационной сис¬ средств защиты теме по каждому возможному каналу несанк¬ ционированного доступа к защищаемой информации; 5) количественная оценка прочности каждого средства за¬ щиты; 6) оценка ожидаемой прочности системы защиты информа¬ ции в информационной системе в целом. Решение перечисленных задач связано с первоначальными условиями, которые должны быть заданы в техническом задании на информационную систему. Эти условия должны содержать модель ожидаемого поведения нарушителя. Для квалифицирован¬ ного нарушителя, владеющего информацией о принципах работы информационной системы, возможности более ши¬ рокие, чем у неквалифицированного, и, следовательно, при оцен¬ и построения ке защиты потребуется рассмотреть большее количество возмож¬ ных каналов несанкционированного доступа, большее количество средств защиты, другого качества, с лучшими показателями. Выбор модели поведения нарушителя оказывает существен¬ ное влияние на конечный результат оценки защищенности ин¬ формации в информационной системе. При этом возможны два подхода: • • эталонный ориентированный только на квалифициро¬ ванного нарушителя-профессионала; в зависимости от квалификации на¬ дифференцированный — — рушителя. Глава 2. Принципиальный подход к оценке уровня безопасности... 251 При первом подходе на оцениваемой информационной сис¬ теме можно рассмотреть рованного доступа, все возможные известные каналы сегодняшний на несанкциони¬ в день такого А средства защиты, реализованные в данной ин¬ формационной системе, оцениваются на вероятность их воз¬ рода системах. квалифицированным нарушителем-про¬ фессионалом. Результаты оценки различных систем можно от¬ можного преодоления нести к разным классам, безопасности определяющим уровень информации в информационных системах. Например, значения вероятности защиты непреодоления нарушителем, Р, > 0,999, можно отнести к I классу, Р2 > 0,99 к III классу. Р3 > 0,9 — ко равные II классу, — Однако на практике во многих информационных системах могут наверняка отсутствовать средства защиты от ПЭМ ИН и криптографические преобразования информации. Это означает, что с позиций первого подхода существуют пути обхода защиты и тогда значение итоговой оценки вероятности непреодоления смысла. Но будет равно нулю, предъявленной на оценку системе может не требоваться защита от ПЭМ ИН и шифрование, например, медицинской информа¬ ционной системе, содержащей закрытые медицинские данные, которые не интересны нарушителю-профессионалу. В связи с этим более предпочтителен второй подход дифференцирован¬ в техническом на когда задании ный, информационную систему т. защиты е. защита не имеет — оговорена ожидаемая модель нарушителя определенного класса. понятие весьма относитель¬ Поскольку модель нарушителя ное и приближенное, разобьем ее на четыре класса: I класс высококвалифицированный нарушитель-профес¬ — • — сионал; • II класс . III класс — квалифицированный нарушитель-непрофессионал; неквалифицированный нарушитель-непрофес¬ — сионал; IV класс недисциплинированный пользователь. При этом каждому классу нарушителей в комплексе средств автоматизации обработки информации будет соответствовать со¬ • гласно — разд. 3 определенное число возможных каналов несанк¬ ционированного доступа: I классу — все возможные каналы несанкционированного доступа, средств автоматизации ботки информации на текущий момент времени; возможные в комплексе обра¬ Раздел VI. Оценка уровня безопасности информации... 252 II классу все — возможные каналы несанкционированного доступа, кроме побочного электромагнитного излучения и на¬ водок (ПЭМИН) и магнитных носителей с остатками инфор¬ мации; III классу — только следующие возможные каналы несанк¬ ционированного доступа: • терминалы пользователей; • аппаратура документирования и отображения; • машинные и • технологические • внутренний монтаж аппаратуры; • внутренние линии связи между аппаратными средствами комплекса средств автоматизации обработки информации; IV классу — бумажные носители информации; пульты и органы управления; только следующие возможные каналы несанк¬ ционированного доступа: • терминалы пользователей; информации и документы. Для распределенных информационных систем (региональных и глобальных сетей и автоматизированных систем управления) из-за их высокой стоимости целесообразна классификация нару¬ шителя только по двум классам: 1- и 2-му, а для локальных по 2и классам. в их состав комплексы Входящие 1-, 3-му средств автоматизации обработки информации могут обеспечивать защи¬ ту более низкого класса, а информация, передаваемая по каналам связи, должна быть защищена по тому же классу. При этом со¬ гласно разд. 3 классификация потенциального нарушителя ори¬ ентируется на выполнение определенного набора требований к безопасности информации, передаваемой по каналам связи. Рас¬ пределение этих требований по классам следующее: I класс все требования; • машинные носители — — I I класс сообщения; I II класс — все требования, кроме сокрытия факта передачи требования, кроме сокрытия факта передачи сообщения, гарантированной защиты от ознакомления с ним — все постороннего лица, гарантированной подлинности принятых и доставленных данных. Кроме того, для оценки защищенности информации имеет значение исходная позиция нарушителя по отношению к объек¬ ту защиты: • вне контролируемой территории посторонним лицом; — является ли нарушитель Глава 3. Метод оценки уровня безопасности информации... • контролируемой территории на ным техническим пользователем, вающим комплекс — является он закон¬ обслужи¬ обработки ин¬ персоналом, автоматизации средств ли 253 формации. Если нарушителем является но система разрешать доступ Очевидно, что оценка ветствующее щем количество доступа возможно и то для на пункт контроля доступа ему только в него не террито¬ в помещения определенное помещение. защищенности отдельно для каждого случая. ванного пользователь, преградой контрольно-пропускной рию объекта защиты, может становится должна проводиться При этом следует учитывать соот¬ каналов несанкциониро¬ В отдельных случаях в буду¬ средств защиты. придется возможных проводить такую оценку для каждого пользователя. Глава 3 МЕТОД ОЦЕНКИ УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОМПЛЕКСЕ СРЕДСТВ АВТОМАТИЗАЦИИ ОБРАБОТКИ ИНФОРМАЦИИ Анализ комплекса средств автоматизации обработки информации как объекта защиты С учетом выбранной модели нарушителя определяем в ком¬ обработки информации возмож¬ ные каналы несанкционированного доступа. Для более полного плексе средств автоматизации представления процесса оценки рассмотрим несанкционированного ванного доступа, нарушителя-профессионала, позиции вне объекта защиты. теля более низкого класса вом возможных каналов ностью и ожидаемые вероятностью от каналы квалифициро¬ находящегося в исходной Тогда оценка защиты от наруши¬ будет отличаться меньшим количест¬ несанкционированного доступа, вероят¬ преодоления нарушителем преграды, ее возможные количеством путей обхода. информации в комплексе средств автоматизации обработки информации с централизован¬ ной обработкой в виде таблицы соответствия выбранных средств Представим контур защиты Раздел VI. Оценка уровня безопасности информации... 254 защиты всем установленным ранее возможным каналам несанк¬ ционированного доступа (табл. 1). Таблица 1. Возможные каналы несанкционированного доступа к информации обработки информации и средства защиты, комплекса средств автоматизации рекомендуемые для их перекрытия № п/п доступа 1 Класс защиты Наименование возможного Состав средств в контуре канала несанкционированного Терминалы пользователей защиты I 4- II III IV 4- 4- 4- Прочность (звенья защитного звена контура) защиты Система опознания и разграничения доступа к 2 Аппаратура отображения и 4- 4- 4- — информации Система разграничения Р2 и контроля доступа в документирования инфор¬ мации помещения объекта за¬ щиты информации 3 Ремонтируемая и профилак- + 4- — — тируемая аппаратура Система контроля вво¬ Рз да-вывода аппаратуры в (из) рабочий контур обмена информацией 4 Носители информации, пе¬ + 4- + 4- Учет и разграничение ремещаемые в пределах ох¬ доступа к носителям раняемой зоны Верификация инфор¬ ^5 мации Шифрование инфор¬ Р6 мации 5 Документы 4- 4- 4- 4- Резервирование информации ^7 Учет, регистрация и Р4 разграничение доступа к документам 6 Носители программного обеспечения 4- 4- + 4- Учет, регистрация и Р4 разграничение доступа к носителям программ¬ ного обеспечения Верификация Р8 программного обеспечения Резервирование программного обеспечения ^7 Глава 3. Метод оценки уровня безопасности информации... 255 Продолжение табл. 1 № п/п 7 Класс защиты Наименование возможного Состав средств в контуре канала несанкционированного доступа I Носители остатков + II III IV — — — информации Прочность защиты (звенья защитного звена контура) защиты Стирание информации Наложение записи слу¬ ^9 ^10 чайной последователь¬ ности чисел Уничтожение Рц носителей 8 Средства загрузки про¬ граммного обеспечения + + — — Средства контроля до¬ ^12 ступа к загрузке про¬ граммного обеспе¬ чения 9 Аппаратура передачи данных + + — — во внешние каналы связи ^13 вскрытия аппаратуры 10 Технологические пульты и органы управления + + + 11 + + + + + + + + Внутренний монтаж аппара¬ Система контроля — — То же ^13 То же Р13 То же ^13 туры 12 Внутренние линии связи ме¬ — жду аппаратными средства¬ ми комплекса средств авто¬ матизации обработки ин¬ формации 13 Внешние каналы связи ком¬ Система опознания и плекса средств автоматиза¬ разграничения доступа обработки информации к информации (на вхо¬ ции де в комплекс средств обра¬ ботки информации) Шифрование инфор¬ мации (на выходе ком¬ автоматизации Ри плекса средств автома¬ тизации обработки информации) 14 Мусорная корзина + + — — Средства уничтожения отработанных носите¬ лей информации Ри Раздел VI. Оценка уровня безопасности информации... 256 Окончание табл. 1 № п/п 15 Класс защиты Наименование возможного канала несанкционированного доступа I Побочное электромагнитное + II III Состав средств в контуре защиты (звенья защитного Прочность звена контура) защиты IV Средства снижения ^15 излучение и наводка инфор¬ уровня излучения и на¬ мации на цепях электропита¬ водок с установлением ния, заземления, на вспомо¬ границ контролируе¬ мой зоны объекта за гательных и посторонних оборудованной коммуникациях, сервисном щиты, оборудовании системой охранной сигнализации и кон¬ трольно-пропускным пунктом 16 Персональные компьютеры Система защиты ин¬ ^ПК формации в ПК 17 Локальные компьютерные Система защиты ин¬ 6ЛКС формации в ЛКС сети Примечания. 1. Знак «+» означает наличие возможного канала несанкционированно¬ го доступа; знак «-» — отсутствие возможного канала несанкционированно¬ го доступа. 2. Пароли являются элементом системы доступа пользователей к информации опознания и разграничения комплекса средств автоматизации об¬ работки информации. 3. Контроль целостности программного обеспечения производится от¬ носительно редко (как правило, 1 раз в рабочую смену), что не позволяет в функционирования комплекса средств автоматизации обработки информации обнаружить нарушителя в момент совершения несанкциони¬ рованного доступа. Поэтому такая мера считается профилактической и здесь в расчет не принимается. Но для защиты от случайных воздействий эта мера эффективна и ее наличие обязательно во всех случаях. процессе 4. Системы оценки отдельном Спк защиты информации в ПК и Л КС рассмотрены в разделе: — группа показателей безопасности информации в персональных компьютерах; бдкс — группа показателей безопасности информации в локальной компьютерной сети. Данные показатели учитываются, комплекса средств автоматизации если ПК или Л КС обработки информации. входит в состав Глава 3. Метод оценки уровня безопасности информации... После того заданной как для модели нарушителя 257 найдены все возможные каналы несанкционированного доступа и на них установлены защиты, средства считаем, что наш виртуальный защитный контур замкнулся. Далее для контролируемого возможного канала несанкцио¬ нированного доступа определяем его прочность, величина кото¬ рой будет равна прочности наиболее слабого звена защитного контура, для этого определяем по формуле 15, гл. 1, разд. 3 прочность защиты каждого звена защиты и сравниваем результа¬ ты. При этом доступа, для возможного закрытых двумя прочности производим по и канала несанкционированного более средствами защиты, расчет формуле 18, гл. 1, разд. 3. Для неконтролируемых возможных каналов несанкциониро¬ ванного доступа расчет прочности звена защиты ведем по фор¬ муле 4, гл. 1, разд. 3. В их число войдут значения Р5, Р(„ Р*, Р^, Оценка прочности системы опознания и разграничения доступа к информации Оценку прочности системы опознания и разграничения до¬ ступа к с информации производим по формуле 15, гл. 1, разд. 3 учетом трех описанных ниже параметров. 1. Вероятность преодоления преграды нарушителем со сторо¬ ны законного входа в систему Рнр определяем по формуле Р где А8 но — (1) =— количество возможных формуле 1, гл. 1, разд. 1; п значений кодов паролей соглас¬ — количество попыток подбора кода пароля, обычно в проекте допускают три попытки на слу¬ чай возможных ошибок законного пользователя; А — число сим¬ выбранном алфавите кода, для русского алфавита А 33; к алфавиту возможно добавление цифр от 0 до 9, тогда Л 43 волов в = = и т. д.; 8 — длина кода пароля в количестве символов. Вероятность обхода преграды Робх оцениваем как вероятность несанкционированного доступа нарушителя к действительным 258 Раздел VI. Оценка уровня безопасности информации... значениям кода пароля, хранимого информационной системе в Кроме того, необходимо оценить веро¬ несанкционированного доступа к информации помимо кодов паролей. Учитывая возможность нескольких путей обхода, и у самого пользователя. ятность необхода преграды нарушителем в для определения вероятности формуле 15, гл. 1, разд. 3 принимаем: Р(^ — вероятность несанкционированного доступа паролей, хранимым автоматизации средств обработки информации; вительным Робх2 значениям — кодов в к комплексе вероятность несанкционированного доступа ствительным значениям кодов дейст¬ паролей, хранимым у к дей¬ пользова¬ теля; Лбхз — вероятность несанкционированного доступа к инфор¬ обхода мации путем системы кодов паролей. Например, непо¬ средственный физический доступ к памяти компьютера, в кото¬ рой хранятся коды паролей в открытом виде, или чтение их зна¬ чений на экране терминала. Значения Робх), Робх2, ..., РоЫс определяются в пределах от О до 1 экспертным путем на основе опыта специалистов. При экс¬ пертной оценке вероятности наступления того или иного собы¬ тия (Рнр, Робх и т. д.) в целях унификации метода за основу при¬ нимаются следующие градации значений: Р= 0 Р = событие невозможно; — 0,2 Р= 0,5 Р= 0,8 — — — Р= 0,95 Р= 1 событие маловероятно; событие вероятно наполовину; событие вполне вероятно; — событие произойдет наверняка. — Если коды зации вероятность события высокая; паролей хранятся в комплексе средств автомати¬ обработки информации в закрытом криптографическим способом виде, доступа к ним способа на величина вероятности эффективности этого комплексе средств автоматизации. Эффек¬ определяется путем данном несанкционированного анализа тивность этого способа может привести к Робх1 ватель пароли вводит в присутствии = 0. Если пользо¬ посторонних лиц и они отображаются на экране, величина Робх2 приближается к едини¬ це. Если коды паролей хранятся скорее всего, для лучшего в памяти запоминания пользователя записал их в и он, своей Глава 3. Метод оценки уровня безопасности информации... 259 паролей выше, записной книжке, чем если бы одна часть символов кодов паролей хранилась бы в памяти вероятность перехвата пользователя, а другая часть — в кодов носителе лей. Если имеется свободный физический доступ величина мы, анализе паро¬ к памяти ком¬ программному обеспечению или пьютера кодов операционной систе¬ Робх приближается к единице. Однако, если при Робх выясняется, что обход возможен через возможный канал несанкционированного доступа, указанный в табл. 1, счи¬ таем, что для данной преграды Рабхк = 0, так как он закрывается другой преградой. Такой подход позволяет провести глубокий и всесторонний анализ системы защиты комплекса средств автоматизации обра¬ ботки информации и с достаточно высокой достоверностью оце¬ нить прочность не только исследуемой преграды, но и ее роль в создании замкнутого контура защиты. 2. Вероятность обнаружения и блокировки несанкционирован¬ ного доступа в системе опознания и разграничения доступа. Она определяется способностью соответствующей программы к отра¬ ботке данной функции при несовпадении введенного кода паро¬ ля с хранимым в памяти комплекса средств автоматизации обра¬ ботки информации и выводе ее результата на терминал службы безопасности. При этом необходимо установить (измерить) — Гобл до интервал времени от отображения на момента ности момента кода-пароля экране терминала службы безопас¬ несовпадения сообщения о несанкционированном доступе, местонахож¬ дении, дате и времени события. Это время должно величину не более I рушителю, если с. составлять Увеличение этого времени позволяет на¬ не предусмотрена специальная блокировка, по¬ подбора кода-пароля, что ведет к снижению прочности преграды, оговоренной выше при расчете Рнр. вторить попытку При удовлетворительном выполнении программой системы опознания и разграничения доступа заданных функций по обна¬ 1. При увеличе¬ ружению и блокировке можно считать, что Робл нии количества возможных попыток подбора кода-пароля пере¬ = считывается Рнр. Количество возможных попыток несанкциони¬ рованного доступа при этом определяется по формуле (2) Г р Раздел VI. Оценка уровня безопасности информации... 260 обнаружения и блокировки несанкционирован¬ ного доступа; время реакции (ответа) информационной сис¬ /р где /обл — время — темы на ввод кода Задача пароля. несанкционированной блокировки нарушителем ра¬ боты системы опознания и разграничения доступа по своей сути рассматривалась выше преграды. Однако ность скрытого при совсем анализе нелишне Например, со возмож¬ проанализировать подхода несанкционированного граммному модулю. обхода данной возможного к стороны пульта этому про¬ системного программиста, пульта компьютера и других средств средств автоматизации обработки информации. Если комплекса обнаружи¬ вается, что есть один такой канал и этот канал несанкциониро¬ ванного доступа находится в числе указанных в табл. крывается Робх соответствующим защиты, средством 1 и он за¬ считаем, что 0. Если обнаруживается возможный канал несанкциониро¬ = ванного доступа, не учтенный в табл. I, на него предусматрива¬ ется соответствующее средство защиты, вероятность преодоле¬ ния которого и будет составлять Робх. Вероятность влияния отказа системы опознания и разграни¬ чения доступа на Робл рассчитывается, исходя из надежности работы данного участвующих в ции и программного работе СОРДИ и модуля за аппаратных средств, ожидаемый период эксплуата¬ комплекса средств автоматизации вероятности совпадения времени обработки информации, отказа со временем совер¬ шения несанкционированного доступа. Однако исходя из наи¬ более «опасного» случая, считаем вероятность совпадения близ¬ кой к 1. Тогда расчет ведем с учетом только вероятности отказа системы. 3. Итоговая прочность системы опознания и разграничения доступом. Опа определяется по наименьшему значению прочно сти одного из ее звеньев, описанных выше. Оценка прочности системы разграничения и контроля доступа в помещения объекта защиты Используя для оценки Р2 ту же формулу 15, гл. 1, разд. 3, по¬ лучим для нее значения Рнр, Робх, Робл и Ротк данной преграды. Рнр определяется исходя замка на из технических двери помещения, режима работы данных входного комплекса средств Глава 3. Метод оценки уровня безопасности информации... 261 обработки информации, наличия системы охран¬ ной сигнализации и значений ее параметров. При круглосуточ¬ ном режиме работы, как правило, ограничиваются кодовым зам¬ ком на двери. При перерывах в работе, когда в помещении ни¬ автоматизации кого не ставится быть, должно на аппаратура выключается, помещение дистанционный централизованный контроль охран¬ ной сигнализации. Поэтому рассмотрим только круглосуточный работы, при котором Рнр будет определяться по форму¬ ле (1), где число попыток подбора кода выбираем равным л 1, так как считаем, что в роли элементов обнаружения выступают режим = инструкции должны посторонних лицах, пытающихся проникнуть в по¬ законные пользователи, сообщать о которые согласно мещение. В идеальном случае кодовый замок должен быть связан с сис¬ темой охранной сигнализации, дежурному сигнал при на которую должен несовпадении неправильно подаваться набранного кода замка аналогично системе опознания и разграничения до¬ информации (СОРДИ). Тогда расчет их Рнр должен про¬ изводиться по методике расчета прочности СОРДИ, приведен¬ ступа к ной выше. Вероятность обхода преграды нарушителем Ро6х должна оце¬ ниваться непосредственно на месте, т. е. путем осмотра помеще¬ ния на предмет прочности стен и отсутствия посторонних лю¬ повреждений стен, потолка, окон. Особое внимание следует обратить на расположение окон и конструкцию их рам, форточек, замков, этажность помещения, ков, вентиляцию. окнах Если помещение расположено на 1-м этаже, на необходимо проверить установку датчиков охранной сиг¬ нализации. Величину Робх определяем от 0 до 1 экспертным путем на ос¬ Робх зависит также от способа хране¬ ния и периодичности замены кода замка. Например, величину Робл принимаем равной 0,5 при контроле несанкционированно¬ нове опыта специалистов. При наличии связи с ох¬ ранной сигнализацией Робл принимаем равной 0,99. Эти цифры, разумеется, могут быть уточнены на конкретной системе. го доступа самими Величины пользователями. Робл и Ротк для системы с кодовым замком оцени¬ ваются экспертами от 0 до данным. А для системы, Ротк и Робл 1 по его конструкции и техническим связанной с охранной сигнализацией, оцениваются также с учетом и ее параметров. Раздел VI. Оценка уровня безопасности информации... 262 Оценка прочности системы контроля вывода аппаратуры рабочего контура обмена информацией, подлежащей защите из При оценке прочности системы контроля вывода аппаратуры из рабочего контура обмена информацией во время ремонта и профилактики входящих в комплекс средств автоматизации об¬ работки информации технических средств считаем, что попытка нарушителя, находящегося в зоне комплекса средств автоматиза¬ ции обработки информации, отличной от зоны рабочего места функционального контроля (РМФК), с которого выводится тех¬ ническое средство из рабочего контура, ввести его снова в рабо¬ чий контур комплекса средств автоматизации обработки инфор¬ мации маловероятна. Следовательно, можно принять Рнр 0. Но = возможность обхода этой меры у нарушителя существует из-за ошибок оператора рабочего места функционального контроля. Факт несанкционированного вскрытия аппаратуры и доступа к ней обнаруживается системой контроля вскрытия аппаратуры (СКВА) на устройстве контроля вскрытия аппаратуры, устанав¬ ливаемом на автоматизированном рабочем месте службы безо¬ пасности (АРМ СБ). Если на его терминал выводится информа¬ ция о состоянии рабочего контура обмена информацией, разре¬ шение на вскрытие аппаратуры, не выведенной из рабочего контура, дано не будет. Таким образом, при оценке Робх данной преграды необходи¬ руководствоваться уровнем автоматизации этого процесса. Возможность скрытой блокировки данной преграды Робл прини¬ маем равной нулю, так как для этого нужно изменить программ¬ мо обеспечение, доступ к которому закрыт системой контроля вскрытия аппаратуры (СКВА). Величиной Ртк здесь, по-видимо0, так как время и му, можно пренебречь, т. е. принять Ротк частота функционирования этой защитной процедуры достаточ¬ ное = но малы ния остальному времени функционирова¬ средств автоматизации обработки информации. по отношению комплекса к К тому же вероятность попадания отказа именно на этот период Поэтому Р3 для табл. 1 целесообразно рассчитывать по упрощенной формуле также мала. Л = (1-/с)- РоЪп принимаем равной 1, так как при попытке нарушителя преодолеть эту преграду путем отключения данной процедуры Глава 3. Метод оценки уровня безопасности информации... 263 будет обнаружен наверняка оператором рабочего места функ¬ ционального контроля (РМФК) или системным оператором комплекса средств автоматизации обработки информации. он Оценка прочности средств защиты программного обеспечения и информации на носителях Как показала практика, наиболее уязвимыми для несанкцио¬ нированного доступа являются носители программного обеспече¬ информации. Этому способствуют отдельная унифициро¬ ванная конструкция носителей, относительно малые ее габарит¬ ные размеры и масса, большие объемы хранимой информации, ния и хранение и транспортировка на них операционных систем и при¬ кладных программ. Отдельная конструкция носителя привлекает возможностью доступа к большим объемам информации, не требующего высо¬ кой технической квалификации нарушителя, который может просто похитить носитель. Унифицированная конструкция но¬ сителя облегчает задачу подмены носителя. Малые габариты и образом. Остатки вес позволяют похитить носитель незаметным информации на носителях даже после обычного стирания позво¬ ляют ее прочитать с помощью специальной аппаратуры. Особенностью средств зашиты информации на носителях яв¬ ляется необходимость учитывать (в зависимости от требований задания) вероятность попадания носителя с защи¬ щаемой информацией за пределы объекта защиты, где средства обнаружения и блокировки несанкционированного доступа и, следовательно, риск нарушителя отсутствуют. Прочность защи¬ технического ты информации в этом случае должна возрастать и достигать та¬ кой величины, когда время преодоления ее нарушителем будет больше времени жизни информации, размещенной на носителе. Поэтому оценка подобной ситуации должна проводиться по от¬ дельному показателю. Для защиты носителях информации используются и программного обеспечения организационные, аппаратные, на про¬ граммные и криптографические средства. В качестве организационной меры применяются учет и реги¬ страция носителей рируются все в специальном носители журнале, информации. в котором регист¬ Носитель должен иметь Раздел VI. Оценка уровня безопасности информации... 264 заводской номер, маркировку и в паспорт, котором отмечается содержание записанной информации или программного изделия, контрольная сумма. Носитель выдается пользователю и дата расписку в журнале. под Данная организационная мера служит определенного рода преградой для нарушителя. Но эффективность ее при активной деятельности квалифицированного нарушителя все же невысока. Однако ее применение необходимо во всех системах, включая и Прочность такой преграды зависит в основном от качеств человека, ответственного за нее. Поэтому воздержимся несекретные. от ее оценки и оставим эту меру в качестве резерва. Эффективной мерой информации и программного обеспечения на носителях является верификация. Существует несколько способов верификации: контрольное суммирование простое, фрагментарное, по определенному маршруту; модуль¬ ный диалог и т. д. Эффективность каждого метода определяется специалистами при конкретной реализации информационной системы. Контрольное суммирование по определенному мар¬ шруту, который хранится втайне, вполне пригодно для ответст¬ венных комплексов средств автоматизации обработки информа¬ ции для защиты от квалифицированного нарушителя-непрофес¬ защиты сионала. Но верификация указанными подмены го его с успехом делия, которое лишь от информации или программно¬ неквалифицированным нарушителем. Поэтому носителя и обеспечения методами защищает разрушения можно применить для защиты программного относительно редко содержит секретную Вероятность непреодоления этой по формуле 15, гл. I, разд. 3, где Робх мацию. преграды — ционированного доступа к из¬ инфор¬ оцениваем вероятность несанк¬ действительному алгоритму сумми¬ рования; Робл = \ 1 /’|1б|| — 1 - Рнбн’ 1 вероятность необнаружения подмены носителя; — ве¬ проверки контрольной быть близка к нулю, так как ин¬ суммы, по-видимому, должна роятность случайного Ртк отказа системы тервал времени проверки достаточно этот интервал произойдет, позднее. времени проверку мал маловероятно. можно провести и Даже на попадание отказа в это событие исправной системе если Глава 3. Метод оценки уровня безопасности информации... 265 Более эффективной преградой для нарушителя-профессио¬ нала является криптографическая защита (шифрование) инфор¬ мации на носителях. Прочность этой преграды Р6 рассчитывает¬ ся по формуле 4, гл. 1, разд. 3, где при оценке Робх оценивается способ хранения ключа дешифрования информации. Резервирование информации и программного обеспече¬ ния организационно-техническая мера, не требующая поясне¬ ний; она применяется во всех системах для защиты от потерь. Эту меру пока в расчет не принимаем и используем также в ка¬ честве резервной, но проверка ее наличия обязательна. Для защиты от несанкционированного доступа нарушите¬ ля-профессионала к остаточной информации на носителях в от¬ — ветственных системах писи случайной наложение за¬ применяется многократное последовательности символов на остаточную информацию. Прочность этой преграды Р9 можно считать близ¬ кой к ! при гарантированной автоматической записи по команде «стирание», при ручной записи необходима экспертная оценка в пределах от 0 до I. Процедура физического уничтожения носи¬ теля вместе с ствии остаточной технической информацией производится при отсут¬ возможности записи указанным выше мето¬ дом. Прочность этой преграды оценивается специалистами при анализе конкретного оборудования, предназначенного для унич¬ тожения конкретных носителей. Простое стирание информации на носителях пригодно лишь для защиты от неквалифицированных нарушителей. Оценка прочности системы контроля вскрытия аппаратуры Прочность системы контроля вскрытия аппаратуры оценива¬ формуле 15, гл. 1, разд. 3. Метод оценки описан в гл. 1, разд. 3 при выводе этой формулы. ется по Оценка прочности средств защиты от побочного излучения и наводок информации Прочность средств защиты от побочного излучения и наводок информации оценивается вероятностью перехвата информации нарушителем, находящимся вне территории объекта защиты, так Раздел VI. Оценка уровня безопасности информации... 266 как критерием возможного перехвата является отношение «сиг¬ нал-шум» на границе объекта защиты. Величину этой вероятно¬ сти определяют опытные специалисты путем анализа средств за¬ щиты, измерений сигнала и специальных исследований. Оценку этой преграды можно производить также по форму¬ ле 15, гл. 1, разд. 3. При этом вероятность приема сигнала за пре¬ делами контролируемой зоны обозначим через РщУ Для наруши¬ теля, пытающегося попасть на контролируемую территорию, роль преграды выполняет система охранной сигнализации по перимет¬ ру этой территории и контрольно-пропускной пункт, являющие¬ ся неотъемлемой составной информации от по¬ частью защиты бочного электромагнитного излучения и наводок (ПЭМИН). Оценка вероятности их возможного непреодоления наруши¬ телем согласно принятой методике также оценивается по фор¬ муле 15, гл. 1, разд. 3. Но по отношению к рассматриваемому возможному каналу несанкционированного доступа (ПЭМИН) охранная сигнализация КПП и считаются средствами перекры¬ обходных путей несанкционированного доступа. Поэтому в расчет прочности защиты от ПЭМИН включается тия Л>бх1 В качестве = (1 ~ ^охр) И Л,бх2 = (1 ~ ^кпп)' Ротк рассматривается вероятность отказа аппарат¬ ных средств защиты от ПЭМИН, применяемых на оцениваемой информационной системе. Оценка средств регистрации обращений к информации, подлежащей защите Средства регистрации обращений щей защите, являются достаточно к информации, подлежа¬ эффективной мерой, которая также требует оценки качества: исполнения программы регистра¬ ции (все ли обращения регистрируются, с какими атрибутами), вероятности сти ее обхода пользователем-нарушителем, возможно¬ скрытного отключения, времени работы, безотказности. Однако регистрация событий отложенным профилактических целей скорее, служит для анализа прошедшей ситуации, обязательной, но разно с считать рующей другие меры защиты. в связи с чем все же и обнаружением, последующего эту меру целесооб¬ резервной, т. с. дубли¬ Глава 3. Метод оценки уровня безопасности информации... 267 Оценка эффективности средств управления безопасности информации в комплексе средств автоматизации обработки информации Средства управления защитой информации в комплексе средств автоматизации обработки информации не указаны в пе¬ речне средств защиты возможных каналов несанкционированно¬ го доступа, но они выполняют эту функцию, являясь важной перечисленных в табл. I средств защиты. обеспечивает функции контроля, обнаружения и составной частью Управление блокировки несанкционированного доступа, а также бесперебой¬ ное функционирование аппаратных, программных и организаци¬ онных средств защиты, ведение статистики и прогнозирование событий. Все эти параметры учитываются при оценке прочности комплекса средств автоматизации обработки информации. В результате оценка эффективности отдельных средств защиты средств управления защитой может проводиться лишь с качест¬ венной стороны на предмет реализации защиты как единого ме¬ ханизма решения системы защиты — задачи: технологии информации в техническом смысле управления, состава аппаратных и программных средств управления и организационных мероприя¬ тий, наличия централизации контроля и управления защитой. Оценка степени централизации контроля щитой предполагает оценку степени защиты средствами контроля и и управления за¬ охвата отдельных средств Этот управления. параметр опре¬ деляет вероятность обхода защитных преград нарушителем, уста¬ навливаемую экспертным путем. В ответственных системах все преграды должны находиться под централизованным контролем. Оценка эффективности средств управления безопасности ин¬ формации должна даваться отдельным показателем. При этом важную роль играет контроля функцио¬ той или иной защитной преграды. Данный показа¬ нирования степень автоматизации тель можно определить по отношению количества преград с ав¬ томатической подачей сигнала несанкционированного доступа общему количеству преград, используемых в системе защиты информации в ком¬ плексе средств автоматизации обработки информации. Это от¬ ношение можно выразить формулой на централизованное средство контроля к Раздел VI. Оценка уровня безопасности информации... 268 количество средств где Кл коэффициент автоматизации; ^а защиты с автоматической подачей сигнала и блокировкой несанк¬ — — ционированного доступа; ТУ комплексе Такая жения ным. — общее количество средств защиты в средств автоматизации обработки информации. необходима для определения степени прибли¬ оценка полученных значений прочности защиты к действитель¬ Чем больше автоматизированных средств защиты, тем достоверней результаты выше гарантии эффективности защиты. меньше экспертных оценок, оценок и Оценка прочности безопасности информации в комплексе средств автоматизации обработки информации с различными требованиями С учетом моделей нарушителя для систем различного назна¬ чения и личные предъявляемых требований должны существовать раз¬ критерии оценки достаточности пасности. мер обеспечения безо¬ Рассмотренный выше метод оценки касается наиболее ответственных ориентированных на нарушителя-про¬ фессионала, расположенного вне объекта защиты, т. е. которому для систем, выполнения необходимо несанкционированного доступа преодолеть к информации контролируемую границу территории объекта, систему контроля доступа в помещение объекта и т. д. Нарушитель-пользователь уже имеет определенные полномо¬ чия по санкционированному доступу к информации в соответст¬ вии со своими функциональными обязанностями и задачами. Это означает, что ему известен код пароля для прохода через сис¬ тему опознания и разграничения доступа к информации, подле¬ жащей в объеме, защите, определенном таблицей полномочий, комплекса автоматиза¬ заданных ему администратором ции средств обработки информации. Ожидаемой целью пользователя-нарушителя может стать по¬ пытка выйти за пределы своих полномочий и получить доступ к информации других пользователей комплекса средств автомати¬ зации обработки информации, например он может подобрать чужой код пароля, подсмотреть его украдкой или похитить носи¬ тель и т. д., а также выйти на секретную информацию методом массированных специально составленных запросов с целью ис¬ пользования возможных программных ошибок или сбоев аппа- Глава 3. Метод оценки уровня безопасности информации... 269 Это говорит о необходимости применения аппаратуры и ратуры. программного обеспечения с высокой надежностью. Пользователь может воспользоваться и другими возможно¬ стями, например снять лишнюю копию информации, подменить носитель и т. д. сит от Тем не менее успех в попытках нарушителя зави¬ уровня прочности средств защиты перечисленных ранее который оценивается указанными выше методами для конкретной инфор¬ мационной системы. В число возможных нарушителей включа¬ ются также лица из технического и нетехнического обслуживаю¬ щего персонала. Уровень эффективности средств защиты в по¬ возможных каналов несанкционированного доступа, добного рода ситуациях в первую очередь определяется уровнем организации и выполнения требований по разграничению досту¬ па. Для более строгой оценки можно проанализировать возмож¬ ности несанкционированного доступа с позиций каждого лица, обслуживающего и работающего с комплексом средств автомати¬ зации обработки информации, по приведенным выше методи¬ кам, что может оказать влияние на уточнение его полномочий и совершенствование организационных защитных мероприятий. Оценка прочности защиты информации от квалифицирован¬ ного нарушителя-непрофессионала возможных некоторых из каналов исключение предполагает несанкционированного доступа таблицы оценки, например побочное электромагнитное излу¬ чение и наводки, носителях после а также остатки информации на магнитных стирания. При оценке защиты системы от неквалифицированного на¬ рушителя можно из числа ванного доступа исключить возможных каналов несанкциониро¬ ремонтируемую аппаратуру, средства загрузки программного обеспечения, мусорную корзину, а также упростить требования к средствам защиты информации и про¬ граммного обеспечения на регистрацией информации носителях, ограничиваясь учетом и носителей, резервированием и ин¬ формации. Выводы и предложения Таким образом, уровень требуемой безопасности комплекса средств автоматизации обработки информации может быть определен в первом приближении одним из четырех классов. Эти уровни подобно уже существующим методам определяются Раздел VI. Оценка уровня безопасности информации... 270 выбранным числом возможных каналов несанкциони¬ рованного доступа и соответствующим набором средств защи¬ сначала Однако простое наличие последних еще не гарантирует до¬ ты. статочный уровень защиты. защита, как шифрование, Например, даже такая эффективная может оказаться слабым средством, криптографического преобразова¬ ния или выбран легко угадываемый код ключа или пароля. Определение числовых значений прочности защиты покажет если не тот метод применен результаты, близкие к действительным. Достаточность уровня прочности защиты для конкретного комплекса средств автома¬ тизации обработки информации будет определяться величиной, указанной в техническом задании. Величина уровня прочности защиты, вводимая ское задание, может задаваться после накопления опыта по анализу как отдельных и оценке прочности средств защиты, по в техниче¬ определенного предлагаемому методу так и комплекса средств автома¬ обработки информации в целом. Примерная формули¬ ровка требований по защите информации от преднамеренного тизации несанкционированного доступа может быть средств изделия должен обеспечивать автоматизации такой: комплекс возмож¬ информации от преднамеренного несанкционирован¬ ного доступа по / классу с прочностью защиты не ниже 0,98. Воз¬ можно окажется удобней понятие риска или вероятности успеха нарушителя, величина которой будет равна ность защиты Р = * НСД В нашем примере Рнсд = (1 V - Р х ). сзи/ 0,02. Для оценки сложных комплексов средств автоматизации об¬ работки информации необходимо учитывать перестраховку — принятую нами ранее наиболее «опасную» модель поведения рушителя, а также относительно на¬ большой риск нарушителя (в 98 случаях из 100) быть пойманным. При этом следует отметить су¬ щественную разницу в величинах вероятности успеха нарушите¬ лей в двух случаях: когда должна работать система обнаружения блокировки несанкционированного доступа (информация со¬ храняет свою цену постоянно) и не должна (информация со вре¬ менем теряет свою цену). В первом случае нарушитель рискует, и а во втором Для — нет. полной оценки безопасности информации от несанк¬ ционированного доступа в комплексе средств автоматизации об- Глава 3. Метод оценки уровня безопасности информации... 271 работки информации, следуя предлагаемой концепции защиты, необходимо также иметь в виду оценку вероятности несанкцио¬ нированного доступа от случайных воздействий, а также сочета¬ преднамеренных несанкционированных действий со случай¬ ными отказами, сбоями системы обработки информации. Об¬ ние щий подход к вероятности появления решению этого из всего вопроса заключается потока возможных в оценке случайных ошибок, таких, которые на выбранном интервале времени рабо¬ ты комплекса средств автоматизации обработки информации приводят к модификации, утрате или утечке информации. В свя¬ зи с тем, что эта задача требует отдельных исследований (в гл. 12 намечено лишь направление решения этой проблемы), целесо¬ образно ограничиться пока только данными по оценке достовер¬ ности всего потока информации существующими методами. В эту оценку необходимо включать группу показателей, напри¬ мер оценку вероятности следующих случайных событий: вывода на посторонние устройства действительных значе¬ ний кодов паролей; вывода секретной информации при вводе неправильного • • пароля; • вывода информации на устройство, для нее не предназна¬ ченное; формирования несанкционированных команд и сообщений. Оценку защиты от сочетания преднамеренных и случайных воздействий можно проводить по наличию и качеству исполне¬ ния и функционирования программы учета, регистрации и бло¬ кировки передачи повторных команд и сообщений, вводимых • пользователем. повторов В данная формировать и случае превышения программа передавать количества допустимых блокировать сообщения, терминал службы безопасности должна на информации информацию о факте, месте и времени несанкцио¬ нированного доступа. Данная программа одновременно выпол¬ задачу защиты ресурсов информационного комплекса, которые при интенсивной преднамеренной загрузке могут быть няет и заняты обработкой несанкционированных запросов или команд, что в свою очередь может привести ности комплекса вплоть до производитель¬ средств автоматизации обработки информации, блокировки его функционирования. Особого средств ее к снижению внимания заслуживает защита информации и обработки от программных вирусов. С одной сторо¬ ны, это специально разработанные человеком программы-вреди- Раздел VI. Оценка уровня безопасности информации... 272 тели, которые можно отнести к разряду преднамеренного не¬ факт попадания этих обработки инфор¬ может быть событием мации случайного характера. Ввиду осо¬ бой специфики вопроса защиты от программных вирусов, свя¬ санкционированного доступа, а с другой — программ в комплекс средств автоматизации большим распространением персональ¬ ных компьютеров, он рассмотрен отдельно ниже. занных с появлением и В итоге оценка защищенности информации от несанкциони¬ рованного доступа в комплексе средств автоматизации обработки информации может складываться из группы показателей, учиты¬ вающих физическую природу, условия воздействия и системный подход к безопасности информации и определяющих ее уровень. Такими показателями могут служить уровни безопасности: • от • случайных воздействий; сочетания случайных и • преднамеренного несанкционированного доступа; ванных преднамеренных несанкциониро¬ воздействий; • программных вирусов. Уровень безопасности информации от преднамеренного несанк¬ ционированного доступа в комплексе средств автоматизации обра¬ ботки информации определяется двумя показателями: информации на контролируемых кана¬ лах несанкционированного доступа к информации данного комплекса средств автоматизации обработки информации; прочностью защиты информации на неконтролируемых ка¬ налах несанкционированного доступа к информации данного комплекса средств автоматизации обработки информации. Данное количество показателей определено различными условиями пребывания информации и риском нарушителя. Они будут резко отличаться между собой уровнем достаточности. Уровень безопасности информации от случайных воздействий можно определить пока группой следующих показателей: • прочностью защиты • • временем обнаружения и локализации отказов аппаратуры с точностью до съемного • элемента; полнотой контроля функционирования автоматизации обработки информации; комплекса средств функционирования комплекса средств автоматизации обработки информации. Приведенные методики оценки средств защиты, особенно в • достоверностью отношении оценки задача — контроля путей обхода, нс претендуют на полноту. Их представить методологию подхода и подготовить базу Глава 4. Метод оценки уровня безопасности информации... 273 разработки нормативных документов, позволяющих по еди¬ для ным получать гарантированные качественные и ко¬ уровня безопасности информации в методикам личественные показатели создаваемой информационной системе. Глава 4 МЕТОД ОЦЕНКИ УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ И В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ Согласно принципиальному подходу к оценке защиты, при¬ веденному гл. в 2, разд. 3, и концепции защиты, описанной в гл. 1, разд. 3, рассмотрим ванного системе возможные информационной каналы несанкциониро¬ автоматизированной управления, характерные для нарушителя-профессиона¬ доступа в сети и соответствующие им средства защиты, приведенные в гла¬ вах выше. Возьмем перечень возможных каналов несанкциони¬ ла, и представленный в описании концепции за¬ информационных сетях и автоматизированной системе рованного доступа, щиты в управления, и разместим его с соответствующими средствами за¬ щиты (табл. 1). При этом полагаем целесообразным для инфор¬ мационной сети Количество возможных каналов автоматизированной системы управления оценку уровня защищенности информации в будущем прово¬ дить только для двух классов нарушителей: первого и второго. и несанкционированного доступа уровне сети и автоматизированной системы управления для обоих классов одинаковое, а уровень безопасности информации на будет определяться количественными показателями уровней прочности средств защиты, примененных в конкретной системе (в автоматизированной системе управления), и выполнением требований по обеспечению безопасности ин¬ формации в каналах связи, приведенных в разд. 3. По-прежнему считаем предметом защиты информацию, цир¬ кулирующую в сети (или автоматизированной системе управле¬ ния), как нечто целое, т. е. фактом несанкционированного до¬ на элементах сети ступа считаем на одном из сс информации. попытку несанкционированного доступа элементов, канале связи или на хотя бы тракте передачи Раздел VI. Оценка уровня безопасности информации... 274 Таблица 1. Возможные каналы несанкционированного доступа к информации сети (или автоматизированной системы управления) и распределение средств защиты № п/п 1 2 3 Наименование возможного канала Средство защиты Уровень безопасности Система безопасности информации $ЭС1 ($ЭАСУ) несанкционированного доступа ВКНСД КСА — элемента сети (АСУ) КСА Средства управления конфигура¬ цией сети (АСУ) доступа к информации СПД (АСУ) Средства управления структур¬ То же ?1 — ЭС (АСУ) Система опознания и разграничения ?1 но-адресными таблицами сети (АСУ) 4 Средства управления полномо¬ чиями элементов сети (АСУ) » ?1 5 Средства управления полномо¬ » ?1 » ^1 Система защиты информации ^КС чиями пользователей сети 6 Средства управления функцио¬ нальным контролем сети 7 (АСУ) (АСУ) Каналы связи в каналах связи 8 Система защиты информации Тракты передачи данных ртд в трактах передачи данных 9 Средства управления безопасно¬ Система безопасности информации стью информации в сети управляющего КСА (АСУ) — РЭС2 (^ЭАСУ) ЭС (АСУ) Примечание. бэс (бэдсу) включает группу показателей КСА та сети — элемен¬ (АСУ). Значения уровней безопасности или прочности защиты эле¬ ментов сети (или автоматизированной системы управления) бе¬ рем готовыми, рассчитанными для каждого элемента по методи¬ ке оценки прочности защиты информации в комплексе средств автоматизации обработки информации, рассмотренной в разд. 3. Независимо от того, входили или не входили в комплекс средств обработки информации элемента сети (или авто¬ матизированной системы управления) средства управления, пе¬ автоматизации речисленные средствам в табл. защиты 1, необходимо дать оценку прочности их от несанкционированного доступа в рамках информационной сети (или автоматизированной системы управ¬ ления). Так как предполагается идентификаторы объектов передавать в открытом виде и защищать их кодом цифровой подписи, оцен¬ ка прочности системы контроля и разграничения доступа к ин- Глава 4. Метод оценки уровня безопасности информации... 275 формации сети (или автоматизированной системы управления) производится по формуле 15, гл. 1, разд. 3 на основе методики оценки стойкости к компрометации шифрования информации с открытым ключом. По ней оценивается время, затрачиваемое потенциальным нарушителем на преодоление этой защиты. Оценка средств защиты в каналах связи и в трактах передачи 15, гл. 1, разд. 3 с учетом криптографического преобразования (шифрования) информа¬ ции, примененного в данной информационной сети (или авто¬ матизированной системе управления), где при оценке Робх рас¬ сматриваются способы хранения и передачи ключей дешифрова¬ ния, а также выбранный метод шифрования и уровень развития криптоанализа на момент оценки. При этом необходимо проана¬ лизировать выполнение требований по безопасности информа¬ ции, приведенных в разд. 3, на соответствие заданному классу данных может определяться по формуле потенциального нарушителя. После того по как проведена оценка отдельных средств защиты каждому возможному каналу несанкционированного доступа, возможна интегральная количественная и качественная оценка уровня безопасности информации в информационной сети (или автоматизированной системе управления) в целом. Сведение всех параметров защиты в данном случае к одному показателю так же, как и в комплексе средств автоматизации об¬ работки информации, по-видимому, не представляется возмож¬ ным, так как и здесь результат решения задачи зависит каждый раз от первоначальных условий: модели поведения нарушителя и условий его «работы». Как было упомянуто выше, рассматрива¬ ем квалификацию нарушителей двух классов: I профессионала — непрофессионала. Класс нарушителя должен задаваться в техническом на задании систему. Результаты оценки уровня и II — безопасности информации при этом для разных систем могут приближаться друг к другу в количественном выражении. Но фактически результат оценки, полученный для нарушителя I даже класса, разумеется, должен считаться выше результата, получен¬ ного для нарушителя П класса. Условия же «работы» нарушителя, связанные с наличием и отсутствием его риска, принципиально любой влияют на в рассмотрены каждый Поэтому предлагается для информации в информационных оценки сетях уровня и должны быть зультат оценки, присутствуют в системе конечный ре¬ отдельности. безопасности применять группу показателей, приведенных в табл. 1. Раздел VI. Оценка уровня безопасности информации... 276 В уровня безопасности информации в сети группа показателей защиты информации элемента показатель включается оценки (наиболее слабого звена защи¬ сети с наименьшими значениями ты информации в сети). Отдельными показателями целесообраз¬ но представить группу показателей зации го обработки информации средства входят сети лее — управления комплекса средств автомати¬ элемента сети, в состав которо¬ безопасностью информации в (или автоматизированной системы управления) как наибо¬ важного элемента защиты. При этом класс нарушителя в элементе сети и на сетевом уровне. Если элементов казатели по сети этого уровне должен быть задан каким-либо причинам оказался ниже класс на одном одного из защиты требований сетевого уровня, по¬ уровня безопасности должны быть рассчитаны требованиями. Если в резуль¬ тате нового расчета уровень безопасности информации элемента сети все же не удовлетворяет требованиям к информационной заново в соответствии с сетевыми сети, прочность его защиты увеличивается. Уровень безопасности информации на элементах автомати¬ зированной системы управления может быть ниже уровня безо¬ пасности ее в сети, если это оправдано экономически требованиям к безопасности информации, и отвечает заданным обрабаты¬ ваемой в системе. Все вышеизложенное касалось защиты информации и обработки от преднамеренного несанкционированно¬ го доступа в информационной сети и/или автоматизированной системе управления, построенной на их базе. Особенностью оценки уровня безопасности информации в системе при этом является расчет отдельных показателей для информационной сети как средства передачи информации и данных и для средств средств ее обработки информации в автоматизированной системе управле¬ ния на абонентском уровне, так как информация абонентов и/или информационной сети должна быть недоступна для тех¬ нического персонала сети, и системные отношения на абонент¬ уровне отличаются от системных отношений в сети переда¬ информации и данных. Оценку уровня безопасности инфор¬ ском чи информационной системе и/или в автоматизированной системе управления в целом целесообразно производить по сле¬ мации в дующим показателям: 6/су — группа показателей автоматизированной управления, приведенная в табл. 1, за исключением Ркс; системы Глава 4. Метод оценки уровня безопасности информации... группа показателей системы передачи приведенная в табл. 1, за исключением Ртд. ^спи 277 информации, — При этом в группу показателей (7ЭАСу включается группа по¬ казателей автоматизированной системы управления с наимень¬ шими значениями после сравнения между собой групп показате¬ лей каждого из элементов АСУ. Под элементом АСУ понимается средств автоматизации обработки информации, входя¬ щий в ее состав. Но скорей всего в региональных и глобальных комплекс АСУ требования к уровню безопасности информации верхнего объекта управления будут выше тех же требований к нижестоя¬ щим объектам. Тогда потребуется указать значения показателей безопасности для каждого комплекса средств автоматизации об¬ работки информации автоматизированной системы управления или группы КСА с одинаковыми требованиями. Для полноты картины необходимо провести анализ и оценку уровня безопасности информации в информационной сети при ее защите от случайных воздействий, а также от их сочетания с преднамеренными воздействиями. Для этого целесообразно вос¬ пользоваться известными методами повышения достоверности информации и дать оценку вероятности трансформации сообще¬ ния, передаваемого от одного пользователя информационной сети к другому на всех возможных трактах передачи данных. Ко¬ нечным результатом оценки уровня безопасности должно стать наибольшее ее значение. защиты от сочетания необходимо проверить наличие доступа преднамеренных в системе механизма и Для проведения оценки случайных воздействий опознания обнаружения, этого механизма оценивается и учета разграничения и регистрации обращений к ней со многократных повторных неправильных стороны пользователей информационной сторона информации сети. Качественная экспертным методом на основе опыта специалистов. В конечном мации в итоге для оценки уровня безопасности инфор¬ информационной сети можно предложить следующую группу показателей: Оэс — группа показателей уровня безопасности информации элемента сети (комплекса средств автоматизации обработки ин¬ формации) с наименьшими значениями; ^эсу — группа показателей уровня безопасности ции элемента сети информа¬ (комплекса средств автоматизации обработки Раздел VI. Оценка уровня безопасности информации... 278 информации), включающего средства управления безопасностью информации в сети; Р] — вероятность непреодоления нарушителем и да контроля полномочий в сети; Лее — системы вероятность непреодоления нарушителем вво¬ системы за¬ информации в каналах связи сети; шиты ^тде — вероятность непреодоления нарушителем системы за¬ информации щиты в трактах передачи данных, если таковая предусмотрена в сети; Р|р — вероятность трансформации информации от случайных воздействий при ее передаче от пользователя к пользователю; обнаружения и блокировки многократ¬ ных повторных незаконных обращений пользователей к сети. Робл — вероятность Контрольные вопросы 1. Как оценивается защищенность информации в информационных системах? 2. Как оценивается прочность системы опознания информации в информационных системах? 3. Каким и разграничения доступа к образом оценивается прочность системы разграничения и контроля доступа в помещения объекта защиты? 4. Каким образом оценивается прочность системы контроля вывода аппаратуры из рабочего контура обмена информацией, подлежащей защите? 5. Как оценивается прочность средств защиты программного обеспечения и ин¬ формации на носителях? б. Каким образом оценивается прочность системы контроля вскрытия аппарату¬ ры в информационных системах? 7. Каким образом оценивается прочность средств защиты от побочного излуче¬ ния и наводок информации? 8. Как оцениваются средства регистрации обращений к информации, подлежа¬ щей защите? 9. 10. образом оценивается эффективность средств управления безопас¬ ностью информации в комплексе средств автоматизации обработки инфор¬ мации? Каким образом оценивается прочность безопасности информации в ком¬ плексе средств автоматизации обработки информации с различными требо¬ Каким ваниями? Раздел VII ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРАХ И ЛОКАЛЬНЫХ СЕТЯХ Глава 1 БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРАХ Персональные компьютеры как объект защиты Отличительные особенности персональных компьютеров настольной универсальной машины индивидуального — приме¬ нения: • экономичность, обеспечивающие массовое компактность и применение в различных сферах профессиональной дея¬ тельности и в быту; • операционные простые нальных системы, удобные и предоставляющие средства доступа компьютеров и к пользователю ресурсам средства управления персо¬ выполнением задач; • диалоговые языки программирования высокого уровня, позволяющие проектировать интерактивные процедуры об¬ работки данных; • телекоммуникационные ключение средства, персональных компьютеров бальным сетям. под¬ обеспечивающие к локальным и гло¬ Раздел VII. Обеспечение безопасности информации в ПК... 280 Типовой состав устройств персональных компьютеров: • системный блок обработки и управления; • средства взаимодействия пользователей с системным блоком; • средства долговременного хранения и накопления данных; средства подключения к каналам связи; • устройства ввода-вывода. Системный блок, включающий центральный процессор, ос¬ новную память (ОЗУ и ПЗУ), контроллеры и адаптер канала связи, аппаратный интерфейс внешних устройств, строится на основе микропроцессорных комплектов БИС, БИС ОЗУ и ПЗУ. Оперативное запоминающее устройство персональных ком¬ пьютеров является энергозависимым запоминающим устройст¬ вом, у которого информация разрушается при отключении пита¬ ния. Информация, размещаемая в постоянном запоминающем устройстве, записывается при изготовлении персональных ком¬ • пьютеров течение нающем или их системных плат и чаще всего периода ее эксплуатации. В устройстве обычно размещаются всего не изменяется постоянном в запоми¬ системные програм¬ мы, обеспечивающие подготовку персональных компьютеров к работе после включения питания, т. е. инициализацию (приведе¬ ние в исходное состояние функциональных модулей), тестирова¬ ние (проверка работоспособности функциональных модулей) и загрузку операционной системы. Средства взаимодействия пользователей с системным блоком обработки и управления включают клавиатурное устройство, пе¬ чатающее устройство (принтер), устройство отображения инфор¬ мации на электронно-лучевую трубку, жидкокристаллическую или газоразрядную матрицу (дисплей). Кроме того, в качестве устройств ввода-вывода информации, подключаемых к систем¬ ному блоку, используются: • манипулятор «мышь»; • плоттер • — устройство для вывода рисунков и другой гра¬ фической информации; графопостроитель устройство для бумагу; — вывода чертежей на графической и тек¬ • сканер устройство для считывания стовой информации в компьютер; • стриммер устройство для резервного сохранения инфор¬ мации, находящейся на жестком диске. Стриммер записы¬ вает информацию на кассеты с магнитной лентой; • и — — другие. Глава 1. Безопасность информации в персональных компьютерах 281 Средства долговременного хранения и накопления данных (внешние запоминающие устройства) обеспечивают запись и чтение больших массивов информации (файлы с данными, тек¬ программ на языках высокого уровня, программы в машин¬ сты ных кодах и т. в д.). В качестве внешних запоминающих устройств персональных компьютерах в основном используются тели на жестких магнитных дисках типа диски, носители на накопи¬ «винчестер», оптические флэш-технологиях и все реже накопители на гибких магнитных дисках. Носимые программы не цию, с накопители одного позволяют на компьютера переносить документы и другой, хранить информа¬ используемую постоянно, делать архивные копии ин¬ формации, содержащейся на жестком диске. Номенклатура дан¬ ных носителей в данное время разнообразна как по емкости на¬ копителя, так и по быстродействию. Накопители на жестком диске (винчестеры) предназначены для постоянного хранения информации, используемой при ра¬ боте с компьютером: программ операционной системы, редак¬ торов и т. документов, д. языков программирования обеспечение персональных компьютеров Программное включает с трансляторов операционную систему, системы программирования, прикладные программы разного направления профес¬ сиональной деятельности. Основой программного обеспечения самого является ся операционная система, с помощью которой достигает¬ взаимодействие пользователя с аппаратными средствами пер¬ сональных компьютеров. Системы программирования средством, мы служат инструментальным с помощью решения задач которого пользователи создают програм¬ на персональных компьютерах. Система включает в свой состав средства написания программ, преобразования их к виду, пригодному для выполне¬ программирования ния на и персональных компьютерах, контроля отладки про¬ грамм. В современных персональных компьютерах распростране¬ ны и фактически системы типа получили статус стандартов операционные М8 \Ушс1оуу8 (несколько клонов), ^^1X, Ыпих. Другие операционные системы, циональными аналогами по существу, перечисленных являются выше функ¬ операционных систем. Наиболее распространенная операционная система М8 У/т- до\У8 состоит из следующих частей. Раздел VII. Обеспечение безопасности информации в ПК... 282 Базовая стоянном система запоминающем производителем (ВЮ8), ввода-вывода устройстве. Эта системных разработчикам версий плат систем обеспечить совместимость операционной темы в по¬ определяется остается системы с выполнении и только номенкла¬ Назначение базовой ввода-вывода. ввода-вывода состоит часть в персональных компьютеров операционных турой базовых систем находящаяся сис¬ наиболее простых универсальных услуг операционной системы, связанных ществлением ввода-вывода. ВЮ8 содержит также тест с и осу¬ функ¬ ционирования, проверяющий работу памяти и устройств ком¬ пьютера при включении электропитания. Кроме того, ВЮ8 включает в себя программу вызова загрузчика операционной системы. Загрузчик операционной системы — это короткая програм¬ ма, находящаяся в первом секторе каждого системного диска. Функция этой программы заключается в считывании в память модулей операционной системы, которые и заверша¬ остальных ют процесс загрузки. Дисковые файлы Ю.8У8 и \УШОО\У.8\8 (они могут назы¬ ваться и ной по-другому в зависимости от вида и версии операцион¬ системы) загружаются в память загрузчиком операционной системы и остаются в памяти компьютера постоянно. Файл 1О.8У8 представляет собой дополнение к В1О8. Файл \УШО(Ж.8У8 реализует основные высокоуровневые услуги операци¬ онной системы. Командный процессор М8 \Ушдо\У8 обрабатывает команды, вводимые пользователем. Командный процессор находится в дисковом жается файле СОМ МАИ Э.СОМ диске, с которого загру¬ операционная система. Внешние команды М8 \Ушс1о\у$ вместе на с операционной выполняют действия обслуживание программы, поставляемые в виде отдельных файлов, — обслуживающего характера. Драйверы устройств дополняют систему системой — — это специальные ввода-вывода программы, которые М8 \Утс1о\У8 и обеспечивают устройств или нестандартное использова¬ ние имеющихся устройств. Драйверы загружаются в память ком¬ пьютера при загрузке операционной системы или при необходи¬ мости из подключаемых библиотек, их имена указываются в специальном файле СОКР1С.8У8. Такая схема облегчает добав¬ ление новых устройств и позволяет делать это, нс затрагивая системные файлы М8 \Ушс1о\У8. новых Глава 1. Безопасность информации в персональных компьютерах 283 Доступ к основным загрузочным и текущим настройкам опе¬ рационной системы М8 \Ушс1о\у§ осуществляется через файл М8СОМРЮ с графическим интерфейсом, приведенным на рис. 1. Рис. 1. Интерфейс файла М8СОКРЮ Персональный компьютер по составу аппаратных и про¬ принятой классификации можно к разряду малогабаритных комплексов средств автома¬ граммных средств, отнести тизации, а также поэтому на С позиций защиты по них можно распространить тот же информации персональный компьютер как автономная система имеет такой же состав типовых да-вывода, подход. средств вво¬ обработки и хранения информации, как и комплекс средств автоматизации, описанный в разделах выше. Особенностью персонального компьютера с позиций защиты являются его конструкция, программные средства и стоимость. работу в одно время только одного пользователя. Масса и габаритные размеры этой вычис¬ Его конструкция рассчитана на лительной шом системы что ее можно разместить в неболь¬ шкафу. Благодаря своему назначению, конструкции персональный компьютер может ис¬ металлическом стоимости и пользоваться только чества таковы, одним пользователей нарушителей. пользователем. уменьшает и А сокращение количество коли¬ потенциальных Раздел VII. Обеспечение безопасности информации в ПК... 284 Программное обеспечение персональных компьютеров дает возможность изменять и разрабатывать практически любые про¬ граммы, что системы, и является и одновременно недостатком с позиций большим достоинством защиты обрабатываемой на ней информации. Здесь два требования вступают в противоречие. Во-первых, персональный компьютер отличается полной всех ресурсов машины, например, адресуется вся оперативная память, включая области, используемые системой доступностью (кроме защищенного обращаться к режима). Пользователь любой ячейке памяти и может изменять ее свободно содержимое. Конечно, многие программные продукты, используемые на пер¬ сональных включают компьютерах, в себя отдельные средства защиты, однако отсутствие как базового набора средств гаран¬ тированного обеспечения безопасности информации, так и сис¬ тематической использования политики значительно отдельных, не снижают связанных друг с эффективность другом средств защиты. Во-вторых, один персональный компьютер может работать в режиме, а также широко применяться в вычислительных и информационных сетях различного масштаба многопользовательском и в круглосуточном режиме, что повышает уязвимость обрабаты¬ ваемой информации и делает проблему ее безопасности в персо¬ нальных компьютерах весьма актуальной. В силу данных обстоя¬ информации в персональных компьютерах имеет свои особенности, что служит основанием для рассмотрения ее в тельств защита отдельном разделе. Потенциальные угрозы информации, обрабатываемой в персональных компьютерах Потенциальные угрозы информации в персональных компь¬ ютерах так же, как и в больших комплексах средств автоматиза¬ обработки информации и управления, выражаются в виде случайных и преднамеренных воздействий, а также их сочетаний. Методы и средства борьбы с ними, применимые для больших комплексов (см. раздел 2), используются и для персональных компьютеров. Особый случай составляют программные вирусы, ции преднамеренный характер, а попадание в конкретный компьютер случайный. Однако этот природа рождения которых имеет — Глава 1. Безопасность информации в персональных компьютерах 285 процесс нельзя описать обычными методами для случайных про¬ целесообразно защиту от вирусов строить, как для преднамеренных воздействий, исходя из наихудшего (опас¬ ного) случая: любой вирус может появиться в любое время. цессов, поэтому Возможные каналы преднамеренного несанкционированного информации в персональных компьютерах зависят от условий его эксплуатации: используется ли персональный ком¬ пьютер одним пользователем или группой. В первом случае по¬ требуется защита только от постороннего человека, во втором доступа к — от любого ном пользователей, работающих на одном персональ¬ из компьютере. При нальном отсутствии средств защиты компьютере работает один в когда на персо¬ пользователь, возможны случае, следующие каналы несанкционированного доступа: • • рабочая (терминал) пользователя (клавиатура средство отображения информации); средство документирования информации; станция • средство загрузки программного обеспечения; • носители • внутренний монтаж персональных компьютеров; • • информации (машинные и бумажные); побочное электромагнитное излучение; побочные наводки информации по сети электропитания заземления • и аппаратуры; побочные наводки на цепях посторонней аппаратуры; брошенные в мусорную корзину. Потенциальные угрозы безопасности информации • и отходы, в персо¬ нальных компьютерах и возможные каналы несанкционирован¬ ного доступа к ней иллюстрируются рис. 2. Имея доступ шитель может ную к клавиатуре персонального компьютера, нару¬ считать, информацию, снять копию, похитить или ввести несанкционирован¬ модифицировать ее и про¬ граммное обеспечение, включая ввод компьютерного вируса. Наблюдая за информацией на экране дисплея и распечаткой на принтере, нарушитель может ознакомиться с обрабатываемой информацией. Владея средствами загрузки (клавиатурой и соб¬ ственным внешним носителем), нарушитель может модифици¬ ровать программное обеспечение и ввести компьютерный вирус. Несанкционированный доступ к носителям информации может выразиться в подмене, хищении, снятии копии программ и ин¬ формации, что может привести к их модификации, утечке и раз¬ рушению. На сданных в ремонт или переданных для других це- Раздел VII. Обеспечение безопасности информации в ПК... 286 1 Возможные каналы 1 Потенциальные 1 угрозы несанкционированного 1 доступа Несанкционированное наблюдение 1 информации 1 Дисплей, принтер, плоттер, графопостроитель 1 1 1 1 Несанкционированный доступ к информации 1 Клавиатура, сканер, цифровые фото- 1 * мышь, 1 и другого пользователя видеокамеры 1 ! 1 Снятие неучтенной копии Дисководы 1 1 1 1 1 1 Несанкционированный ОЗВ-внешние носители, вход в персональный г компьютер 1 дискеты, стриммеры 1 1 1 Хищение 118Вносителей, дискет, 1 ( т лазерных дисков, носителей стриммеров 1 Встроенные носители информации (магнитные 1 жесткие диски 1 (винчестеры)) 1 1 Ввод г несанкционированных • -:— — ч 1 программ 1 * 1 Внутренний монтаж — ^ Программное 1 обеспечение 1 Запись информации на 1 1 неучтенный носитель 1 1 1 1 Побочное 1 1 1 1 Изменение схемы . 1 1 1 персонального компьютера и вставка постороннего устройства 1 информации 1 < электромагнитное излучение и наводки 1 1 1 1 1 1 1 1 1 1 1 Прием информации на спецаппаратуру 1 1 1 1 1 ’ 1 1 Ремонт жестких дисков (винчестеров) 1 1 Чтение остатков 1 информации 1 1 1 Отходы носителей 11 1 информации 1 1 и — 1 Вис. 2. Возможные каналы несанкционированного доступа к информации персо¬ нальных компьютеров и потенциальные угрозы Глава 1. Безопасность информации в персональных компьютерах 287 лей машинных носителях может быть прочитана остаточная ин¬ формация, даже если она была удалена. Несанкционированный доступ к внутреннему монтажу может привести к подмене узлов, вводу сложной неисправности или установке постороннего уст¬ ройства передатчика информации по радиоканалу (закладки). Побочные электромагнитные излучения и наводки, несущие ин¬ — формацию, ных на специаль¬ высокочувствительных приемниках, находящихся на значи¬ могут приниматься и декодироваться расстоянии от работающего персонального компьютера. тельном Перечисленные возможные каналы несанкционированного доступа имеют место независимо от присутствия или отсутствия штатного пользователя, так включая средства защиты, как мы вначале условились, что и не¬ никто не организационные, отсутствуют, санкционированным действиям нарушителя ничто и принятой в концепции защиты мо¬ дели нарушителя, мы рассматриваем наиболее опасный случай. Нарушитель воспользуется наиболее удобным для него в данный препятствует, т. е. момент исходя из времени каналом. При эксплуатации персональных компьютеров несколькими пользователями опасность каждый и наличии возможного несанкционированного из них имеет среди доступа законный доступ нарушителя возрастает, так как средствам загрузки, факт несанкциониро¬ доступа нарушителя будет очень трудно, особенно в случаях модификации и утечки информации, а также ввода-вывода информации, к них ванного и и установить истинного ввода компьютерного вируса, активная дея¬ тельность которого обычно начинается с задержкой во времени, преднамеренного величина которой неизвестна. Система защиты информации от несанкционированного доступа (НСД) в персональных компьютерах Наиболее простой и надежный способ защиты информации от несанкционированного доступа — режим автономного пользования персонального компьютера одним работающим в отдельном помещении ис¬ пользователем, при отсутствии посторон¬ без доступа в сети (конечно же, это самая идеальная ситуация). В этом случае роль замкнутого контура защиты вы¬ них лиц, полняют помещение, его стены, потолок, пол и окна. Если сте- Раздел VII. Обеспечение безопасности информации в ПК... 288 ны, потолок, пол и дверь достаточно прочны, пол не имеет лю¬ ков, сообщающихся с другими помещениями, окна и дверь обо¬ охранной сигнализацией, то прочность защиты будет определяться техническими характеристиками охранной сигна¬ рудованы лизации при отсутствии пользователя (персональный компьютер включен) в нерабочее время. В рабочее время, когда персональный компьютер включен, возможна утечка информации за счет ее побочного электромаг¬ нитного излучения и наводок. Для устранения такой опасности, не если это необходимо, проводятся соответствующие технические мероприятия по уменьшению или зашумлению сигнала (см. раз¬ дел 2). Кроме того, дверь помещения для исключения доступа посторонних лиц должна быть оборудована механическим или электромеханическим замком. В некоторых случаях, когда в по¬ мещении нет охранной сигнализации, на период длительного персональный компьютер полезно по¬ мещать в сейф, по крайней мере хотя бы ее системный блок и носители информации. Применение в некоторых персональных компьютерах в сис¬ отсутствия теме пользователя ввода-вывода В1О8 встроенного аппаратного пароля, бло¬ кирующего загрузку и не жалению, часть спасает хозяина так положения, на при отсутствии сутствии работу персонального компьютера, к со¬ может корпусе как данная системного быть свободно блока заменена аппаратная замка на и другую от¬ — такую же (так как узлы унифицированы), но только с известным значением пароля. Обычный механический замок, блокирую¬ щий включение и загрузку персонального компьютера — более эффективная в этом случае мера. В последнее время для защиты от хищения специалисты ре¬ комендуют механически закреплять столу пользователя. Однако при отсутствии персональный компьютер к этом следует помнить, что при сигнализации, обеспечивающей постоян¬ охранной ный контроль доступа в помещение или к сейфу, прочность зам¬ креплений должна быть такова, чтобы ожидаемое суммар¬ ков и ное рода время, необходимое препятствий или нарушителю для преодоления такого обхода их, превышало время отсутствия персонального компьютера. Если это сделать не охранная сигнализация обязательна. Тем самым бу¬ пользователя удается, дет то соблюдаться следовательно, ности. основной будут срабатывания защиты и, требования по се эффектив¬ принцип выполняться Глава 1. Безопасность информации в персональных компьютерах Перечисленные 289 информации ограни¬ ченного доступа от нарушителя-непрофессионала, в принципе, можно считать достаточными при работе с автономным персо¬ выше меры защиты нальным компьютером одного пользователя. На практике же че¬ ловек не может постоянно быть изолированным от общества, в работе. Его посещают друзья, знакомые, сослу¬ живцы обращаются по тем или иным вопросам. Отдельное по¬ мещение для его работы не всегда может быть предоставлено. По рассеянности или озабоченный личными проблемами, поль¬ том числе и на зователь может включить на столе забыть носитель информации, а сам на короткое время покинуть помещение, компьютер, что создает а ключ оставить предпосылки для в замке; несанкцио¬ нированного доступа к информации лиц, не допущенных к ней, но имеющих тельные доступ в помещение. Распространенные развлека¬ программы могут послужить средством для занесения программных вирусов в персональный компьютер. Все перечисленные средства и им подобные должны с раз¬ личной степенью безопасности обеспечивать только санкциони¬ рованный доступ к информации и программам со стороны кла¬ виатуры, средств загрузки и внутреннего монтажа компьютера. Защита от несанкционированного доступа виатуры усложняется тем, назначению ему что со стороны кла¬ по сво¬ современные компьютеры обладают широким спектром функциональных возможностей, которые с течением времени продолжают разви¬ ваться. Более того, иногда кажется, что требования по защите вступают в противоречие с основной задачей компьютера: с од¬ ной стороны, персональный компьютер серийное устройство — применения, с другой массового Если в — индивидуального. каждый из выпускаемых персональных компьютеров, например, установить на заводе-изготовителе электронный за¬ мок, открываемый перед началом работы пользователем с помо¬ щью ключа-пароля, то возникает вопрос защиты хранения и по¬ следующей замены его ответной части в замке. Если ее может заменить пользователь, то это может сделать и нарушитель. Если эта часть компьютера постоянна, то она известна изготовителям, через которых может стать известной и нарушителю. Однако по¬ следний вариант более предпочтителен при условии сохранения тайны ключа фирмой-изготовителем, а также высокой стойкости ключа к подделке и расшифровке. Стойкость ключа должна быть известна и выражаться в величине затрат времени наруши¬ теля на выполнение этой работы, так как по истечении этого 290 Раздел VII. Обеспечение безопасности информации в ПК... времени необходима замена его новый, на если защищаемый компьютер продолжает использоваться. Но и этого условия тоже недостаточно. Необходимо также, чтобы ответная часть ключа замок тоже не был доступен потенциальному оказывается — — нарушителю. Стойкость замка к замене и подделке должна быть выше стойкости ключа и равняться времени эксплуатации ком¬ пьютера при обязательном условии невозможности его съема и замены нарушителем. В роли «замка» могут выступать специаль¬ ные фрагменты, программные персонального компьютера в пользователем закладываемые свои и программы взаимодейст¬ вующие с электронным ключом по известному только пользова¬ телю алгоритму. Анализ потенциальных угроз безопасности возможных каналов несанкционированного информации и ней в доступа к персональных компьютерах показывает их принципиальное сходство с аналогичными угрозами и каналами, рассмотренны¬ 3. Следовательно, методы должны быть такими ми в разд. 2 же, а технические и средства защиты строиться с учетом их со¬ пряжения с ее аппаратными и программными средствами. В целях перекрытия возможных каналов несанкционированно¬ го к доступа информации персонального компьютера, кроме быть упомянутых, могут применены и другие методы и средства защиты. При использовании пользовательском персонального компьютера необходимо применить режиме в много¬ программы разграничения доступа, аналогичные описанной разд. 4. Существует много подобных программ, которые контроля и 3, часто разрабатывают сами пользователи. в гл. Однако специфика работы программного обеспечения пер¬ сонального компьютера такова, что с достаточно квалифицированный программист-нарушитель защиту такого рода легко обойти. помощью ее клавиатуры мо¬ Поэтому эта мера эффек¬ тивна только для защиты от неквалифицированного нарушите¬ ля. Для защиты от нарушителя-профессионала поможет ком¬ плекс программно-аппаратных средств. Например, специальный электронный ключ, вставляемый в свободный слот ПК, и специ¬ альные программные фрагменты, закладываемые в прикладные программы ПК, которые взаимодействуют с электронным клю¬ чом по известному только пользователю алгоритму. При отсутст¬ вии ключа эти программы нс работают. Однако такой ключ не¬ удобен в обращении, так как каждый раз приходится вскрывать жет Глава 1. Безопасность информации в персональных компьютерах 291 системный блок персонального компьютера. В связи с этим его переменную часть которое и выводят на отдельное устройство, пароль становится собственно ключом, а считывающее уст¬ — — ройство устанавливается на или выполняется выносного ким способом компьютера, и в виде можно лицевую панель отдельного заблокировать и блока системного устройства. Та¬ загрузку персонального программу контроля и разграничения доступа. Подобными возможностями или аналогичными по действию обладают наиболее популярные электронные ключи как странных фирм изготовителей, так и отечественных. Среди них большая часть предназначена для защиты санкционированного копирования для защиты авторского права на программного его ино¬ от не¬ продукта, т. е. создание, следовательно, для другой цели. Однако при этом остаются не всегда защищенными каналы отображения, документирования, носители программного обес¬ печения и информации, побочное электромагнитное излучение и Их перекрытие обеспечивается уже из¬ наводки информации. вестными и средствами: размещением компьютера в защищенном помещении, учетом и хранением носителей инфор¬ методами шкафах и сейфах, шифрованием и т. д. Определенную проблему представляет собой защита от не¬ санкционированного доступа остатков информации, которые могут прочитать при наложении на старую запись новой инфор¬ мации в металлических мации на одном и том же носителе, а также при отказах аппара¬ туры. Отходы носителей мусорной корзине. По¬ этому во избежание утечки информации должны быть преду¬ смотрены средства механического уничтожения отработанных носителей с остатками информации. Отдельную проблему в защите программного обеспечения и информации составляет проблема защиты от вредоносных про¬ грамм скапливаются в (вирусов). Если персональный компьютер работает в автономном режи¬ ме, проникновение вируса возможно только со стороны внеш¬ них носителей программного обеспечения и информации. Если информационной (или автоматизированной систе¬ персональный компьютер является элементом компьютерной управления), то проникновение вируса возможно также и со системы мы и сети стороны каналов связи. циальном разделе. Данный вопрос рассмотрен далее в спе¬ Раздел VII. Обеспечение безопасности информации в ПК... 292 Еще один уровень защиты от неквалифицированного нару¬ шителя может быть обеспечен путем использования компрессии данных (архивирования). Этот метод выгоден тем, что: пространство при хранении файлов на диске; • экономит • уменьшает время шифрации-дешифрации; • затрудняет незаконное расшифрование файла; • уменьшает время передачи в процессе передачи данных. Компрессия данных (или упаковка) файла представляет со¬ бой (в самом простом случае) удаление пробелов и (или) нулей из файлов и подмену комбинаций. Имеется несколько методов компрессии данных, Хоффмана, из них метод Линга и использования наиболее Палермо, известные а также кодирование Шеграфа и Хипса. компьютере известно достаточно много программ архивирования. Во всех случаях можно упаковать фай¬ Для на крайней мере, на 40 %, но экономия для про¬ грамм и графических файлов менее значительна и зависит от применяемого языка. Архивирование информации рекомендует¬ ся применять в комбинации с шифрованием. Шифрование обеспечивает самый высокий уровень безопас¬ лы по данных, ности данных. чении Как в аппаратном, так и в программном обеспе¬ применяются различные алгоритмы шифрования. Программные средства, работающие с дисками ском уровне, предоставляют в некоторых случаях физиче¬ на возможность обхода программных средств защиты. Эти программные средства используют в интерактивном или автоматическом режимах команды считывания и записи секто¬ ров по абсолютному адресу на диске. Кроме того, существуют программы, позволяющие создавать программное обеспечение, способное производить чтение или запись по абсолютным адресам, а также программ, обеспечиваю¬ щих просмотр зассемблера, и отладку программных продуктов просмотр и редактирование в режиме ди¬ оперативной памяти персональных компьютеров. К таким программам относятся трансляторы с языков низко¬ го уровня, языков высокого программы работы с программ могут уровня, оперативной программы-отладчики памятью. С помощью быть раскрыты программные средства и таких защиты информации на жестких дисках. Однако наличие таких программных средств служит для дру¬ гих целей — для восстановления испорченной вирусами или не¬ осторожными действиями пользователей информации. Следова- Глава 1. Безопасность информации в персональных компьютерах 293 тельно, их применение должно быть строго регламентировано и доступно только администратору системы. средства защиты тие имеют методы и Для оболочки замкнутой создания Определенное разви¬ от анализа защиты программ. информации в и объединения компьютерах перечисленных средств в одну систему необходимы соответствующие средства управления и контроля. В зависимости от режима использова¬ персональных ния персональных компьютеров автономного — или сетевого (в составе сети локальной, региональной или глобальной) они будут носить различный характер. — В — режиме могут быть два варианта управления: однопользовательский и многопользовательский. В первом слу¬ автономном функции управления и контро¬ ля и несет ответственность за безопасность своей и доверяемой ему информации. В многопользовательском режиме перечисленные функции чае пользователь сам выполняет рекомендуется поручить специальному должностному лицу. Им может быть один из пользователей или руководитель работ. этом, однако, ключи шифрования и При информация, закрытая ими другим пользователем, ему могут быть недоступны до момента передачи руководителю работ. В автономном режиме в интересах безопасности • • информа¬ функции управления контроля: ведение списка и идентификация пользователей, допущен¬ ных к информации персонального компьютера; генерация значений паролей и их распределение по поль¬ ции выполняются следующие и зователям; полномочий пользователей; • назначение • контроль доступа пользователей к информации и регистра¬ ция несанкционированного доступа в специальном журна¬ ле, недоступном для них; • контроль целостности программного обеспечения и ин¬ формации персонального компьютера; • контроль гарантированного уничтожения ной информации; • визуальный нального • контроль вскрытия остатков системного секрет¬ блока персо¬ компьютера; регистрация и учет машинных носителей информации; • регистрация и учет бумажных секретных документов; • контроль несанкционированной компьютера; загрузки персонального 294 Раздел VII. Обеспечение безопасности информации в ПК... 1 > 1 1 1 Физическая преграда • с !11 / и охранной сигнализацией Отдельное помещение > 1 с контролируемым доступом Блокировка замком '7/Л1 кожуха системного блока Ж: Блокировка замком включения электропитания и загрузка программного обеспечения 1 Специальный электронный 1 1 1 1 / /IV ! х’ 1 ключ ^ //Л1 Программа контроля • 1 1 I 1 и разграничения доступа (ПКРД) Операционная системная оболочка Антивирусная программа Специальное преобразование, компрессия, шифрование информации Защита от программ отладки ! 1 Уменьшение уровня сигнала или его зашумление и Специальные средства стирания остатков информации иа магнитных носителях си Специальные средства уничтожения отходов носителей информации Рис. 3. Схема распределения средств защиты по возможным каналам несанкцио¬ нированного доступа персональных компьютеров Глава 1. Безопасность информации в персональных компьютерах 295 антивирусный контроль; периодический контроль функционирования средств защи¬ • • ПЭМИН. ты от Следует отметить, что в автономном режиме функции кон¬ троля ослаблены из-за отсутствия механизма быстрого обнару¬ жения несанкционированного доступа, так как это приходится осуществлять организационными мерами по инициативе челове¬ ка. Следовательно, многопользовательский режим нежелателен с позиций безопасности и не рекомендуется для обработки важ¬ ной информации. В сетевом варианте можно автоматизировать процесс кон¬ троля и все перечисленные функции выполнять со специального рабочего места службы безопасности. В сетевом варианте должностное лицо передавать сообщения жет по каналам интересах и пользователь — документы другому — мо¬ пользователю связи, и тогда возникает необходимость выполнять в безопасности передаваемой информации дополни¬ функции по обеспечению абонентского шифрования и цифровой подписи сообщений. тельные Для иллюстрации схема вышеизложенного на рис. 3 приведена по возможным каналам не¬ защиты распределения средств санкционированного доступа персонального компьютера. Со¬ гласно принятой концепции безопасности покажем, как отдель¬ ные средства защиты кая система образуют систему защитных оболочек. Та¬ представлена в табл. 1. Таблица 1. Система образования замкнутых защитных оболочек от несанкционированного доступа к аппаратуре, программному обеспечению и информации в персональных компьютерах Номер оболочки Состав защитных оболочек Примечание 1 Физическая преграда с охранной сигна¬ Средства защиты закрывают возмож¬ лизацией и контрольно-пропускной пункт ные каналы несанкционированного на территории объекта защиты, средства защиты от ПЭМИН, средства уничтоже¬ информации шифрование информации на носителях ния остатков 2 на носителях, Отдельное помещение с контролируе¬ мым доступом, средства уничтожения остатков информации на носителях, шифрование информации доступа, выходящие за пределы кон¬ тролируемой территории (носители мо¬ гут выноситься за ее пределы) Доступ к каналу ПЭМИН открыт Раздел VII. Обеспечение безопасности информации в ПК... 296 Окончание табл. 1 Номер оболочки Состав защитных оболочек 3 Системный блок персонального компью¬ тера с кожухом на замке, Примечание — блокировка замком включения электропитания и за¬ грузки персонального компьютера, сей¬ фы для хранения носителей информа¬ ции, шифрование информации 4 Программное обеспечение антивирусной защиты операционная системная обо¬ — лочка— специальное данных — Доступ к клавиатуре, дисплею, принте¬ ру и дисководу открыт преобразование раздельное хранение носите¬ лей информации — электронный ключ Компьютерные вирусы и средства защиты от них Источники компьютерных вирусов. Защита от компьютерных проблема, описанию решений которой по¬ священо много книг, учебников и учебных пособий. В них дан¬ ная проблема рассматривается с разных точек зрения и опреде¬ ляются разнообразные подходы к решению задач. В данном учебном пособии приведены лишь некоторые све¬ дения, необходимые для ознакомления с проблемой и отдельны¬ вирусов ми — отдельная путями ее решения. Для современных компьютерных сетей, состоящих из персо¬ нальных компьютеров, умышленники, большую обладающие нальным интеллектом и опасность достаточно представляю! высоким зло¬ профессио¬ способностями. Деятельность этих лиц Достаточно ознакомиться с соответствующей статистикой в информационной сети Интернет (по сетевым червям, например). Подобные вредоносные действия наносят существенный ущерб владельцам компьютеров. Основная часть потерь связана с прекращением обработки информации, простоем терминалов представляет серьезную опасность. пользователей и затратами на восстановление испорченных дан¬ ных. Причем восстановление подчас бывает самой дорогостоя- Глава 1. Безопасность информации в персональных компьютерах 297 процедурой. Опасность, которую представляет подобная деятельность, усугубляется еще и тем, что в их распоряжении находятся современные средства обмена информацией, такие, как глобальная информационная сеть Интернет. щей Часто злоумышленниками становятся лояльные ствам. сотрудники, имеющие доступ не¬ компьютерным сред¬ Причем ущерб, который они могут нанести своими дей¬ ствиями, быть особенно может нально знакомы с и к недовольные или велик потому, что они доско¬ особенностями системы защиты данной сети хорошо осведомлены о степени ценности тех или иных дан¬ При проникновении в компьютерную систему злоумыш¬ ленник размещает в ней программу типа «Троянский конь», ко¬ торая модифицирует работу программного обеспечения входа ных. управления обменом данными с сетью для того, чтобы вы¬ явить пароли пользователей и администраторов системы. Про¬ или никновение ей в систему часто осуществляется путем сообщения имен точек входа и паролей, используемых по умолчанию и упоминаемых в описании системы, а также за счет известных ошибок в средствах защиты. Если ошибки исправлены, то зло¬ умышленникам угадывания часто удается угадать пароль. паролей увеличивается с Эффективность помощью найти программ рас¬ шифровки, которые определенных раз¬ сети делах Интернет. Преступление с помощью компьютерных средств создает ви¬ димость безопасного для нарушителей благодаря следующим об¬ вполне можно в стоятельствам: • не оставляет почти никаких • требует установления прямого контакта между преступ¬ ником и его жертвой; достаточно осуществляется быстро (при необходимой предварительной подготовке); требует применения сложных технических средств для сбо¬ • • материальных свидетельств; не ра косвенных улик и доказательств виновности. выработано достаточно чет¬ ких правовых норм, классифицирующих факт данных преступ¬ Необходимо отметить, что уже лений и ответственность за них. Не существует ни одной исчерпывающей модели поведения при совершении компьютерных преступлений. Ранее много вторжений осуществлялось злоумышленниками, которые испы¬ тывают потребность совершить то, что, по их мнению, является решением интеллектуальной задачи или головоломки, которую Раздел VII. Обеспечение безопасности информации в ПК... 298 они считают вызовом своим способностям. Сейчас вторжения чаще всего носят финансовый характер, т. е. заказной. И поэто¬ му становятся более серьезными как по последствиям, так и по арсеналу применяемого инструментария. Вредоносные действия сейчас совершают сообщества. Это создает не еще с столько помощью компьютерных средств одиночки, сколько коллективы большие трудности противостоянию и дан¬ информационных системах и заставляет специалистов, работающих в области защиты инфор¬ ным деструктивным процессам в мации, еще более мобилизоваться и кооперироваться для успеш¬ ных действий. При автономном режиме работы компьютера компьютерного вируса могут быть посторонние граммных изделий: ная работа в вируса за внешние одним компьютер носители компьютером с происходит по источниками носители информации и про¬ совмест¬ нарушителем. Попадание причинам случайного и преднамеренного характера. Отсутствие учета и порядка в хране¬ носителей, их проверке перед использованием мо¬ жет привести к преднамеренной подмене на «зараженный» но¬ нии внешних ситель. В компьютерную сеть вирус может проникнуть и по каналам связи вместе с сообщением, принятым пользователем-нарушите¬ лем, имеющим законный доступ или же подключившимся к сети образом. Потенциальные угрозы и характер проявления компьютерных это специально написанная, вирусов. Компьютерный вирус незаконным — обычно небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а также выполнять различные нежелательные действия на компь¬ ютере (например, портить файлы или таблицу размещения фай¬ лов на диске, действия «засоряя» оперативную память, и т. д.). выполняются достаточно Подобные быстро и никаких сообще¬ ний при этом на экран не выдается. Далее вирус передает управ¬ которой он находится. Внешне работа зараженной программы выглядит так же, как и незараженной. Некоторые разновидности вирусов устроены таким образом, что после первого запуска зараженной этим вирусом программы вирус остается постоянно (точнее, до перезагрузки операцион¬ ной системы) в памяти компьютера и время от времени заражает файлы и выполняет другие вредные действия на компьютере. По ление той программе, в Глава 1. Безопасность информации в персональных компьютерах 299 прошествии некоторого времени одни программы перестают ра¬ ботать, другие водятся начинают — работать неправильно, на экран вы¬ произвольные сообщения как моменту, или символы правило, уже достаточно и т. К этому д. (или даже боль¬ много шинство) программ оказываются зараженными вирусом, а неко¬ торые файлы и диски испорченными. Более того, зараженные программы могут быть перенесены с помощью внешних носите¬ лей или по локальной сети на другие компьютеры. Компьютерный вирус может испортить, т. е. изменить лю¬ бой файл на имеющихся в компьютере дисках, а может «зара¬ зить». Это означает, что вирус «внедряется» в эти файлы, т. е. изменяет их так, что они будут содержать сам вирус, который при некоторых условиях, определяемых видом вируса, свою разрушительную наличию работу. В настоящее макрокоманд, могут заражаться, порченными тексты программ и благодаря а не только документов, баз данных, время, начнет быть ис¬ информационные таблицы, картинки файлы другие аналогичные файлы. Средства защиты от компьютерных вирусов. Одна из причин, из-за которых стало ный вирус, ных средств тупа. В и возможным такое явление, как компьютер¬ отсутствие в операционных системах эффектив¬ защиты информации от несанкционированного дос¬ — связи с этим фирмами и программистами которые в определенной степени во¬ различными разработаны программы, указанный недостаток. Эти программы постоянно на¬ ходятся в оперативной памяти (являются «резидентными») и «перехватывают» все запросы к операционной системе на вы¬ полнение различных «подозрительных» действий, т. е. операций, сполняют которые используют компьютерные вирусы для своего «размно¬ жения» и порчи информации в компьютере. При каждом запросе на такое действие на экран компьютера сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь может либо раз¬ решить выполнение этого действия, либо запретить его. выводится Такой способ защиты не лишен резидентная программа для защиты мает какую-то часть оперативной недостатков. от вируса памяти Прежде всего постоянно компьютера, зани¬ что не приемлемо. Кроме того, при частых запросах, довольно ощутимо замедляется работа пользователя и отвечать на них мо¬ всегда жет ему надоесть. торых не И наконец, имеются виды вирусов, работа ко¬ обнаруживается резидентными программами защиты. Раздел VII. Обеспечение безопасности информации в ПК... 300 Однако преимущества не Он значительны. что-либо испортить. Тем и успел размножиться са¬ убытки от воздействий компьютерного виру¬ мым можно свести са к весьма обнаружить вирус на самой ранней стадии, когда ви¬ позволяет рус еще способа этого минимуму. Более ранняя диагностика вируса в файлах на диске основа¬ на на том, что при заражении и порче вирусом файлы изменя¬ ются, а при заражении, как правило, еще и увеличиваются в сво¬ ем размере. Для проверки того, не изменился ли файл, вычисля¬ функция всего содержимого файла. Для вычисления контрольной суммы необходимо прочесть весь файл, а это относительно длительный ется его контрольная сумма — некоторая специальная процесс. В связи с этим, как правило, при обычной проверке на контрольной суммы производится важных файлов, а у остальных для файлов проверяется лишь их размер, указанный в каталоге. По¬ добную проверку наиболее целесообразно производить для фай¬ наличие вычисление вируса только особо нескольких лов на жестком диске. Большинство пользователей знает о том, что запись на дис¬ кету, флэш-карту и т. п. можно запретить, используя встроенную от записи. Эта для защиты информации механическую защиту многими пользуется возможность на ис¬ широко «эталонных» подобных носителях, содержащих архивные файлы, программы и данные, которые могут использоваться, ся. но не должны менять¬ Этот же способ можно применить для защиты от вирусов ра¬ бочего носителя, в информацию которого не потребуется вво¬ какую-либо запись. дить Защитить файлы от записи можно и на жестком диске. Для этого поле памяти диска следует разбить с помощью специаль¬ ных программ па несколько частей ков. Если ков, доступных на жестком диске — имеется операционной условных логических дис¬ несколько логических дис¬ системе, то некоторые можно сделать доступными только для чтения, что также жит средством защиты от из них послу¬ порчи вирусом (опре¬ взлому). (хотя бы приблизительно), какую заражения или деленного уровня стойкости к Если часть заранее жесткого известно диска могут занимать программы и данные, не процессе выполнения текущей задачи, то целесо¬ образно разбить жесткий диск на два логических диска, один из изменяемые в которых отвести для хранения изменяемых программ и данных, Глава 1. Безопасность информации в персональных компьютерах 301 для хранения программ и дан¬ другой с защитой от записи ных, которые будут использоваться, но не изменяться. Другой уровень защиты основывается: а — • на сегментации жесткого диска с помощью специального драйвера, обеспечивающего присвоение отдельным логиче¬ ским дискам атрибута КЕАЭ О^^V; • на системе • на парольного доступа; использовании для делов жесткого диска, отличных от С и в информации раз¬ О, не указываемых хранения ценной РАТН, или скрытых с помощью средств реестра операци¬ онной системы. При этом рекомендуется раздельное хранение исполняемых программ и баз данных. При правильном размещении операционной системы можно гарантировать, что после канальной загрузки она не будет зара¬ жена резидентным файловым вирусом. Главное в этом случае — разместить операционную систему в защищенном от записи раз¬ деле. Кроме того, вновь полученные утилиты нельзя включать в состав этого диска без тщательной проверки на отсутствие виру¬ сов и прохождения «карантинного» режима. Если программное изделие получено без сертификата, мнительного источника или не откуда было получено, первые эксплуатировалось несколько в том из со¬ месте, дней его полезно экс¬ плуатировать в карантинном режиме с использованием, если это возможно, ускоренного календаря. Это повышает вероятность обнаружения «троянской» компоненты, срабатывающей в опре¬ деленное время. При работе со вновь поступившими программа¬ ми целесообразно употребление специального имени пользова¬ теля. Для выбранного разделы должны быть либо невидимы, либо иметь статус КЕАБ О^^У. При этом для всех компонентов имени все остальные операционной системы и некоторых ути¬ лит, используемых как «ловушки» для вируса, следует записать в соответствующий файл контрольные суммы, вычисленные соот¬ ветствующей программой. Основным средством защиты от вирусов служит архивирова¬ ние. Другие методы заменить его не могут, хотя и повышают об¬ щий уровень защиты. Архивирование необходимо делать еже¬ дневно. Архивирование заключается в создании копий исполь¬ зуемых файлов и систематическом обновлении изменяемых файлов. Для этой цели удобно использовать специально разрабо¬ танные программы. Они дают возможность не только экономить Раздел VII. Обеспечение безопасности информации в ПК... 302 место на специальных архивных дисках, но и объединять группы совместно зультате используемых этого гораздо Наиболее уязвимыми главного каталога и файлов в один архивный файл, легче разбираться в в ре¬ общем архиве файлов. таблицы размещения файлов, считаются бутсектор. Файлы, создаваемые этими утили¬ тами, рекомендуется периодически копировать на специальный носитель. Их резервирование важно не только для защиты от ви¬ случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок. Современ¬ но русов, ные и для страховки операционные ском или на системы позволяют это делать в автоматиче¬ полуавтоматическом в режиме, них встроены про¬ граммные утилиты так называемого аварийного восстановления. В целях профилактики для защиты от вирусов рекомендуется: • работа с внешними носителями информации, защищенны¬ ми от записи; • минимизация периодов доступности внешних носителей информации для записи; • разделение носителей внешних информации между кон¬ кретными ответственными пользователями; • разделение передаваемых и поступающих внешних носите¬ лей информации; • раздельное хранение вновь полученных программ и экс¬ плуатировавшихся ранее; • на хранение программ виде. жестком диске в архивированном Вновь поступившие программные изделия должны подвер¬ гаться — входному контролю контрольных сумм в соответствия проверке сертификате длины полученным длинам и и кон¬ трольным суммам. Систематическое обнуление первых трех бай¬ тов сектора начальной загрузки на полученных внешних носите¬ лях информации до их использования поможет уничтожению «бутовых» вирусов (хотя в настоящее время их распространение практически заблокировано). Многие программисты разрабатывают собст¬ венные или используют готовые программы для обнаружения и удаления вирусов на своих компьютерах и дисках. Обнаружение вируса основано на том, и что организации каждая конкретная версия вируса, любая программа, содержит присущие только ей комбина¬ ции байтов. Программы-фильтры проверяют, имеется ли в фай¬ как лах на данного указанном пользователем носителе вируса комбинация байтов. При ее специфическая для обнаружении в ка- Глава 1. Безопасность информации в персональных компьютерах 303 файле на экран выводится соответствующее сообще¬ ние. Для обнаружения вирусов также используется специальная обработка файлов, дисков, каталогов вакцинирование', запуск ком-либо — резидентных программ-вакцин, сочетание усло¬ вий, в которых заработает данный тип вируса и проявит себя. Существуют также называются программы удаления кон¬ зараженных программах. Такие программы в кретного вируса имитирующих специальные программами-фагами. С зараженными файлами про- грамма-фаг выполняет (если это возможно) действия, обратные тем, которые производятся вирусом при заражении файла, т. е. делает попытку восстановления файла. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособ¬ ными и удаляются. Следует подчеркнуть, что действия, которые надо предпри¬ нять для обнаружения и удаления вируса, индивидуальны для каждой версии вируса. Пока не существует универсальной про¬ граммы, способной обнаружить любой вирус. Поэтому надо иметь в виду, что заражение компьютера новидностью вируса, которая не возможно и выявляется такой раз¬ известными про¬ граммами для обнаружения. В настоящее время трудно назвать более или менее точно ко¬ их личество типов вирусов, так как оно постоянно увеличивается. некоторым запаздыванием Соответственно увеличивается, но с и число программ для их обнаружения, хотя в настоящее время существует определенный список лидеров разработчиков в данной области создания антивирусного программного обеспе¬ — чения. Проблему защиты информации и программных продуктов от вирусов необходимо рассматривать в общем контексте проблемы Основной принцип, который должен быть положен в основу методологии защиты от защиты от несанкционированного доступа. вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей приведенные выше средства. На¬ личие нескольких уровней позволяет компенсировать недостатки одних средств защиты достоинствами других. Если вирус обойдет один вид защиты, чтобы избежать то может появления быть остановлен другим. Для того компьютерных вирусов, необходимо соблюдать прежде всего элементарные следующие меры: • переписывать программное обеспечение с других ком¬ пьютеров. Если это необходимо, то следует принять пере¬ не численные выше меры; Раздел VII. Обеспечение безопасности информации в ПК... 304 • допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими носите¬ не лями; • не пользоваться носителями посторонними информации, особенно с компьютерными играми. Типичные ошибки пользователя, приводящие к заражению персональных компьютеров вирусами Первая ошибка и одна из самых грубых и распространенных ошибок при использовании персональных компьютеров сутствие надлежащей системы архивирования информации. — от¬ запуск полученной программы без Вторая грубая ошибка ее предварительной проверки на зараженность и без установки — режима защиты винчестера максимального с помощью систем разграничения доступа и запуска резидентного сторожа. Третья типичная ошибка мы — выполнение перезагрузки систе¬ при наличии установленного внешнего носителя в порт, раз¬ решенный для сителя. этого При операционной системы с внешнего но¬ загрузки В105 этом носителя, а не с делает попытку винчестера, в загрузиться результате, если именно с носитель заражен вирусом, происходит заражение винчестера. Одна грубейших ошибок из — анализ и восстановление зараженной операционной катастрофические последствия. грамм на системе. может иметь В про¬ Данная ошибка частности, при Например, ранее существовал резидентный вирус ВСЕ-1800 (Багк Ауеп^ег), запуск программы-фага, не рассчитанной на данный вирус, при¬ этом могут быть заражены и остальные программы. водит к заражению грузочных модулей, данной программой за¬ ВСЕ-1800 перехватывает всех проверявшихся поскольку вирус файлов и при работе фага будет заражен каждый проверяемый им файл. прерывание по открытию и чтению Поэтому проверять зараженный компьютер следует только на предварительно загруженном с защищенным от записи носи¬ телем «эталонной» операционной системы, используя только программы, хранящиеся на защищенных от записи носителях. Более подробные сведения по защите от компьютерных ви¬ русов можно получить из антивирусных программ. специальной литературы и описаний Глава 1. Безопасность информации в персональных компьютерах 305 Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах Уровень безопасности информации в персональных компью¬ терах целесообразным представляется оценивать следующими показателями: Лрс налах — уровень безопасности информации на возможных ка¬ несанкционированного доступа, сис¬ контролируемых темой; Лире — уровень безопасности информации на возможных несанкционированного доступа, выходящих за пределы возможностей системы контроля несанкционированного до¬ каналах ступа. Прочность защиты или вероятность непреодоления наруши¬ телем наиболее слабого звена защиты определяется для каждого показателя по наименьшему значению прочности защиты каж¬ дого возможного канала денного в табл. несанкционированного доступа, приве¬ 2. Таблица 2. Возможные каналы НСД к информации персонального компьютера и средства защиты, рекомендуемые для их перекрытия № п/п Класс защиты Возможные каналы Средства защиты несанкционированно¬ Прочность I II III IV р2 4- 4- 4- 4- 4- 4- — — 4- 4- — — + 4- го доступа 1 2 Дисплей, принтер, плопер, графопо¬ строитель Отдельное помещение с контролируе¬ Клавиатура, То же р. 4- 4- сканер, манипу¬ лятор «мышь» Специальный электронный ключ в со¬ Ри 4- 4- Программа контроля и разграничения доступа(пароли) ^6 4- 4- Средства защиты от отладочных про¬ РУ2 4- 4- ^13 4- 4- мым доступом фрагментами программного обеспечения четании с грамм Блокировка механическим замком включения электропитания 306 Раздел VII. Обеспечение безопасности информации в ПК... Продолжение табл. 2 № п/п Возможные каналы Класс защиты Средства защиты несанкционированно¬ Прочность I II Р14 4- 4 Р32 4 Р2 ^15 го доступа Блокировка механическим замком ме¬ III IV — — 4 4 4 4- 4 4 4 4- 4- — — — — ханизма загрузки программного обес¬ печения Средства контроля целостности про¬ граммного обеспечения 3 Дисковод Отдельное помещение с контролируе¬ мым доступом Применение персональных компьюте¬ ров без дисковода Установка механической крышки с ме¬ ^16 — 4 ханическим замком Средства защиты от вирусов ^17 4- 4 4 4 Средства верификации внешних носи¬ Р18 4- 4 4 4 ^31 4- Р32 + 4 4 4 Р2 4- 4 4 4 Учет и регистрация ^19 4- 4 4 4 Маркировка цветом ^20 4- 4- + + Хранение в металлических шкафах с Р22 — — 4 4 — — мых носителей Средства защиты от несанкциониро¬ 4 — ванной загрузки программного обес¬ печения Средства контроля целостности про¬ граммного обеспечения 4 Внешние носимые Отдельное помещение с контролируе¬ накопители, гибкие магнитные диски, мым доступом стриммер замком Хранение в сейфах Р23 4- 4 Стирание остатков информации Р24 4- 4 Уничтожение остатков информации Р25 4- 4 Компрессия данных Р26 — — Шифрование данных ^10 4- 4 4 — 4 — — — — — Глава 1. Безопасность информации в персональных компьютерах 307 Окончание табл. 2 № п/п Возможные каналы Класс защиты Средства защиты несанкционированно¬ Прочность I II III IV Р2 4- 4- 4- 4- Металлический шкаф с замком Р22 4- 4- + Блокировка снятия кожуха системного Р27 4- 4- Р32 4- Стирание остаточной информации ^24 Уничтожение остаточной информации го доступа 5 Жесткие магнит¬ Отдельное помещение с контролируе¬ ные диски мым доступом — — — 4- + 4- 4- 4- 4- ^25 4- 4- Шифрование данных ^10 4- 4- Отдельное помещение с контролируе¬ Р2 4- 4- Р27 4- 4- Р, 4- Р2 блока механическим замком Средства контроля целостности про¬ граммного обеспечения 6 Внутренний монтаж — — — — — 4- 4- — — — — — 4- 4- 4- 4- Р2з 4- 4- 4- 4- Р2 4- 4- — — Учет и регистрация документов ^29 4- 4- 4- 4- Сейф Р30 4- 4- — — мым доступом Блокировка снятия кожуха системного блока механическим замком 7 пэмин Средства уменьшения и зашумления сигналов и установление границ кон¬ тролируемой зоны 8 Отходы носителей с информацией Отдельное помещение с контролируе¬ мым доступом Средства уничтожения отходов носителей 9 Документы Отдельное помещение с контролируе¬ мым доступом Примечания. 1 .3нак «+» означает наличие средств защиты, средств защиты. 2 На всех канатах действуют также . знак «-» — отсутствие средства контроля доступа на тер¬ обработки обозначим информации, вероятность непреодоления которых через Р\. риторию объекта размещения комплекса средств автоматизации Раздел VII. Обеспечение безопасности информации в ПК... 308 Значения гл. РкРС прочности формуле 15, по формуле 4, гл. 1, определяются 1, разд. 3, а значение прочности РшРС — по разд. 3. В случае применения на возможном одном канале несанк¬ средств защиты суммарная прочность рассчитывается по формуле 18, гл. 1, разд. 3. нескольких ционированного доступа При работе нескольких пользователей за одним персональ¬ ным компьютером уровень безопасности информации от нару¬ являющегося шителя, законным пользователем компьютера, оценивается отдельным показателем, рассчитываемым только по параметрам защитной оболочки № 4 согласно табл. 1. При этом для I класса безопасности информации формулам 15 разд. 3, будут определяться следующим образом: средств защиты прочности согласно значения 4, и гл. 1, для контролируемых возможных каналов несанкционирован¬ ного доступа: Арс V [1 и [1 и [1 - - - (1 (1 (1 = - - - [1 (1 - Л)(1 р,)(1 р,)(1 - - - - Л)(1 р2)(1 р2)(1 р2)(1 - - - - Л)] с [1 р6)] и [1 р13)] V [1 р15>] Щ1 - - - - (1 (1 а (1 - - - - Л)(1 р,)(1 р,)(1 р,)(1 - - - - Л1)] V р2)(1 р2)(1 р2)(1 - - - р12)] V р14)] V р17)] и Щ1 -(1 -Р,)(1 -Р2)(1 -Р18)]П Щ1 -(1 -Р,)(1 -Р2)(1 -Р19)(1 -р20Л^ и [1 - (1 - р.)(1 - р2)(1 - р„)] Щ1 - а - р,)(1 - р2)(1 - р24)] и П[1_(1-Р1)(1-Р2)(1_Р22)]П П[1-(1-Р,)(1-Р2)(1-Р27)]ПР,П и 11 - (1 - р,)(1 - р2)(1 - р29)] и [1 - (1 - р,)(1 - р2)(1-р30)]; для неконтролируемых возможных каналов несанкциониро¬ ванного доступа: А.рс = А5 V Ло и А и А«- Глава 2. Обеспечение безопасности информации в локальных сетях 309 Глава 2 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ЛОКАЛЬНЫХ СЕТЯХ Локальные сети как объект защиты информации В широком смысле слова любой способ соединения двух и более компьютеров с целью распределения ресурсов файлов, — можно назвать сетью. принтеров и т. п. Локальная компьютерная сеть (локальная — собой особый сеть) представляет сети, объединяющий близко расположенные тип системы, как правило, в пределах группы сотрудников или отде¬ ла предприятия. Эти компьютеры и другое оборудование соеди¬ нены однотипными средствами коммуникаций — чаще всего ви¬ парой проводов, коаксиальным или оптическим кабелем, беспроводными средствами связи (инфракрасного или радио¬ волнового диапазона). той Все устройства в локальных информацией друг с другом кальные сеть \VА^ объединяются сети (хуИе агеа сетях способны обмениваться непосредственно. в глобальную Отдельные ло¬ вычислительную пеГ^огк). С помощью ее устройств, не от¬ носящихся к одной и той же физической локальной сети, уста¬ навливаются соединения через специализированное оборудо¬ вание. Локальная отсутствующие ресурсам, сеть на можно позволяет прозрачно распределять ресурсы, рабочих станциях. Подсоединившись к таким распоряжаться ими как собственными. Тот факт, что многие пользователи сети имеют доступ к одним и тем ресурсам, упрощает распространение информации в пределах локальной сети, так как не требует осваивать новые методы пе¬ же редачи данных. Существуют особые сетевые программы, использующие ло¬ кальную сеть для передачи информации: электронная почта, программы планирования, групповое программное обеспечение и т. п. Однако самое основное свойство локальной сети — про¬ стой доступ к сетевым ресурсам. Для доступа к сетевым ресурсам применяется целый ряд аппаратных тов. Аппаратура — сетевая и программных интерфейсная плата — компонен¬ электрически Раздел VII. Обеспечение безопасности информации в ПК... 310 подсоединяет рабочую станцию к локальной сети. Она устанав¬ ливается в пустое расширительное гнездо персонального компь¬ ютера либо подключается к соответствующему порту мобильных (или в гнездо РСМС1). компьютеров Сетевое программное обеспечение делится на три категории: • программное обеспечение управления сетевой платой; • программное • программное обеспечение сетевой операционной системы. обеспечение, протокол) общения в сети; выполняющее (или правила Первый компонент может состоять из одной или несколь¬ ких небольших программ. Он отвечает за наведение мостов ме¬ жду сетевой платой и стеком протокола. осведомленный Стек протокола — это правилах движения данных по сети, он связывает интерфейсную плату с оболочкой. Оболочка, компонент, сетевой клиент, или знает операционных систем лочка отвечает за вые и о особенности используемых осуществляет связь между в сети ними. Обо¬ передачу и удовлетворение запросов на сете¬ ресурсы. Операционная система рабочей станции — не единственная операционная система в локальной сети. На файловом сервере работает особая операционная система, называемая сетевой опе¬ рационной системой. Хотя сейчас уже все операционные системы наделены сете¬ свойствами, следует различать операционную систему ра¬ бочей станции, обеспечивающую ее работу в локальной сети, и операционную систему узловой станции Сервера, обеспечи¬ вающей работу всей сети. Информационные свойства локальной сети во многом зави¬ сят от состава поддерживаемых ею операционных систем, функ¬ ционирующих на рабочих станциях и серверах. Если локальная выми — сеть ет поддерживает только одну операционную систему, т. е. име¬ однородный состав узлов (компьютер или сервер с установ¬ ленными в них сетевыми адаптерами), то такая локальная сеть гомогенной (или однородной), в противном случае гетерогенной (или разнородной). называется Локальные сети (или одноранговые) бывают двух и с основных типов: — равноправные выделенным сервером. В равноправной ло¬ кальной сети все узлы равноправны: любая рабочая станция мо¬ жет выступать по отношению к вер. В сети с выделенным центральным сервером. другой как клиент или как сер¬ сервером все клиенты общаются с Глава 2. Обеспечение безопасности информации в локальных сетях 311 Одноранговые сети обычно легко устанавливать и для их операционной системы не требуется выделять особый компью¬ тер. С другой стороны, эти сети обладают меньшими функцио¬ нальными возможностями по деленного сравнению с сетями на основе вы¬ сервера. В частности, проблемы централизованной за¬ ресурсов и данных в таких сетях часто не разрешимы, так как каждый пользователь сам контролирует доступ к своей сис¬ щиты теме. По мере роста размеров таких сетей они быстро становятся неуправляемыми. И все же простая оптимальным сеть с решением, равноправными узлами если может стать необходимо объединить всего не¬ сколько машин. Равноправные сетей мелких лишь и сетевые идеальны нескольких машин операционные системы хороши для в случае необходимости объединения в коллективного применения не когда специальных файлов принтеров, требуется централи¬ зованного администрирования. Но иногда доступ к некоторым целях и ресурсам должен быть представлен лишь определенным вателям и пользо¬ администратору требуется управлять такими ресурса¬ Например, к определенному ресурсу должен быть организо¬ ван централизованный доступ, в частности для организации пула модемов или принтеров. В этих случаях лучше обратиться к ми. сети с выделенным сервером. В таких сетях один или несколько компьютеров организуют централизованный доступ к своим ре¬ сурсам. Все запросы от рабочей станции проходят через серверы. Компьютер, используемый в качестве сервера, должен быть бо¬ лее мощным и надежным. Программное обеспечение сервера обеспечивает централизо¬ ванное администрирование сурсам с помощью и защиту и управляет доступом к ре¬ реконфигурируемых бюджетов пользователей. Администратор сети контролирует эти бюджеты и определяет, что должен видеть и делать пользователь, зарегистрированный в сети. Локальные сети с выделенным сервером обычно сложнее в уста¬ новке по сравнению с одноранговыми, но они мощнее, функцио¬ многообразнее и поддерживают крупные сетевые системы. Существует много разновидностей сетей. Те из них, что стро¬ ятся на основе мэйнфреймов и мини-компьютеров, часто обес¬ нально печивают такие же возможности, как и локальные сети, но с не¬ которыми отличиями. Некоторые сети использует протоколы, обычно нс применяемые в локальных сетях, и нередко выступа¬ ют в качестве средства дистанционного доступа к базам данных. Раздел VII. Обеспечение безопасности информации в ПК... 312 Наибольшее распространение получили четыре модифика¬ соединений персональных компьютеров в локальных сетях: ции ЕЙтегпеГ, АгкпеЦ Токеп-Влп§ и ЕЭЭЕ Сети Е(11ете( несомненными (топология «общая шина») отличаются своими достоинствами: небольшой стоимостью и опти¬ мальной производительностью (10 Мбит/с). Сети ЕЙзете! реализу¬ недетерминированный метод множественного доступа с кон¬ тролем несущей. Все сетевые компьютеры, подключенные к ма¬ гистральному кабелю, являются равноправными и пытаются ют захватить канал, т. е. начать передачу. Каждый раз, когда узел готов передавать свой пакет, он должен проверить, занят канал или нет. Для этого проводится проверка несущей: ее отсутствие означает, что канал свободен. Если один из узлов начал передачу пакета, ка¬ нал становится занятым, и все остальные узлы переходят в состоя¬ ние приема. Пакеты, переданные сети одним из ее узлов, направ¬ ляются всем остальным активным узлам, т. е. сеть является широ¬ ковещательной. Узел назначения сам определяет, что информация предназначена именно ему, анализируя заголовок пакета, который содержит и адрес назначения, и адрес отправителя. Если они соот¬ ветствуют его данным, происходит прием пакета информации. При таком когда ситуацию, менно, методе т. е. доступа несколько происходит к каналу следует предусмотреть узлов коллизия начинают — передачу одновре¬ наложение сигналов. В этом случае передача прерывается, и каждый узел, попавший в колли¬ переходит в состояние задержки, в котором он находится в течение некоторого случайного промежутка времени. Его вели¬ зию, чина определяется самим узлом, падания в новую коллизию что уменьшает вероятность по¬ сразу же после обработки предыду¬ щей. Вышедший из коллизии узел повторяет передачу. В резуль¬ тате при больших нагрузках сетей с произвольным методом доступа пропускная способность сети резко падает и входит в насыщение. В сетях ЕШегпе! насыщение предотвращается балан¬ сировкой нагрузки путем разделения сети на сегменты или вы¬ бором оптимальной технологии сети. Локальные сети типа Е111егпе1 используют топологии (способ объединения между собой узлов локальной сети) «звезда» и «об¬ щая шина». При необходимости можно объединять вместе не¬ сколько сетей с обеими топологиями, в результате этого получа¬ разветвленные конфигурации сети. Построение сетей ЕШсгпсГ определяется ются ШЕЕ 802.3: спецификациями 10Ва8е2, рекомендациями 10Ва8е5, 10Ва8е-Т. Глава 2. Обеспечение безопасности информации в локальных сетях 313 Спецификация 10Ва$е2 (шинная топология), представляющая сеть ЕгЬегпе! на тонком коаксиальном кабеле (типа КО 58 А/О), использует легкие кабели и разъемы (ВМС). Монтаж — сети при прямо на этом предельно соединения прост: осуществляются задней стенке персонального компьютера с помощью Т-коннектора, подключаемого к разъему на сетевом адаптере. Протяженность сегмента ограничена длиной 185 м, при этом можно подключить до 30 сетевых узлов. Максимальная протя¬ ограничена следующими требованиями: можно включить последовательно не более трех сегментов; женность • • • между сегментами линии без возможности на можно включить две включения в них соединительные рабочих станций; всей сети должно быть не более 90 сетевых узлов; общая длина кабельной трассы сети должна быть не более 925 м. Спецификация 10Ва$е5 основана на специальном «толстом» • кабеле и имеет топологию шины. Основное отличие «толстого» ЕНзетеТ состоит в том, что все подключения транссиверы. к кабелю должны выполняться через внешние Все сетевые узлы должны иметь А1Л-порт и соот¬ ветствующий кабель, длина которого не должна превышать 50 м, а длина сегмента — 500 м. Максимальный размер сети определяют следующие пара¬ метры: • максимальное число объединяемых сегментов (без межпо¬ вторительных), как и у «тонкого» ЕШете!, • максимальная длина сети • максимальное число — — 5; 2500 м; станций на сегмент — 100. Сети этого типа реализуются в последнее время в небольших там, где требуется большая протяженность кабельной трассы, или используются в качестве базовой сети. количествах и только Спецификация ЮВазе-Т предлагает использовать кабели с неэкранированными витыми парами (СТР) категории не ниже третьей. В отличие от упомянутых выше сетей элементарная сеть ЕШегпеГ на витых парах имеет топологию «звезды». Рабочие станции с помощью ключаются к концентратору ет подключение новых сегментов из витых пар под¬ (1тЬ). Такая конфигурация упроща¬ рабочих станций и делает их независи¬ мыми друг от друга. Рабочие группы могут объединяться в более сложные конфи¬ гурации локальных сетей соединениями между концентратора- Раздел VII. Обеспечение безопасности информации в ПК... 314 ми, а также подключением сегментов на толстом или тонком ко¬ аксиальном кабеле. Для рекомендации ЮВазе-Т на витой паре предусматривают¬ ся ограничения: • не • рабочими станциями может быть до 5 сегментов и между более 4 концентраторов; длина сегмента — не более 100 м. В локальных сетях возможно возникновение такой ситуации, рабочих станций пытаются получить доступ к одному файл-серверу. В этом случае узким местом становится канал связи между коммутатором и сервером, а рабочим станци¬ когда несколько ям по-прежнему приходится конкурировать за этот канал с про¬ пускной способностью 10 Мбит/с. Мы рассмотрели базовые рекомендации для локальных се¬ тей. Для более подробного изучения данных вопросов рекомен¬ дуем обратиться к соответствующей специальной и учебной ли¬ тературе. Отказоустойчивость локальных сетей в значительной мере обусловлена особенностями их топологии, способом доступа к информации и данным, а также встроенными системами диаг¬ ностики и устранения сбоев. Потенциальные угрозы безопасности информации в локальных сетях Рассматривая объект защиты с позиций защиты циркули¬ рующей в ней информации, в общем случае автономную локаль¬ ную сеть можно представить как сеть, элементами которой явля¬ ются малые компьютеры лами связи комплексы с — средств автоматизации различным набором внешних — персональные устройств, а кана¬ кабельные магистрали. Потенциальные угрозы виде попыток несанкционированного доступа с целью информации кации, разрушения, хищения нею аналогичны приведенным же, сетях, рассмотренных локальных модифи¬ ознакомления разд. 2. Возможные каналы с не¬ информации в локальных сетях как в больших информационных и вычислительных санкционированного доступа такие в или в в гл. к 1, разд. 5. Единственным отличием сетей, учитывая их относительно малую территорию размещения, является возможность расположения каналов связи Глава 2. Обеспечение безопасности информации в локальных сетях локальных сетей на охраняемой территории, что значительно со¬ кращает количество потенциальных нарушителей менее 315 ответственных системах уменьшить прочность защиты с целью и в некоторых экономии позволяет информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном помещении защищенном и облегчают, с од¬ ной стороны, проблему контроля доступа к его внутренним ли¬ ниям связи и монтажу устройств. С другой стороны, локальных сеть своей идее децентрализованная. Вполне есте¬ ственен вопрос: а всегда ли листы вопрос контроля целостности сетей, т. е. схемы соединений сети, так как локальная система по — возникает считают, необходим такой контроль? Специа¬ что в очень маленьких локальных сетях с парой компьютеров, которые разделяют жесткий диск и принтер, диаг¬ ностика сети является ненужным излишеством. Но по мере роста необходимость в мониторинге сети и ее диагно¬ Большинство локальных сетей имеют процедуры самотес¬ возникает стике. тирования низкого уровня, которые должны запускаться при включенной сети. Эти тесты обычно охватывают кабель, конфи¬ гурацию сети. В плату интерфейса больших локальных сетей предусмотрены слож¬ с двойным назначением мониторингом и диаг¬ аппаратных средств, в частности составе ные системы — ностикой. это пассивное мониторин¬ Центр управления сетью говое устройство, которое собирает данные о потоках сообще¬ — ний в сети, ее характеристиках, сбоях, ошибках и т. д. Данные о потоках сообщений показывают, кто пользуется сетью, а также когда и как она применяется. Сетевые операционные системы содержат диагностику ло¬ кальных сетей. Обычно консоль и монитор этой системы совме¬ действуют как маленькая версия центра управления сетью. Применяются в сети и аппаратные средства сетевой диагности¬ стно ки, для этого обычно применяются специализированные чипы. Однако упомянутые средства диагностики локальных сетей не обнаруживают несанкционированное подключение к сети посторонних персональных компьютеров. Отключение ком¬ пьютера нию от сети выше контролируется иногда с перерывами по жела¬ оператора или по запросу пользователя. В больших локальных сетях (до 10 км) кабельные линии мо¬ гут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных автоматизированных телефонных станций, на которых Раздел VII. Обеспечение безопасности информации в ПК... 316 информация может подвергнуться несанкционированному до¬ ступу. Кроме того, сообщения в локальной сети могут быть про¬ читаны на всех ее узлах, несмотря на специфические сетевые ад¬ реса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в дан¬ ной локальной сети. Таким образом, можно перечислить максимальное количест¬ во возможных каналов преднамеренного несанкционированного доступа к информации для локальных сетей. Со стороны «периметра» системы они будут следующими: • доступ ного • в локальную сеть со стороны штатного персональ¬ компьютера; доступ в локальную сеть со стороны кабельных линий связи. Несанкционированный доступ со стороны штатного персо¬ (включая серверы) возможен по каналам, перечисленным в разд. 7, гл. 1, для автономного режима ее рабо¬ нального ты. компьютера Но в локальной сети необходимо защищаться и от пользова¬ теля-нарушителя, допущенного только мации к определенной инфор¬ файл-сервера и/или ограниченного круга других пользо¬ вателей данной локальной сети. Несанкционированный доступ в локальных сетях со стороны кабельных линий может произойти по следующим каналам: • со стороны штатного пользователя-нарушителя персонального компьютера при обращении другого, • • в том числе к одного информации файл-серверу; при подключении постороннего персонального ра и другой посторонней аппаратуры; при побочных электромагнитных излучениях компьюте¬ и наводках информации. Кроме того, в результате аварийных ситуаций, отказов аппа¬ ратуры, ошибок операторов и разработчиков программного обеспечения локальной сети возможны переадресация информа¬ ции, отображение и выдача ее на рабочих местах, для нее не предназначенных, потеря информации в результате ее случайно¬ го стирания или пожара. Практика показывает, что большинство людей не уделяют серьезного внимания защите информации, особенно резервированию, до тех пор, пока у них не произойдет серьезная потеря информации. Магнитная память, автоматизированной а затем системы: лазерная запись освобождение — достоинство от многочисленных Глава 2. Обеспечение безопасности информации в локальных сетях 317 бумаг открыла большие возможности для пользователя. Но хра¬ этой изменчивой среде значительно повышает вероятность потери данных: несколько нажатий клавиш могут нение в данных работы многих часов и даже лет. Про¬ никновение программного вируса в персональный компьютер может также неприятно отразиться на всей работе и информа¬ уничтожить результаты ции локальной сети, а также остальных персональных компью¬ теров, входящих в состав локальной сети. Система защиты информации от несанкционированного доступа в локальных сетях Защита от преднамеренного несанкционированного доступа. Анализ локальной сети как объекта защиты, возможных каналов к несанкционированного доступа пользования и потенциальных информации угроз позволяет ограниченного выбрать и по¬ строить соответствующую систему защиты. Перечисленные ванного ных выше возможные доступа рассмотрены угроз, от ожидаемых поведения которого, как с каналы позиций несанкциониро¬ максимально нарушителя-профессионала, возмож¬ модель наиболее опасная, принята за исходную предпосылку в концепции защиты (см. разд. 3). Поэтому, не¬ смотря на существующие на практике менее опасные модели, бу¬ дем пока следовать принятым ранее решениям. Несанкционированный доступ со стороны пользователя-на¬ рушителя, очевидно, потребует создания на программном уровне локальной сети системы опознания и разграничения доступа к ин¬ формации (СОРДИ) со всеми ее атрибутами: средствами иденти¬ фикации и аутентификации пользователей, а также разграниче¬ ния их полномочий по доступу к (или) сети. другим Такими сетевые информации файл-сервера и персональным компьютерам возможностями в операционные система с настоящее данной локальной время обладают отличиями в технологиях все реа¬ лизации. Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом за¬ щита данных файл-сервера осуществляется одним способом или в различных сочетаниях • входным паролем; обычно четырьмя способами: Раздел VII. Обеспечение безопасности информации в ПК... 318 • попечительской защитой данных; • защитой в каталоге; • защитой атрибутами файлов. Первым уровнем сетевой защиты является защита данных входным паролем. Защита при входе в сеть применяется по отно¬ шению ко всем пользователю нужно (6—8 взлому). Администратор символов роль тельные • для выйти «имя» и файл-сервер, соответствующий па¬ устойчивости к автоматизированному знать свое безопасности может в дополни¬ установить ограничения по входу в сеть: ограничить период времени, тель может входить в • Чтобы пользователям. в течение которого пользова¬ сеть; рабочим станциям специальные адреса, с кото¬ назначить рыми разрешено входить в сеть; • ограничить количество рабочих станций, выйти в сеть; • установить режим запрета постороннего вторжения, когда при нескольких несанкционированных попытках с невер¬ ным с которых можно паролем устанавливается запрет на вход в сеть. Второй уровень защиты данных в сети данных — попечительская за¬ используется для управления возможностями индивидуальных пользователей по работе с файлами в заданном щита Попечитель каталоге. лены — привилегии внутри или — это пользователь, права для работы с которому предостав¬ каталогом и файлами него. Любой попечитель может иметь восемь разновидностей прав: • Кеай • УУгйе • • Ореп — — — Сгеа(е вых право — Открытия существующего файла; право Создания (и одновременно открытия) но¬ файлов; • Ве1е1:е • Рагеп!а1 — право Чтения открытых файлов; право Записи в открытые файлы; право Удаления существующих файлов; — — Родительские права: право Создания, Переименования, Стираная подкатало¬ гов каталога; — — • • право Установления попечителей и прав в каталоге; право Установления попечителей и прав в подкаталоге; 8сагсЬ МодИу — — право Поиска каталога; право Модификации файловых атрибутов. Глава 2. Обеспечение безопасности информации в локальных сетях Третий уровень защиты данных в сети Каждый каталоге. каталог Когда создается каталог, новидностей прав, защита данных — максимальных «маску те же прав содержит что и попечитель. меняются только в одном не имеет маска заданном 319 Ограничения каталоге. в прав». восемь раз¬ каталога при¬ Защита в каталоге распространяется на его подкаталоги. Защита атрибутами файлов данных в сети. — четвертый уровень защиты При этом предусмотрена возможность устанавли¬ вать, может ли индивидуальный файл быть изменен или разделен. Защита атрибутами файлов используется в основном для предот¬ вращения случайных изменений или удаления отдельных файлов. Такая защита, в частности, полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. пытках Эти файлы не должны допускать порчи при по¬ изменений или стирания. В защите данных используют¬ файловых атрибута: «Запись—Чтение/Только чтение» и «Разделяемый/Неразделяемый». это те права, которые пользо¬ Действующие права в сети ватель может применять в данном каталоге. Действующие права ся четыре — определяются защиты в сочетанием каталогах. прав попечительской защиты Файловые атрибуты действующими правами имеют и прав приоритет над пользователя. Были описаны наиболее часто применяемые атрибуты и литики защиты информации в сетях, по¬ модификации имеющих Однако средства защиты ин¬ для разных операционных систем. формации в сети не всегда удовлетворяют требованиям потреби¬ телей. Поэтому существует ряд разработок специализированных систем и комплексов защиты. Чтобы исключить возможность сетях путем систем опознания и персональных компьютерах и локаль¬ применения отладочных программ, а также разграничения доступа ных обхода в проникновения компьютерных вирусов, рекомендуется, если это возможно, в данной локальной сети применять персональные компьютеры без дисководов и внешних портов (типа СОМ или 118В), позволяющих подключить внешний носитель или по крайней мере хотя бы заблокировать их механической крышкой, опечатываемой администратором безопасности. Данная мера, кроме того, защищает от кражи данных, которые ровать флэш-карту на в течение нескольких можно скопи¬ минут. Их легко пределы даже охраняемой территории. Многие поставщики сетей сейчас обеспечивают возможность за- спрятать и вынести за Раздел VII. Обеспечение безопасности информации в ПК... 320 грузки локальных рабочих станций с центрального сервера и та¬ ким образом делают персональные компьютеры без диска при¬ годными для использования в сети. В тех же случаях, когда требуется локальное запоминающее устройство, специалисты допускают возможность замены диско¬ вода флоппи-диска, 118В и т. п. на местный жесткий диск. Опознание пользователя и разграничение доступа в локаль¬ организовать с помощью шифровального устройства. Лучше всего для этой цели использовать аппаратное ных сетях можно также устройство, так как его подмена или отключение нарушителю не помогут. Такое устройство устанавливается в каждом персональ¬ ном компьютере и тогда законный пользователь обращается в сеть с помощью нятся на тех ключа-пароля, ответные значения которого хра¬ рабочих станциях, к обмену с которыми он допу¬ щен. В свою очередь на файл-сервере по этому паролю ему мо¬ гут предоставляться персональные массивы данных. Еще одно достоинство этого метода в том, что ключ-пароль данного поль¬ зователя не хранится на данном персональном компьютере, а за¬ поминается пользователем или хранится на специальном носи¬ теле типа карточки. Решения с шифрованием на программном уровне введены практически уже во все операционные системы, обслуживающие рабочие станции. Все данные, включая коды паролей, которые в том числе поступают в сеть, и все данные, которые хранятся на жестком диске, должны быть зашифрованы. При передаче данных в сеть до начала шиф¬ рования с целью привязки к передаваемой информации иденти¬ фикатор и/или адрес получателя и отправителя (передаваемые в открытом виде) совместно с информацией должны подвергаться обработке обычными средствами повышения достоверности, ре¬ зультат которой одновременно с зашифрованной информацией поступает на персональный компьютер-получатель, где после дешифрации принятая информация проверяется на совпадение. Данная процедура позволит обнаружить подмену идентификато¬ ра и/или адреса, т. е. попытку навязывания ложной информации при несанкционированном подключении к сети. При этом сле¬ дует предостеречь разработчиков и пользователей локальных се¬ тей от излишнего увлечения шифрованием. Шифрованию не должны подвергаться всем известные формализованные запросы и сообщения, так как, зная закон преобразования, нарушитель путем перебора известных формализованных сообщений может вычислить действительное значение ключа, с помощью которого Глава 2. Обеспечение безопасности информации в локальных сетях 321 одно из них закрыто, а знание последнего позволит нарушителю ознакомиться с остальной зашифрованной информацией. зашифрованная ключом отправителя Поступающая в сеть информация дешифруется на персональном компьютере-получа¬ теле с помощью ключа, значение которого соответствует иденти¬ фикатору и/или адресу отправителя. Напомним, что ключи шифрования отправителей хранятся в персональном компьютере-получателе в зашифрованном виде, они зашифрованы ключом-паролем получателя информации. Вы¬ бор методов и способов шифрования приведен в гл. 10, разд. 2. В некоторых от щиты менее ответственных модификации информации локальных сетях для за¬ при ее передаче по теле¬ фонным каналам используется система «обратный вызов». Система защиты «обратный вызов» и управление пользовате¬ лем являются частью телефонных систем и могут быть использо¬ ваны ние. передаче данных «ПК—сеть» на значительное расстоя¬ Если нужно подключиться к персональному компьютеру, в «обратный вызов», следует сооб¬ щить об этом системе, и тогда ее устройство защиты подготавли¬ вается для «обратного вызова» на ваше местонахождение. Други¬ имеется где ми система защиты словами, система имеет в памяти полный листинг на каждого допущенного пользователя. В этот файл включены семизначный идентификационный номер, который вы должны набрать, когда хотите обратиться к файлу; телефонный номер, по которому вас найти; можно главные ЭВМ, Одним словом, подлинность ным вызовом, адресатом щает от по т. е. вашему вызову. вам разрешен доступ. с вами вашим устанавливается Данный метод, однако, не защи¬ утечки информации. несколько методов. — которым обращения обеспечивается обрат¬ соединение Для защиты данных, ния к передающихся Первый метод — по уборка кабелю, существует кабеля из поля зре¬ должен быть предпринят для защиты кабеля от поврежде¬ электробезопасности, т. е. если ка¬ бель проложить в труднодоступном скрытом месте, это будет ния и удовлетворения правил способствовать его защите от несанкционированного доступа. Кабель, по которому передаются данные, излучает радиосиг¬ налы подобно передающей антенне. Простое оборудование для перехвата, установленное рядом с кабелем, может собирать и за¬ писывать эти передачи. Если величина излучающего сигнала превышает сигналы шумов на расстоянии за пределами охраняе¬ мой территории, следует принять определенные меры защиты. Раздел VII. Обеспечение безопасности информации в ПК... 322 Величину излучающего сигнала на кабеле можно уменьшить с помощью водов, экрана в заземленной виде охватывающих провода, оплетки несущие из медных про¬ информацию. Другой способ решить эту проблему заключается в применении волокон¬ но-оптического кабеля, использующего тонкий стеклянный вол¬ новод, которому передача информации осуществляется по мощью модуляции Однако в последнее время света. с по¬ появились сообщения о возможности съема информации и с этих кабелей. Поэтому наилучшим средством защиты от вышеуказанных угроз служит шифрование передаваемой информации, о котором со¬ общалось выше. Заметим, что данное шифрование и шифрова¬ ние, упоминаемое ранее при описании средств защиты инфор¬ мации в персональных компьютерах, не одно и то же, хотя оно и может выполняться на одном и том же программном). или чено на персонального для устройстве (аппаратном В одном случае оно может быть предназна¬ носителях), в другом использования — (закрытия информации для сетевого контроля и разграниче¬ В сравнении с обычными большими системами здесь исчезают понятия абонентского и линейного шифрования, ния доступа. так как в локальных сетях отсутствуют узлы, коммутации в больших сетях передачи данных. подобные узлам расчета и оценки уровня безопасности информации в локальной сети в зависимости от заданной модели нарушителя, Для ценности и важности использовать трем классам обрабатываемой информации необходимо класса соответствующих первым из четырех, приведенных для персональных ком¬ три защиты, пьютеров. Величина прочности каждого средства защиты определяется по методике уровня и формулам 4 и 5 гл. 1, разд. 3. Итоговая оценка прочности защиты деляется в информации в локальной сети опре¬ соответствующем разделе. Средства управления защитой информации в локальных сетях Средства централизованного контроля и управления защитой информации в локальных сетях включают: персональное автоматизированное рабочее безопасности информации (АРМ СБИ); • место службы Глава 2. Обеспечение безопасности информации в локальных сетях • специальное программное обеспечение 323 (СПО); • организационные мероприятия. В качестве АРМ СБИ (рис. 1) в больших лучше всего использовать специально ный компьютер, введенный локальных сетях выделенный персональ¬ размещенный в от¬ дельном помещении, оборудованном средствами охранной сиг¬ нализации. Однако в большинстве случаев будущие владельцы в состав сети и Поэтому в локальных сетей не захотят нести лишние расходы. менее ответственных системах АРМ СБИ совместить с ной на сетью выполняющего гласно целесообразно выполнение задач выполнением задач управления локаль¬ персональном компьютере администратора сети, также роль супервизора системы. Однако со¬ принципу разделения привилегий, исключающему сосре¬ всех полномочий у одного человека, в ответственных доточение функции службы безопасности необходимо разделить между службой безопасности информации и руководством фир¬ мы, в организациях между службой безопасности информа¬ системах — Это означает, что функции автоматизированного управления безопасностью могут выпол¬ и ции владельцем локальной няться с сети. двух персональных компьютеров: администратора и ру¬ ководителя. Нормальный режим работы локальной сети когда — функ¬ ции управления выполняет администратор, а руководитель кон¬ тролирует его действия и при необходимости может в этот про¬ цесс вмешаться. Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться персональный компьютер руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характе¬ ре произведенных изменений. Далее руководитель (администра¬ тор) может специальным запросом уточнить информацию. Со¬ на вмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и бло¬ кировки несанкционированного доступа, а также контроля функционирования средств защиты. Специальное программное обеспечение средств централизо¬ ванного контроля и управления безопасности информации включает следующие программы: идентификаторов пользователей сети; • ввода списков • генерации и • ввода и контроля полномочий ввода кодов ключей-паролей; пользователей; 324 Автоматизированное рабочее место службы безопасности информации (АРМ СБИ) Раздел х= Рабочая станция Аппаратура службы безопасности записи ключей- информации паролей VII. Обеспчние безопаснти информаци Системный блок Программатор Монитор Клавиатура Комплект ключейпаролей в ПК. . СБИ — Рис. 1. Структурная схема автоматизированного рабочего места службы безопасности информации: ключ-пароль устройство контроля вскрытия аппаратуры; КП служба безопасности информации; УКВА — — Глава 2. Обеспечение безопасности информации в локальных сетях • регистрации и 325 отображения сообщений о фактах несанк¬ ционированного доступа: несовпадений кодов ключей-па¬ ролей, нарушений полномочий с указанием времени, места события; регистрации обращений к информации, хранимой в файл-сервере и рабочих станциях с указанием автора обра¬ щения, времени и даты выдачи информации; и даты • • ведения журнала учета и регистрации доступа инфор¬ к мации; • формирования и выдачи необходимых справок по несанк¬ ционированному доступу; • контроля целостности программного обеспечения локаль¬ ной сети; • контроля конфигурации локальной сети; • управления • периодического тестирования ния шифрованием информации; и контроля функционирова¬ перечисленных функций; • документирования перечисленных работ; • ведения статистики несанкционированного доступа. обратить на необходимость посто¬ янного контроля несанкционированного доступа и выработки сигнала тревожной сигнализации на автоматизированное место службы безопасности информации, так как во многих подобных программах ограничиваются только регистрацией события. От¬ сутствие механизма немедленного отображения сигнала несанк¬ Особое внимание следует ционированного доступа с указанием его места возникновения существенно снижает безопасность информации и дает время на¬ рушителю на выполнение своей задачи, так как просмотр журна¬ ла регистрации может быть отложен или забыт по каким-либо причинам. Организационные мероприятия по управлению и контролю доступа к техническим средствам и информации необходимы для проведения централизованной защиты на локальных сетях в це¬ лом, а также для дублирования в целях усиления прочности наи¬ более слабых звеньев защиты. Правильная и четкая организация залог ее высокой эффективности. Однако необходимо защиты — помнить, что гарантированные результаты дает только автомати¬ ка, а не человек со всеми слабостями человеческой натуры. Объем и виды организационных мероприятий на локальных сетях аналогичны мероприятиям, приведенным в разд. 2, 4, 5. Раздел VII. Обеспечение безопасности информации в ПК... 326 Защита информации в локальных сетях от случайного несанк¬ ционированного доступа. Природа случайных воздействий на ап¬ паратуру, обеспечение программное и в конечном итоге на ин¬ формацию в локальной сети не отличается от процессов, опи¬ санных в сетях разд. 2. Методы и средства защиты от них в локальных аналогичны методам ших вычислительных сетях. сетям на персональных и в средствам, применяемым боль¬ Однако специалисты по локальным компьютерах этому вопросу уделяют специальное внимание, акцентируя его на следующих методах и средствах защиты, специфичных для локальных сетей. Для резервирования данных можно использовать несколько различных типов оборудования и средств: резервные сменные носители, вспомогательный жесткий диск, дисковод со сменны¬ ми жесткими дисками, лентопротяжное устройство со сменными кассетами. Из этих возможностей лучшей является лентопротяжное уст¬ ройство со сменными кассетами. Его преимущества: большая емкость ленты; • • дешевизна; • возможность хранения лент в • неограниченная другом месте; емкость системы. Необходимо отметить, что прогресс в технологиях построе¬ ния винчестеров позволяет значительно увеличить объем про¬ странства записи при сохранении высокой скорости доступа, по¬ этому многие ва компании переходят на комбинированные средст¬ резервирования. Весьма желательно хранить резервные оригинальных. ключи отдельно от Резервные копии, хранящиеся в одном месте с первичными данными, могут быть уничтожены в одной и той же аварийной ситуации. Возможность хранения сколь угодно боль¬ ших объемов данных особенно важна при создании архивов. Магнитные ленты имеют один недостаток: медленную за¬ пись. Однако если процедура резервирования не требует обслу¬ живания устройств, то скорость записи становится несущест¬ венной. Для надежной записи данных на магнитную ленту рекомен¬ дуется блок данных записывать более I раза в разных местах ленты. Обычно используются два типа систем резервирования: поточ¬ ный и «файл-за-файлом». Поточные системы предназначены для Глава 2. Обеспечение безопасности информации в локальных сетях 327 резервирования и восстановления больших блоков данных. Метод «файл-за-файлом», известный стартстопныи метод, также больших блоков данных, но мо¬ как может создавать резервные копии файлы. Перемотка ленты вперед и назад обеспечивает произвольный доступ к данным. Та¬ жет еще и восстанавливать отдельные размечены как жесткий диск и могут использоваться как жесткий диск, хотя они работают с меньшей скоростью. кие ленты Большинство потерь данных вызваны ошибками людей, при этом обычно теряется только один или два файла. Но восстанов¬ ление целого диска из-за нескольких файлов При все восстановлении целого диска — потеря времени. пользователи должны выйти из сети, что влечет за собой дополнительную потерю вре¬ у обслуживающего персонала. Отказоустойчивость другая область защиты данных, кото¬ мени — рая может быть использована с системой резервирования. Отка¬ зоустойчивость обеспечивается дополнительными компонентами предотвращения потери данных или простоя из-за элемента системы. Благодаря своей базовой архитектуре системы для отказа локальная сеть обладает высокой степенью отказоустойчивости. Отказ отдельной рабочей станции не влияет на работу локальной оборудования локальной сети не мешает использовать рабочую станцию как изолированный персональный компьютер. сети, а отказ сервера или другого Однако локальные сети все чаще применяются для управле¬ ния критическими данными и критическими прикладными про¬ граммами, этого в что требует большей эффективности защиты. Для некоторых локальных сетях применяют дополнительные меры, например установку дополнительных или резервных ком¬ При отказе основного компонента может использо¬ ваться резервный. понентов. Система отказоустойчивости не должна рассматриваться как резервирования. Отказоустойчивость, например, не спасет от ошибок оператора, не сможет защитить от потерь замена системы при пожаре или другой аварийной ситуации. Архивирование данных. пользоваться мощью как Система подключенное может ис¬ устройство. С по¬ резервирования архивное архива редко используемые данные удаляются с жестко¬ хранятся в архивной библиотеке. При необходимости файл может быть загружен обратно на жесткий диск. Такая про¬ го диска и цедура обладает множеством достоинств, требуемого свободного пространства включая уменьшение на жестком диске. Раздел VII. Обеспечение безопасности информации в ПК... 328 Система архивирования данных обычно содержит програм¬ му, которая использования проверяет частоту отдельных про¬ Когда система находит редко используемую программу, грамм. например, по определению супервизора вится кандидатом перевода ее в — 6 дней, то она стано¬ архив. Если файл данных пере¬ несен с жесткого диска в архив, его имя, как обычно, поддержи¬ вается в каталоге жесткого диска. Но вместо самих данных в файл должно быть помещено сообщение о местонахождении файла в архивной библиотеке. Можно также поместить и описа¬ ние процедуры для загрузки файла из архива в сеть. Архивные ленты хранятся так же, как и содержание библио¬ теки: ленты и лежат на полке в пронумерованы удобном месте. Если материал ценный, то для архивных лент должны быть сде¬ Для резервирования необходимо выпол¬ ланы резервные копии. нить процедуру занесения в архив дважды перед уничтожением файлов. Архивы помогают также и при защите данных от преднаме¬ ренного доступа. Платежная ведомость, например, может хра¬ ниться в архиве, а не на диске. Когда ведомость используют, ее загружают в сеть, а после завершения работы удаляют с жесткого и диска снова платежной помещают в ведомостью библиотеку. Для работы с архивную иметь нужно соответствующие права файлу. Дальнейшее улучшение системы архивирования идет в сто¬ рону поддержания записанных на ленту файлов в доступном к ее доступа состоянии. В сети эта технология поддерживается сервером архивным сервером. С архивным сервером файлы не нужно загружать на жесткий диск, вместо этого доступ к ним лент или может производиться Недостатком является то, ботают медленнее, что тем, чем устройстве. лентопротяжные устройства ра¬ на прямо что жесткий лентопротяжном Но это компенсируется диск. файлы можно использовать без процедуры восстанов¬ ления. В качестве системы резервирования ных сетях может использоваться система ской памятью, позволяющая тях хранить еме. информацию Система информации в локаль¬ управления иерархиче¬ современных компьютерных се¬ практически в неограниченном объ¬ автоматически в перемещает файлы между более дорогими высокоскоростными магнитными дисками и менее до¬ рогими ских медленными запоминающими дисках и магнитных лентах. устройствами на оптиче¬ Глава 2. Обеспечение безопасности информации в локальных сетях 329 Система архивирования данных выполняет роль и устройст¬ ва резервирования: днем система может работать как сетевой ре¬ сурс, а ночью — как устройство хранения и защиты данных. Структурная схема системы защиты информации в локальных сетях. В соответствии с установленными возможными каналами несанкционированного доступа щиты и выбранными средствами за¬ рассмотрим структурную схему системы защиты информа¬ 2. Состав средств защиты информации в локальных сетях в данной структуре по¬ в локальных сетях, ции казан ции. в расчете на приведенную на рис. обеспечение I Функции контроля и класса безопасности управления безопасностью ции в локальных сетях аналогичны информа¬ информа¬ функциям управления и кон¬ троля, приведенным в разд. 4. Система защиты информации Средства защиты инфор¬ Средства мации от преднамеренного централизованного несанкционированного контроля доступа и управления Контроль доступа на территорию объекта Специальное программное обеспечение 1 Средства защиты информации случайных воздействий от Средства повышения достоверности информации Система защиты информации в персональ¬ ном компьютере Система опознания и раз¬ граничения доступа к ин¬ формации в локальной Персональное рабочее место службы безопас¬ информации ности локальной ком¬ пьютерной сети Резервирование информации Специальные системотехнические « решения компьютерной сети Система защиты инфор¬ мации в линиях связи Информационно¬ Система функцио¬ лингвистическое нального обеспечение контроля и диагностики отказов Средства защиты информа¬ ции от побочных электромаг¬ нитных излучений и наводок Организационные мероприятия Средства контроля целост¬ ности локальной компью- терной сети Рис. 2. Структурная схема системы защиты информации в локальных сетях < Раздел VII. Обеспечение безопасности информации в ПК... 330 Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях Оценку уровня трем классам: безопасности целесообразно по проводить I, II и III, имея в виду, что по I классу оценивают¬ ся локальные сети, в которых средствами защиты перекрыты все перечисленные в табл. 1 ного доступа, II классу па со стороны линий связи по возможные каналы — локальные несанкционирован¬ сети, в которых могут от защиты отсутствовать средства несанкционированного досту¬ локальные сети, в и каналов ПЭМИН, по III классу — которых перекрыт только несанкционирован¬ ный доступ к персональным компьютерам (см. класс 3 в табл. 2, 1, разд. 7), серверам, средствам контроля и управления функ¬ ционированием и безопасностью информации. Оценка уровня гл. безопасности внутри класса производится в результате количест¬ венной оценки прочности каждого средства защиты, перекры¬ вающего количество возможных каналов несанкционированного доступа в соответствии с присвоенным локальной сети классом. Критериями оценки уровня безопасности информации в ло¬ кальных сетях может быть выбрана группа показателей, получен- Таблица 1. Распределение средств защиты по возможному каналу несанкционированного доступа (ВКНСД) локальной компьютерной сети (ЛКС) Класс защиты Наименование ВКНСД Средства защиты Прочность I II III Элемента сети (ПК) Система безопасности инфор¬ мации элемента сети (ПК) ^РС + + + сервера Средства контроля доступа ^1 + + + Р2 + + Рз + + + Средства шифрования Р, + — — Организационные мероприятия Р5 + + + на территорию объекта Средства контроля доступа в по¬ — мещение сервера Программа контроля и разгра¬ ничения доступа к информа¬ ции ЛКС Глава 2. Обеспечение безопасности информации в локальных сетях 331 Продолжение табл. 1 Класс защиты Наименование ВКНСД Среде 1ва защшы ПрОЧНОС1Ь I II III Ру + + + конфигурацией, адресными таблица¬ Средства контроля доступа в по¬ ми и функциональным мещение администратора контролем ЛКС Р2 + + Программа опознания и контро¬ Р* + + + Р3 + + + Р? + + + Ру + + + Организационные мероприятия Р5 + + Система шифрования Р, 4- Несанкционированного дос¬ Средства контроля доступа Ру + тупа со стороны аппаратуры на территорию объекта Р2 + Р8 + Оргмероприятия Рь + Средства контроля доступа Ру + Рз + Несанкционированного дос¬ Средства контроля доступа на тупа со стороны средств кон¬ территорию объекта троля и управления — ля доступа к информации ПК Программа контроля и разгра¬ ничения доступа к информа¬ ции ЛКС Средства контроля целостно¬ сти ЛКС Несанкционированного дос¬ Средства контроля доступа на тупа со стороны линий связи ЛКС территорию объекта — — — + + — — — — + + — — — — передачи данных в каналы связи, концентраторов, мос¬ тов, коммутаторов и т. д. Средства контроля доступа в по¬ мещение Средства контроля вскрытия ап¬ паратуры Несанкционированного дос¬ тупа к информации за счет на территорию объекта ПЭМИН Средства уменьшения и зашум¬ ления сигналов, несущих секрет¬ ную информацию Раздел VII. Обеспечение безопасности информации в ПК... 332 Окончание табл. 1 Класс защиты Наименование ВКНСД Среде 1ва защи<ы ПрОЧНОС1Ь 1 II III 4- Средства контроля доступа на территорию объекта р. 4- 4- безопасностью информации Средства контроля доступа Р2 4- + вЛКС в помещение Ре 4- + 4- Рз 4- 4- 4- Ру 4- 4- Рю + Ра + Рз 4- Несанкционированного доступа со стороны средств контроля и управления Программа опознания и контро¬ — ля доступа к информации ПК Программа контроля и разгра¬ ничения доступа к информа¬ ции ЛКС Средства контроля целостно¬ — сти ЛКС Средства шифрования инфор¬ — — — — 4- 4- мации в ПК Средства шифрования инфор¬ мации в ЛКС Оргмероприятия Примечания. 1. Знак «+» означает наличие средства защиты, знак «-» — отсутствие средства защиты. 2. Считаем, что все помещения оборудованы системой контроля одного типа. ных в результате расчета прочности отдельных средств защиты, Поэтому с учетом табл. 1 целесообразно для оценки уровня безопасности информации в составляющих в целом систему защиты. локальных сетях использовать ^клвс — следующую группу показателей: уровень безопасности информации от преднамерен¬ несанкционированного доступа, контролируемого системой защиты локальной сети; ного Лплвс ходящих уровень безопасности информации на ВКНСД, вы¬ за пределы возможностей системы контроля несанк¬ — ционированного доступа. Глава 2. Обеспечение безопасности информации в локальных сетях 333 При этом оценка прочности средства защиты, перекрываю¬ щего один ВКНСД, определяется соответственно по формулам 4 15, 1, разд.З, суммарной прочности защиты при ВКНСД нескольких средств защиты про¬ применении изводится по формуле 18, гл. 1, разд. 3 (с учетом табл. 1, гл. 2, и гл. а расчет на одном разд. 7). В конечном итоге значение прочности защиты для кон¬ тролируемых ВКНСД можно определить на основе выражения: Лпкс = Лрс V [1 (1 - - Л)(1 - Л)0 Л)(1 - - Л)] V Н[1-(1-Р1)(1-Л)(1-Р6)]Н с [I - (I - Л)(1 - р2)(1 С [1 -(1 с - Л)(1 -/’^С! - - Л)] с [I Л)(1 - (I - Л)(1 - - Л)(1 - Л)] с Л)] П [1 -(1 -р,)(1 -р2)(1 -Л)(1 -Л)(1 -р5)]. Для неконтролируемых ВКНСД: ЛиЛВС = ЛиРС С ^4 V /9 С Л()' Контрольные вопросы 1. Каковы потенциальные угрозы информации, обрабатываемой в персональных 2. компьютерах? В чем заключается система защиты информации от несанкцио¬ нированного доступа в персональных компьютерах? Каковы возможные источники компьютерных вирусов? Как проявляются ком¬ пьютерные вирусы и каковы потенциальные угрозы, связанные с ними? 3. Каковы типичные ошибки пользователя, приводящие к заражению персо¬ нальных компьютеров вирусами? 4. Что представляет собой локальная компьютерная сеть? 5. По каким стандартам и спецификациям производится построение локальных компьютерных сетей? б. Каковы потенциальные угрозы безопасности информации в локальных сетях? 7. В чем заключается система защиты информации от несанкционированного доступа в локальных сетях? 8. Какие существуют средства управления защитой сетях? информации в локальных 9. Как выглядит структурная информации в локальных схема системы защиты сетях? 10. Как осуществляется оценка уровня безопасности информации ренного несанкционированного доступа в локальных сетях? от преднаме¬ Раздел VIII ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Законодательные меры по обеспечению безопасности ин¬ формации от несанкционированного доступа заключаются в ис¬ полнении существующих в стране положений, постановлений дическую ответственность и или введении новых законов, инструкций, регулирующих юри¬ должностных лиц, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защи¬ те, в том числе за попытки выполнить аналогичные пределами своих полномочий, а также действия за ответственность посто¬ ронних лиц за попытку преднамеренного несанкционированно¬ го и доступа к аппаратуре информации. Цель законодательных мер предупреждение и сдержива¬ ние потенциальных нарушителей. В настоящее время в Уголов¬ — ном кодексе предусматривается три главы, посвященных компь¬ ютерным преступлениям. Глава 1 ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА СОБСТВЕННОСТИ По существу сфера безопасности информации — не защита информации, а защита прав собственности па нее. Рассмотрим особенности информационной собственности. Глава 1. Информация как объект права собственности 335 Исторически традиционным объектом права собственности является материальный объект. Фактически право собственно¬ сти до настоящего времени являлось вещным правом. Информация не является материальным объектом, информа¬ ция — это знание, т. е. отражение действительности в сознании не сущест¬ (причем истинное или ложное отражение венно, важно, что в сознании). В дальнейшем информация может человека — воплощаться в материальные объекты окружающего нас мира. Не являясь материальным но связана с объектом, информация неразрыв¬ материальным носителем, от отчужденные человека это материальные книга, диск и другие виды «памяти» — мозг человека или носители, такие, как (запоминающие устройства). С философской точки зрения, видимо, можно говорить об информации как об абстрактной субстанции, существующей сама по себе, но для нас ни хранение, ни передача информации без материального носителя невозможны. Как следствие, информация как объект права собственности (тиражируема) за счет материального носителя. Ма¬ териальный объект права собственности некопируем. Действи¬ копируема тельно, если рассмотреть две одинаковые вещи, состоят материально разных молекул. А ин¬ то же зна¬ при копировании остается той же, это из одинаковых формация то они структур, но — ние, та же семантика. Поэтому информация как объект права собственности легко субъекту права собственности без оче¬ видного (заметного) нарушения права собственности на инфор¬ мацию. Перемещение материального объекта к другому субъекту перемещается к другому права собственности неизбежно и, как правило, влечет за собой утрату этого объекта первоначальным субъектом права собствен¬ ности, т. е. происходит очевидное нарушение его права собствен¬ ности. Опасность копирования и перемещения информации усугуб¬ ляется т. е. тем, что хранится и правило, отчуждаема от собственника, обрабатывается в сфере доступности большого она, как субъектов, не являющихся субъектами права собственности на эту информацию. Это, например, автоматизированные поис¬ ковые системы, информационные сети и т. п. Рассмотрев особенности информации как объекта права соб¬ ственности, подчеркнем, что в остальном информация, очевид¬ числа но, ничем нс отличается от традиционных объектов права интел¬ лектуальной собственности. Раздел VIII. Организационно-правовое обеспечение... 336 Право собственности включает три правомочия собственни¬ ка, составляющих содержание (элементы) права собственности: право распоряжения; право владения; право пользования. Субъект права собственности на информацию может пере¬ дать часть своих прав (распоряжение), не теряя их сам, другим субъектам, например «хранителю», т. е. владельцу материального носителя информации (это владение или пользование) или пользователю (это пользование и, может быть, владение). Для информации право распоряжения подразумевает исклю¬ чительное право (т. е. никто другой, кроме собственника) опре¬ делять, кому эта информация может быть предоставлена (во вла¬ дение и пользование). Право владения подразумевает иметь эту информацию в не¬ изменном виде. Право пользования подразумевает право ис¬ — — пользовать эту информацию в своих интересах. Таким образом, к информации, кроме субъекта права соб¬ ственности на эту информацию, могут иметь доступ другие субъекты права собственности как законно, санкционированно (это субъекты права на элементы собственности), так и — незаконно, несанкционированно. взаимоотношений между этими Возникает сложная субъектами права система собствен¬ ности. Эти взаимоотношения должны регулироваться и охраняться, так как отклонения от них могут привести к перемещению ин¬ формации, что влечет за собой нарушение права собственности субъекта на эту информацию. Другими словами, речь идет о реа¬ лизации права собственности на информацию. Под этим будем понимать государственную или частную (или государственно-ча¬ стную) инфраструктуру, предотвращающую нарушение права собственности на информацию. В принципе, как и для любого объекта собственности, такая инфраструктура состоит из цепочки; законодательная власть исполнительная власть (закон нака¬ суд судебная власть зание). — — — Закон должен предусматривать ответственность — и полномо¬ субъектов права собственности (на элементы собственно¬ сти). Каждый такой субъект в рамках предоставленных ему соб¬ чия ственником полномочий предусмотренное законом этих несет и перед ним ответственность за подтвержденное судом превышение полномочий, которое привело или могло привести к нару¬ шению права собственности собственника информации. Глава 1. Информация как объект права собственности 337 Итак, несмотря на ряд особенностей, информация наряду с традиционными материальными объектами может и должна рас¬ сматриваться законом как объект права собственности. Любой венника, закон о собственности в целях защиты права собст¬ зафиксировав субъекты и объекты права собственно¬ сти, должен регулировать отношения между ними. Особенности регулирования этих отношений зависят от специфики объектов права собственности. В рассматриваемом случае информационной собственности ввиду перечисленных выше особенностей информации как объ¬ екта права собственности (копируемость, перемещаемость, отчу¬ ждаемость) закон должен регулировать отношения субъектов, а также субъектов и объектов права собственности на информацию в целях защиты прав как собственника, так и законных владель¬ цев и пользователей информации для защиты информационной собственности от разглашения, утечки ознакомления с ней, ее обработки, — несанкционированного в частности копирования, мо¬ дификации или уничтожения. Учитывая возможность хищения информации вместе с ее носителем, необходимо указать и на эту угрозу, в результате осуществления которой может также про¬ изойти утечка и утрата информации. Под модификацией инфор¬ мации понимается несанкционированное ее изменение, коррект¬ ное по форме и содержанию, но другое по смыслу. В правовой практике России информация определяется в каче¬ первой части Гражданского кодекса РФ (ст. 128), принятой Государственной Думой 21.10.94 г. Федераль¬ ным законом «Об информации, информатизации и защите инфор¬ мации» от 20.02.95 г. определено, что информационные ресурсы, стве объекта права в т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений фи¬ зических, юридических лиц и государства, подлежат обязательно¬ му учету и защите как материальное имущество собственника (ст. 4.1, ст. 6.1). Этим же законом впервые вводится понятие доку¬ ментированной информации с ограниченным доступом (ст. 10.2), которая подразделяется на информацию, отнесенную к государст¬ венной тайне, и конфиденциальную информацию (т. е. представ¬ ляющую коммерческую, личную, служебную и другие тайны). Таким образом, можно определить цель обеспечения безо¬ пасности информации, которая заключается в защите прав соб¬ ственности на нес, и задачи безопасности информации, которые заключаются в защите ее от утечки, модификации и утраты. Раздел VIII. Организационно-правовое обеспечение... 338 Глава 2 ИНФОРМАЦИЯ КАК КОММЕРЧЕСКАЯ ТАЙНА Понятие «коммерческой тайны» введено в практику Россий¬ ской Федерации с 1 января 1991 г. ст. 33 закона «О предприяти¬ ях в СССР» и сформулировано на сегодняшний день в Феде¬ ральном Российской законе Федерации от 29 2004 июля г. № 98-ФЗ «О коммерческой тайне», ст. 3 которого гласит: 1) коммерческая тайна — конфиденциальность информации, обладателю при существующих или возможных позволяющая ее обстоятельствах увеличить доходы, избежать неоправданных рас¬ работ, услуг или ходов, сохранить положение на рынке товаров, получить иную коммерческую выгоду; 2) информация, составляющая коммерческую тайну, науч¬ но-техническая, технологическая, производственная, финансо¬ во-экономическая или иная информация (в том числе состав¬ ляющая секреты производства (ноу-хау), которая имеет действи¬ — тельную или неизвестности потенциальную ее коммерческую третьим лицам, к которой ценность в силу свободного до¬ нет ступа которой обладате¬ такой информации введен режим коммерческой тайны; на законном основании и в отношении лем 3) режим коммерческой тайны ные, технические и ции, составляющей — правовые, организацион¬ принимаемые обладателем информа¬ иные коммерческую тайну, меры по охране ее конфиденциальности; 4) обладатель информации, составляющей коммерческую лицо, которое владеет информацией, составляющей тайну, — коммерческую ступ к этой тайну, на законном основании, ограничило до¬ ее режим информации установило коммерческой тайны; 5) доступ к информации, составляющей коммерческую тай¬ ознакомление определенных лиц с информацией, состав¬ ну, и в отношении — ляющей коммерческую тайну, ином законном циальности основании с согласия ее обладателя при условии сохранения или на конфиден¬ этой информации; 6) передача информации, составляющей коммерческую тай¬ информации, составляющей коммерческую тай¬ ну и зафиксированной на материальном носителе, ее обладатену, — передача Глава 2. Информация как коммерческая тайна 339 лем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее кон¬ фиденциальности; 7) контрагент сторона гражданско-правового договора, ко¬ торой обладатель информации, составляющей коммерческую тайну, передал эту информацию; 8) предоставление информации, составляющей коммерче¬ скую тайну, передача информации, составляющей коммерче¬ скую тайну и зафиксированной на материальном носителе, ее — — обладателем органам государственной власти, иным государст¬ венным органам, органам местного самоуправления в целях вы¬ функций; 9) разглашение информации, составляющей коммерческую действие или бездействие, в результате которых инфор¬ тайну, мация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с исполь¬ зованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки полнения их — трудовому или гражданско-правовому договору. Для того чтобы иметь возможность контролировать деятель¬ предприятий, правительство России выпустило 5 декабря ность 1991 г. постановление № 35 «О перечне сведений, которые могут составлять коммерческую тайну». кона отражены в статье 5 не Положения данного за¬ Федерального закона Российской Фе¬ дерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Порядок защиты государственной тайны регулируется Зако¬ РФ ном «О государственной тайне» (от 21 июля 1993 года, № 5485-1 (в ред. Федерального закона от 06.10.97 г. № связанным с данным законом постановлением 131-ФЗ) и Правительства РФ «Об утверждении щих Правил отнесения сведений, составляю¬ государственную тайну, к различным степеням секретно¬ сти» от 4.09.95 г. № 870. Защита информации и прав субъектов в области информаци¬ информатизации регулируется главой 5 Фе¬ дерального закона РФ № 24-ФЗ «Об информации, информати¬ зации и защите информации», принятого 20 февраля 1995 г. онных процессов и По вопросам, связанным с защитой государственной тайны, поскольку это достаточно емкий самостоятельный информаци¬ онный блок, к тому же достаточно специфичный в рамках дан¬ ного учебного пособия, рекомендуем студентам обратиться к Раздел VIII. Организационно-правовое обеспечение... 340 специальной литературе, где данный вопрос хорошо рассмотрен (рекомендуем начинать журнала «Вопросы защиты информации» ВИ МИ за 1995 г. и соответствующего закона «О гостайне»). Здесь считаем целесообразным уделить некоторое внимание вопросу коммерческой тайны. и имеется достаточно много материала с В приведенном ниже перечне сведения сгруппированы по те¬ Предлагаемое разделение на группы но¬ матическому принципу. рекомендательный характер и может быть изменено в зави¬ симости от специфики сведений, составляющих коммерческую тайну конкретного предприятия (организации). Сведения, вклю¬ сит ченные в данный перечень, могут быть коммерческой тайной только с учетом особенностей конкретного предприятия (органи¬ зации). 1. Сведения о финансовой деятельности: • • прибыль, кредиты, товарооборот; финансовые отчеты и прогнозы; • коммерческие замыслы; • фонд заработной платы; • стоимость основных и • кредитные условия платежа; • банковские счета; • плановые и отчетные оборотных средств; калькуляции. 2. Информация о рынке: • цены, скидки, условия договоров, спецификация про¬ дукции; • объем, история, тенденции производства и прогноз для конкретного продукта; • рыночная политика и планы; • маркетинг и стратегия цен; • отношения с • численность и • каналы и методы • политика • программа рекламы. потребителями и репутация; размещение торговых агентов; сбыта; сбыта; 3. Сведения о производстве и продукции: • сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий; • сведения о планируемых сроках создания мых изделий; разрабатывае¬ Глава 2. Информация как коммерческая тайна • 341 сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании; модификации и модернизации ранее извест¬ ных технологий, процессов, оборудования; • сведения о • производственные мощности; • состояние основных и • организация производства; • размещение оборотных фондов; размер производственных помещений и и складов; • перспективные планы развития производства; • технические спецификации существующей и перспек¬ тивной продукции; • схемы и вых • чертежи отдельных узлов, готовых изделий, но¬ разработок; сведения о состоянии программного и компьютерного обеспечения; 4. эффективности; • оценка качества и • номенклатура изделий; • способ упаковки; • доставка. Сведения о научных разработках: • новые технологические методы, новые нологические и технические, тех¬ физические принципы, планируемые к использованию в продукции предприятия; НИР; • программы • новые • оригинальные программы. алгоритмы; 5. Сведения о системе материально-технического обеспечения: • сведения о составе торговых клиентов, представителей и посредников; • • потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности. 6. Сведения о персонале предприятия: • численность • определение лиц, принимающих решение. персонала предприятия; 7. Сведения о принципах управления предприятием: • сведения о применяемых управления производством; и перспективных методах Раздел VIII. Организационно-правовое обеспечение... 342 • сведения о фактах ведения переговоров, предметах и це¬ лях совещаний и заседаний органов управления; • сведения о планах предприятия по расширению произ¬ водства; • условия продажи и слияния фирм. 8. Прочие сведения: • важные элементы дур доступа к • систем безопасности, кодов и проце¬ информационным сетям и центрам; принципы организации защиты коммерческой тайны. Федеральным законом «О банках и банковской деятельности« № 395-1 от 02.12.1990 г. введено понятие «банковской тайны». Под банковской тайной подразумевается обязанность кре¬ дитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними по¬ сторонних лиц, прежде всего конкурентов того или иного кли¬ тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика. Уголовный кодекс Российской Федерации включает в себя ента, статьи, регламентирующие опасности исход прецедентов в области без¬ информации: Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютер¬ ной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или уничтожение, блокирование, либо модификацию копирование информации, нарушение рабо¬ ты ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы их сети, если это деяние повлекло — или иного дохода цев, осужденного за период до восемнадцати меся¬ либо исправительными работами до одного на срок от шести месяцев года, либо лишением свободы на срок до двух лет. 2. То же деяние, совершенное группой лиц по предваритель¬ ному сговору пользованием или организованной группой либо лицом своего с ис¬ служебного положения, а равно имеющим Глава 2. Информация как коммерческая тайна доступ к ЭВМ, системе ЭВМ или их сети, — 343 наказывается штра¬ фом в размере от ста тысяч до трехсот тысяч рублей или в разме¬ ре заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкцио¬ блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы нированному уничтожению, ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программа¬ ми наказываются лишением — свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере зара¬ ботной платы или иного дохода осужденного за период до во¬ тяжкие по¬ семнадцати месяцев. 2. Те же деяния, следствия, — повлекшие по неосторожности наказываются лишением свободы на срок от трех до семи лет. Нарушение правил эксплуатации ЭВМ, ЭВМ или их сети Статья 274. системы 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, сети, повлекшее имеющим доступ уничтожение, к ЭВМ, системе ЭВМ или их блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причи¬ нило существенный вред, наказывается лишением права за¬ нимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работа¬ — ми на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. 2. То же — следствия, рех лет. повлекшее по неосторожности тяжкие по¬ наказывается лишением свободы на срок до четы¬ деяние, Раздел VIII. Организационно-правовое обеспечение... 344 Глава 3 ПЕРСОНАЛЬНЫЕ ДАННЫЕ С наступлением эры компьютеров, к муникационных технологий, доступ быстро получать и возможность сятков потом и эры телеком¬ информации, ее объемы, компилировать данные разных источников привели количество а к тому, из де¬ что технологическое породило новое качество. Если раньше бумажные документы ограничивали использо¬ вание в полной мере персональных данных, хранящихся на этих носителях, то развитием Интернета, можности с наступлением компьютерной появились поиска, сортировки, почти эры, особенно неограниченные с воз¬ обобщения, копирования и вто¬ ричного использования документов. Данное обстоятельство, с одной стороны, увеличивает важ¬ ность персональных данных, как фактора экономической, соци¬ альной и культурной жизни, с другой стороны способно карди¬ нально и в наихудшей мере повлиять на право каждого защитить свои права и свободы. Наконец, доступность персональных данных ней открытость частной жизни могут привести не только к правонарушениям, жертвами которых Можно перечислить возникновению и • становятся но и и связанная и часто к тяжким с приводят преступлениям, граждане. основные факторы, способствующие развитию оборота персональных данных: данные в подавляющем большинстве стали представляться обрабатываться в электронном виде; стало легко комбинировать данные, полученные из разных и • баз данных (источников); • возросшая скорость компьютеров позволяет производить любую необходимую обработку информации, содержащей персональные данные; • стоимость хранения данных и доступа к их массивам резко снизилась; • персональные компьютеры превратились в общедоступное средство; • возникший Интернет завершил формирование среды ин¬ формационного обмена, связанного с персональными дан¬ ными. Глава 3. Персональные данные 345 Есть все основания полагать, что оборот персональных дан¬ ных в России по вполне объективным причинам будет неуклон¬ Одновременно с ростом потребностей в персональных данных и увеличением оборота этих данных будет расти и число преступлений, связанных с ними. Все это заставляет самым при¬ стальным образом рассматривать правовые вопросы, связанные но с расти. персональными данными. Сферы обращения данных персональных всеобъемлющи. В оборот персональных данных включены все: гражданин (субъект персональных данных); • сам • общество в целом и другие граждане; • государство, как многослойная и многофункциональная управляющая структура; • бизнес. Соответственно, все участники оборота связаны между собой подчас весьма сложными взаимными схематично можно показать на рис. I. отношениями, которые Рис. 1. Схема связей с субъектом персональных данных В центре (треугольника) этих отношений находится субъект персональных данных, соединенный с государством, обществом, отдельными гражданами и бизнесом множеством формальных и неформальных связей. Такими же связями соединены все остальные субъекты отно¬ шений: • субъект персональных данных вует множество случаев и — другой гражданин. Сущест¬ причин, по которым один граж¬ данин на законных основаниях нуждается в определенных сведениях о другом гражданине. Оказавшимся в разных го- Раздел VIII. Организационно-правовое обеспечение... 346 родах друзьям необходимо найти друг друга, пациенту нуж¬ но знать о наличии лицензии ча, покупателю у частнопрактикующего вра¬ недвижимости необходимо знать о всех имущественных правах, которые существуют в отношении интересующего его объекта недвижимости; • субъект персональных данных—общество. Общество, как со¬ вокупность граждан, испытывает определенную потреб¬ ность в получении информации, что выражено емким тер¬ реализовано в связанной с этой свободой деятельности средств массовой информации. Ма¬ мином «свобода слова» териалы числе, и средств массовой огромное информации количество содержат, в том персональной информации. Кроме этого, к общественным интересам может быть отне¬ сена деятельность ей писателей и ученых, которые в силу сво¬ профессии могут сталкиваться с необходимостью полу¬ чения и использования персональной информации. Важ¬ персональных данных и деятельности средств массовой информации была отражена в официаль¬ ность соотношения европейских документах; субъект персональных данных—бизнес. Интересы большин¬ ства коммерческих организаций требуют знания персо¬ нальной информации о тех лицах, с которыми им прихо¬ дится иметь дело. Поэтому большинство из этих коммерче¬ ских организаций не только получают необходимую им информацию от своих клиентов, но и используют различ¬ ные иные источники получения такой информации. Этими ных • источниками являются как базы данных других коммерче¬ организаций, так и базы данных, находящиеся в рас¬ поряжении у государства, а также общедоступные источни¬ ки информации; субъект персональных данных—государство. Государство в ских • совокупности было и остается основным и самым большим потребителем персональных данных. Это обусловлено теми публичными функциями, которые вы¬ полняет государство. Чаще всего выполнение этих функ¬ держателем и ций требует обязательного предоставления гражданами их персональных данных государственным ведомствам, что, свою очередь, предопределяет тотальность многих из в тех баз персональных данных, которыми распоряжается госу¬ дарство (например, налоговые органы или органы, ответст¬ венные за регистрацию актов гражданского состояния); Глава 3. Персональные данные • 347 общество—государство. Государство несет множество обя¬ занностей по отношению к обществу, обладая при этом аде¬ кватными этим это очередь, безопасности. ва связаны с обязанностям обязанности по В полномочиями. первую поддержанию общественной Кроме случаев, когда полномочия государст¬ правоприменением в отношении конкретного гражданина, государству предоставлены такие полномочия, как осуществление видеонаблюдения в общественных мес¬ тах, определенный контроль за информационными потока¬ ми в Интернете и пр. Все это ставит общий вопрос о взаимо¬ между обществом отношениях и государством в терминах получения и использования персональных данных граждан; • общество—бизнес. Несмотря на то, что основным объектом защиты являются права конкретного защиты этих часто и прав гражданина, неизбежно выходит задача далеко за Некоторые проблемы, в частности, такие, как взаимоотношения между работником и работодателем, не могут быть в полной мере решены на двухсторонней основе и требуют решения в рамках иногда очень больших коллективов. Наконец, в тех сферах, кото¬ рые принципиально не являются «вотчиной» бизнеса, в ча¬ стности в Интернете, как не только информационном, но рамки двухсторонних отношений. общественном явлении, взаимоотношения между обще¬ ством и бизнесом в части получения и использования пер¬ и сональных данных должны соответствовать определенным правовым нормам; • бизнес—государство. С точки зрения персональных данных бизнес соединяет с государством множество нитей. Работо¬ датель обязан ленные ем в соответствии с законом исполнять обязанности, связанные, например, налогов в качестве налогового агента. опреде¬ с перечислени¬ Тот же работода¬ нуждаться в помощи государства тогда, когда имеет законные основания подозревать своего работника в тель может нарушении своих Банки обязаны прав, в частности права собственника. сообщать госорганам определенные под¬ робности о частных вкладах граждан, размещенных на сче¬ тах банка. С другой стороны, бизнес нуждается в той пер¬ сональной информации, которая находится в распоряже¬ нии у государства. Все эти отношения порождают массу конкретных проблем, в целом объединенных общими свойствами. Раздел VIII. Организационно-правовое обеспечение... 348 В первую очередь, они затрагивают интересы самого гражда¬ отношений, и, в конечном итоге, свободы, гарантированные Конституцией. права и это не менее значимо, эти отношения Во-вторых, связаны с реализацией прав (или полномочий) других участни¬ ков отношений, также определенных и/или гарантированных Конституцией. Это порождает разнообразные и многочисленные нина, находящегося его в центре и — — конфликты интересов, одной из сторон которых является субъ¬ все остальные субъекты от¬ персональных данных, другой ношений. Очевидно, что сложность и многоплановость этих ект — конфликтов не предполагает простое или тривиальное их реше¬ ние. Это обстоятельство отражено и в международных докумен¬ тах, посвященных персональным данным. В-третьих, гражданина-субъекта персональных субъектами (обществом, государством, на бизнесом), несмотря специфику каждого из этих отношений, обладают для него одинаковой значимостью. Человек в равной степени является экономическим субъектом, членом общества и данных с отношения остальными «подданным государства». Современная система европейского законодательства о пер¬ сональных данных основана на нескольких международных до¬ кументах. Два из них имеют особый Евроконвенция сти — с значение не только силу того, ствии с Конвенция Совета Европы о защите лично¬ автоматической обработкой персональных данных Для России этот документ имеет принципиальное в связи (1981 год). в статус. потому, что она входит в Совет Европы, но и что национальные законы, принимаемые в соответ¬ Евроконвенцией, напрямую запрещают частному секто¬ ру и госведомствам трансграничную передачу персональных дан¬ ных в страны, в которых нет адекватного правового режима за¬ щиты. Евродиректива. В 1995 г. Европейский парламент и Совет Европейского союза приняли Директиву 95/46/ЕС о защите прав частных лиц применительно к обработке персональной инфор¬ мации данных и о ему статусу зательным свободном движении таких данных. По сво¬ Евродиректива является правовым стандартом, обя¬ для применения в национальных законодательствах стран-членов Европейского союза. В настоящее время во многих европейских странах приняты национальные нюансы законы, которые подробно регламентируют все работы с персональными данными, разработаны реко- Глава 3. Персональные данные 349 мендации для операторов персональных данных, ветствующие контролирующие органы. созданы соот¬ Российская Федерация, ратифицировав в 2005 г. Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональ¬ ных данных, тельств ния также вошла которых, наравне прав личности на с в число другими, защиту своих в стран, основе законода¬ принцип обеспече¬ персональных данных. Ев¬ лежит родиректива 95/46/ЕС является сегодня правовым стандартом, обязательным для применения в национальных законодательст¬ Европейского союза, поэтому положения Фе¬ дерального закона Российской Федерации от 27 июля 2006 г. вах стран-членов № 152-ФЗ «О персональных данных» во многом повторяют нор¬ мы, предусмотренные европейским законодателем, но в то же время российский закон имеет и ряд существенных отличий. Федеральный закон № 24-ФЗ от 20.02.95 «Об информации, информатизации и защите информации» Статья 11. Информация о гражданах (персональные данные) 1. Перечни персональных данных, включаемых в состав фе¬ информационных ресурсов, информационных ресур¬ сов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов ме¬ стного самоуправления, а также получаемых и собираемых него¬ деральных сударственными уровне организациями, должны быть закреплены на федерального закона. Персональные данные относятся к категории конфиденциальной информации. Не допускаются распространение информации о частной жизни, а равно информации, нарушающей личную тай¬ сбор, хранение, использование и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. ну, 2. Персональные данные не могут быть лях использованы в це¬ причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Фе¬ дерации. Ограничение прав граждан Российской Федерации на Раздел VIII. Организационно-правовое обеспечение... 350 основе информации об их социальном происхо¬ расовой, национальной, языковой, религиозной и использования о ждении, партийной принадлежности запрещено и карается в соответст¬ вии с законодательством 3. Юридические и физические лица, в соответствии со свои¬ ми полномочиями владеющие чающие вии с и информацией о гражданах, полу¬ использующие ее, несут ответственность законодательством режима защиты, Российской обработки и порядка в соответст¬ Федерации за нарушение использования этой ин¬ формации. 4. Подлежит обязательному негосударственных организаций лицензированию и частных лиц, деятельность связанная с об¬ работкой и предоставлением пользователям персональных дан¬ ных. Порядок лицензирования определяется законодательством Российской Федерации. 5. Неправомерность деятельности органов государственной организаций сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федераль¬ власти и по ного закона и законодательства о персональных данных. Контрольные вопросы 1. В каком отношении информация определяется как право собственности? 2. Как в законах и нормативно-правовых актах устанавливается понятие инфор¬ мации как коммерческой тайны? 3. Приведите перечень и основное содержание документов, устанавливающих меры воздействия за нарушение законодательства в области информации. 4. Что такое персональные данные? 5. Как осуществляется защита персональных данных с точки зрения законода¬ тельства? Заключение В данном учебном пособии приводятся свойства информа¬ ции как предмета защиты в информационных системах, системы автоматизированной обработки и обмена информацией как объ¬ екты ее защиты. Приводятся методики анализа и систематиза¬ ции потенциальных угроз безопасности информации, современ¬ ные методы и средства управления санкционированным досту¬ пом к В информации. доступном для студента изложении обеспечения рассматри¬ ваемых вопрос и задач в организации любого уровня, будь то го¬ приводится анализ и методика анализа сударственная, корпоративная, банковская структура мерческая или ком¬ фирма. Наряду с практическим преломлением мате¬ риала, представленным в пособии, более глубоко рассмотрена и теоретическая сторона. Определены предмет и объекты защиты, цели и задачи защиты, единые подход, концепция и принципы построения системы безопасности информации в информацион¬ ных системах, сетях и компьютерных системах управления. Не¬ сомненным достоинством учебного пособия являются расчетные формулы для расчета уровня прочности отдель¬ ных средств защиты и информационной системы в целом, что соотношения и позволит специалистам определить уровень безопасности кретной функционирующей информационной соответствующие показатели в техническом в кон¬ системе, задать на разра¬ задании ботку будущем. Приведенные и рекомендуемые для изучения подходы, кон¬ цепция, принципы построения защиты информации и расчетные системы в соотношения позволят независимо от вида, назначения и мас¬ штабов информационной системы создать на пути нарушителя и случайных воздействий строгую и управляемую систему равно¬ прочных и взаимосвязанных преград с возможностью обоснован¬ ного получения ее количественных и качественных параметров, отвечающих заданным требованиям по уровню безопасности об¬ рабатываемой информации. 352 Заключение Особое денные внимание при изучении следует обратить пособии результаты в проблемы: разработку системных полной на приве¬ исследований сущно¬ непротиворечивой концеп¬ которой в любой конкретной авто¬ информационной системе позволит решить сти и ции ее решения, применение матизированной проблему в виде частного случая. В настоящее время исследования разработка защиты ин¬ формации от несанкционированного доступа в информацион¬ ных системах и ведутся разными специалистами в основном по инфор¬ информационным двум направлениям: территориально сосредоточенным системам мационным При сетям. падающие этом распределенным используются подходы, жении данных и где-то терминология систем и безопасности между собой, дублируют друг друга крывают определения. системотехнические зации возможные совпадающие информации каналы в них и вместе не с несов¬ При сопря¬ по решения часто и реали¬ стыкуются тем не пере¬ несанкционированного доступа к информации. Рассматриваемая в учебном пособии концепция безопасно¬ сти информации одинаково эффективна в обоих направлениях и, следовательно, эффективно будет работать при сопряжении указанных информационных систем, хотя и есть различие в под¬ ходах, которые учитывают специфические принципы обработки передачи данных, но не противоречат, а дополняют друг друга. Качество защиты при этом зависит от выбранного заказчиком и информационной ального системы класса модели поведения потенци¬ нарушителя, уровня прочности установленных разработ¬ обеспечения уровня автоматизации централизации управления последними. чиком средств защиты и и Предлагаемая для изучения в рамках концепции постановка задачи отличается от существующих постановок простотой, кон¬ кретностью и ясностью, а следовательно, лучшей с точки зрения дидактики в учебном процессе. В ней обоснованно разделены задачи защиты от случайных воздействий на информацию и за¬ преднамеренного несанкционированного доступа к ней по причине различного характера происхождения событий и мест дачи их проявления. В пособии в формации только от основном рассматривается задача защиты ин¬ от преднамеренного несанкционированного доступа нарушителя в единственном числе, так как без се ре¬ шения невозможно решение задачи защиты от организованной Заключение 353 нарушителей. Такой подход не исключает того, что сис¬ темотехнические решения первой задачи могут быть эффектив¬ ны и для защиты от неорганизованной группы нарушителей. Во¬ группы прос заключается лишь в насколько велика в том, какую ситуацию рассматривать и вероятность ее появления в реальных условиях конкретной информационной системе. Рассматриваемые в данном пособии теория и принципы по¬ строения зашиты отвечают привычному и понятному всем физи¬ ческому смыслу, заключающемуся в создании замкнутой обо¬ лочки, прочность которой определяется ее слабейшим звеном, этот единой мерой к ожидаемой эффективности защиты информа¬ принцип расчету и позволит оценке специалисту подойти с ции от несанкционированного доступа на любом уровне с работы ней, начиная с персонального компьютера и кончая глобаль¬ автоматизированной системой управления. В учебном пособии дается единый учебный материал ными сетью и понимания студентом как теоретических вопросов, так и для их Рассмотрение некоторых вопросов пришлось ограничить глубине рассмотрения. Здесь авторы отсылают пытливого студента к существующим монографиям практической реализации. по и практическим руководствам в том числе и для соответствующего ограниченного направления, использования. В приведенных методиках используется метод экспертных оценок, но объем его применения по сравнению с существующи¬ сокращен, а характер экспертных оце¬ нок изменен в техническую сторону, что позволяет получить бо¬ ми методами значительно лее точный результат оценки. С увеличением объемов автомати¬ зации процессов контроля доступа результаты оценок прочности защиты станут еще точнее. Использование ни в оценке прочности защиты предоставляется более удачным, чем фактора време¬ фактор стоимости. Из¬ информации и соответствую¬ щих затрат на несанкционированный доступ к ней потенциаль¬ ного нарушителя может быть весьма приблизительной и пока вестно, что стоимостная оценка практических методик, определяющих такие затраты, не суще¬ ствует. Для больших систем подобная работа, учитывая динами¬ информации и изменения ее цены, вообще вряд ли целесообразна. Известно, что временной фактор уже используется при оцен¬ ке стойкости криптографических средств защиты, что говорит в ку движения пользу решения приводимого в пособии. В результате использо- 354 Заключение общих для вана возможность применения принципов расчета и оценки всех средств защиты их прочности широко известной единицы измерения — с помощью одной вероятности наступ¬ ления события. Приведенная в пособии концепция безопасности информа¬ ции позволит будущему специалисту научиться быстро ориенти¬ роваться в решении таких задач: • юридически строго и конкретно обозначить предмет защи¬ ты, сосредоточить на его защите и устранить избыточность применяемых средств защиты; • провести глубокий и всесторонний анализ разрабатывае¬ мой информационной системы на предмет выявления воз¬ можных мации каналов несанкционированного доступа в соответствии с заданной к инфор¬ моделью поведения по¬ тенциального нарушителя; • выбрать • создать готовые и разработать на основе предлагаемых соотношений новые с получе¬ защиты расчетных средства нием гарантированных показателей их прочности; обоснованную замкнутую оболочку защиты с га¬ рантированными показателями ее прочности; • увидеть единую для всех информационных систем теорию защиты информации от несанкционированного доступа; • упростить систему защиты информации в сетях передачи данных; • сократить количество экспертных оценок средств защиты и упростить их методику; • на основе расчетов получить значительное повышение уровня безопасности информации в разрабаты¬ ваемых и • более эффективности точных монтируемых информационных системах; сформировать единое информационное и лингвистическое обеспечение системы безопасности информации в инфор¬ мационных системах; • пути унификации и средств защиты информации; • искать методов и сертификации информационных систем в искать методы интересах определения в безопасности информации; • выработать типовые обеспечению мному для обеспечения мой безопасности стандартизации них требования и гарантированного к аппаратуре, организационным информационной информации. в уровня програм¬ мероприятиям необходи¬ системе Заключение 355 Авторы надеются, что изложенный выше учебный материал позволит будущим и настоящим специалистам соответствующего профиля быстро сориентироваться в преимуществах и недостат¬ ках множества предлагаемых на рынке решений по обеспечению безопасности информационных систем и управлению доступом в них и принять единственно правильное решение. Права на ошибку у специалиста по информационной безопасности нет, за ней стоит неприкосновенность информации организации-собст¬ венника. Успехов! Литература 1. Бройдо В. Л., Ильина О. И. Архитектура ЭВМ ник для вузов / В. Л. Бройдо, О. П. Ильина. учеб¬ СПб. : Питер, 2006. — и систем : Информационные системы: учеб, пособие СПб. : Питер, 2003. вузов / В. Н. Петров. 2. Петров В. Н. для — 3. Васильков А. В. и др. ность : метод, пособие Информационные системы и их безопас¬ / А. В. Васильков. — М. : УМЦ ПО ДОМ, 2007. 4. Васильков А. В. и др. Информационные системы и их безопас¬ учеб, пособие / А. В. Васильков. ность : — М. : Форум, 2008. 5. Якубайтис Э. А. Информационные сети и системы. Справоч¬ ная книга / Э. А. Якубайтис. М. : Финансы и статистика, 1996. — 6. Мельников В. В. Защита / В. В. Мельников. форм, 1997. мах — М. информации : в систе¬ компьютерных Финансы и статистика; Электронин- 7. Ирвин Дж., ХарльД. Передача данных в сетях: инженерный СПб. : БХВ-Петерподход / Дж. Ирвин, Д. Харль ; пер. с англ. бург, 2003. — 8. Цвики Э., Купер С., Чапмен Б. Создание защиты в Интернете / Э. Цвики, С. Купер, Б. Чапмен ; пер. с англ. — СПб. : Сим¬ вол-Плюс, 2002. 9. Норткатт С. Защита сетевого периметра / С. Норткатт ; пер. К. : ТИД «ДС», 2004. с англ. — 10. Харламов В. И. Некоторые концептуальные аспекты защиты информации / В. П. Харламов // Вопросы защиты информации. 1994. - — № 1. М. : ВНИИМИ. И. Ухлинов Л. М. Международные стандарты в области обеспе¬ данных в сетях ЭВМ. Состояние и направления № 6. 1991. развития / Л. М. Ухлинов // Электросвязь. чения безопасности — 12. Гайкович В., — Першин А. Безопасность электронных банков¬ ских систем / В. Гайкович, А. Першин. М. : Единая Европа, 1994. — 357 Литература Герасименко В. А. Защита информации в автоматизирован¬ ных системах обработки данных / В. А. Герасименко. М. : Энер\3. — гоатомиздат, 1994. Мафтик С. Механизмы защиты в сетях ЭВМ / С. Мафтик. М. : Мир, 1993. 14. — \5. Лебедев А. Н. Открытые системы для «закрытой» информа¬ Вып. 3. 1993. ции / А. Н. Лебедев // Открытые системы. — — 16. Гостехкомиссия РФ. Временное положение по организации разработки, изготовления и эксплуатации программных и техниче¬ ских средств защиты информации от несанкционированного досту¬ автоматизированных системах и средствах вычислительной тех¬ М. : Восниздат, 1992. па в ники. — 17. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информа¬ — ции. М. : 1992. 18. Защита информации в персональных ЭВМ / А. В. Спесив¬ М. : Радио и связь Вес¬ цев, В. А. Вегнер, А. Ю. Крутяков и др. — — та, 1992. 19. Ларионов А. М., Майоров С. А., Новиков Г. Н. комплексы, системы Г. Н. Новиков. — Л. : и Вычислительные / А. М. Ларионов, С. А. Майоров, сети Энергоатомиздат, 1987. 20. Мельников Ю. Н. Достоверность информации в сложных сис¬ темах / Ю. Н. Мельников. 21. Протоколы и — методы М. : Сов. радио, 1973. в сетях передачи данных / М. : Радио и связь, 1985. управления под ред. Ф. Ф. Куо ; пер. с англ. — 22. Давыдовский А. И., вычислительных сетях Дорошкевич П. В. Зашита информации в / А. И. Давыдовский, П. В. Дорошкевич // Зарубежная радиоэлектроника. 23. Хоффман Л. Дж. ции — 1989. Современные / Л. Дж. Хоффман ; пер. с англ. — — № 12. методы защиты информа¬ М. : Сов. радио, 1980. 24. Шураков В. В. Обеспечение сохранности информации в сис¬ темах обработки данных / В. В. Шураков. М. : Финансы и стати¬ — стика, 1985. Герасименко В. А. Проблемы защиты данных в системах их обработки / В. А. Герасименко // Зарубежная радиоэлектроника. 25. — 1989. - № 12. 26. Буланов В. Д., Козырь В. И., Конашев В. В. О возможном под¬ ходе к комплексной оценке защищенности объекта АСУ / В. Д. Бу- 358 Литература ланов, В. И. Козырь, В. В. Конашев. Сб. статей / Вопросы спец, ра¬ — диоэлектроники. Сер. СОИУ. — 1989. — Вып. 23. 27. Шураков В В. Надежность программного обеспечения сис¬ тем обработки данных / В. В. Шураков. М. : Статистика, 1987. — СяоД., Керр Д., Мэдник С. Защита ЭВМ / Д. Сяо, Д. Керр, С. Мэдник ; пер. с англ. М. : Мир, 1982. 29. Герасименко В. А., Размахнин М. К. Программные средства за¬ щиты информации в вычислительных, информационных и управ¬ ляющих системах и сетях / В. А. Герасименко, М. К. Размахнин // № 5. 1986. Зарубежная радиоэлектроника. 28. — — — 30. Протоколы и методы управления в сетях передачи данных / М. : Радио и связь, 1985. под ред. Ф. Ф. Куо ; пер. с англ. — 3\. Галкин В. А., Кононыхин В. Н. Абонентские но-управляющие системы телеобработки данных В. Н. Кононыхин. М. : Высш, шк., 1990. информацион/ В, А, Галкин, — 32. Диев С. И. Защита информации в персональных компьюте¬ № 12. 1989. рах / С. И. Диев // Зарубежная радиоэлектроника. — 33. Натзоп М. А., Ки^о И< Г., М. А. НапФоп, ОрегаНоп 8у81егп8 / Соттишсабоп оГ Фе АСМ. 34. РиШу 6. В. А — НфН Соттитсабоп8 оГ Фе АСМ. — — Уе1топ I. О. Оп Рго(есбоп V/. У. Вигго, I. Э. Уе1топ // 1975. Ьо§ Зесигку Уо1. 17. № 8. — — 1п Аи§. 1974. Ргосебиге, Предметный указатель 1-й контур защиты 166 2-й контур защиты 166 Возможные каналы несанкциониро¬ информации КСА и средства защиты, рекомен¬ ванного доступа к А дуемые для их перекрытия 254 Абонентские пункты 37 Возможные каналы несанкциониро¬ Аддитивные методы шифрования 87 информации персональных компьютеров 286 Возможные каналы несанкциониро¬ Адекватность функциональности 247 Активный перехват 57 Алгоритм ОЕ8 95 Алгоритм контроля и управления разграничением доступа 170 ванного доступа к ванного доступа к информации сети Возможные каналы НСД к информа¬ ции персонального компьютера Алфавит 17 Анализ потока сообщений 57 Арифметическо-логическое устройство 28 Аутентификация 69 275 и средства защиты, рекомендуемые для их перекрытия 305 Временная диаграмма контроля не¬ санкционированного доступа 132 Временная избыточность 106 Встроенная система контроля Б и Безопасная информационная сеть и автоматизированная система управления Выбор пароля 176 Вычислительные сети 37 155 Безопасность действий 15 Безопасность информации 3, 146 Безопасность информации в разграничение доступа 143 информационных сетях 208 Безответственность пользователя 245 Г Гаммирование 88 Гарантированность 247 Глобальные, информационные и вычислительные сети Блок 20 Головные компьютеры — 38 серверы 36 В Важная информация 13 Вероятность обнаружения и блокировки 259 Вероятность преодоления преграды нарушителем 257 Виды и формы представления информации 16 Виртуальный канал передачи 39 Возможные каналы несанкциониро¬ ванного доступа 53 д Два вида возможных каналов несанк¬ ционированного доступа к инфор¬ автоматизированной систе¬ (сети) 149 Дейтаграммный способ передачи 39 мации мы управления Держатель информации 13 Децентрализованная обработка информации 122 360 Предметный указатель Дискретные сообщения 17 Информационная (компьютерная) Дистанционный пульт управления 29 обработки информации 33 Информационная избыточность 106 Дифференцированное разграничение доступа пользователей к информа¬ ции и данным 117 система или система Информационная система с безопас¬ ной обработкой данных 147 Документированная информация 23 Доступ к основным загрузочным Информационно-вычислительные сети 37 и текущим настройкам операцион¬ ной системы 283 Дублирование контроля 203 Дублирование оборудования 101 Информационные сети 37 Информация 12 Источник информации 13 Итоговая прочность системы 260 Ж К Жизненно важная незаменимая Канальное шифрование 220 информация 13 Категории угроз безопасности 58 Задача средств ограничения Коммерческая тайна 338 доступа 63 Задачи системы опознания и Классификация методов шифрования информации 78 Компьютерная система с закрытым доступом 47 разграничения доступа 175 Компьютерная система с ограничен¬ Запись 20 ным доступом Защита кодов паролей 180 47 Компьютерная система с открытым Зона или сектор 21 доступом 47 Компьютерное представление инфор¬ И мации 17 Идентификация 69 Идентификация и установление подлинности документов 74 Идентификация и установление подлинности информации на средствах отображения 77 Компьютерные (информационные, вычислительные) сети 34 Компьютерные вирусы 296 Компьютерные комплексы или ком¬ обработки 33 Контролируемый возможный канал плексы Идентификация и установление подлинности личности 70 Идентификация и установление под¬ линности технических средств 74 Изменение потока и содержания сообщений 58 Изоляция областей доступа к информации 109 Индекс соответствия 89 Инициирование соединения 58 ложного Интерфейсные процессоры 37 Интерфейсные серверы 37 несанкционированного доступа Контроль доступа к 142 аппаратуре 65 Контроль по модулю ЮО Конфиденциальность информации 14 Корректность 247 Л Локальная компьютерная сеть 309 Локальная сеть 4! Локальные информационные и вычислительные сети 38 Локальные сети как объект защиты информации 309 361 Предметный указатель М Непрерывное сообщение 17 Мандатные схемы НО Несанкционированный доступ 125 Массив 20 Несущественная информация 13 Носители кодов паролей 183 Матрица установления полномочий 172 Межконцевое шифровании 221 О Методы замены (подстановки) 83 Обеспечение целостности данных 228 Методы и средства защиты Обучение персонала 206 Объекты идентификации 70 Объем алфавита 17 информации от ПЭМ ИН 97 Методы и средства защиты информа¬ воздействий 98, 99, 101, 103, 105, 107, 109, 111 Методы контроля достоверности 105 Методы обеспечения безопасности информации 61 ции от случайных Методы обеспечения безопасности информации при аварийных ситуациях 112 Методы перестановки 81 Методы функционального контроля 99 Минимизация информации и данных, доступных персоналу 203 Минимизация сведений, доступных персоналу 202 Минимизация связей персонала 202 Многомашинный компьютерный (вычислительный) комплекс 31 Ограничение доступа 62 Одномашинная система обработки информации и данных 31 Однородные сети 38 Организационные мероприятия по обеспечению безопасности информации ИЗ Организационные меры по контролю и управлению безопасностью информации 201 Оргмеры внутри организации в конкретных условиях ИЗ Основной контур защиты 166 Оценка защищенности информации в информационной системе 250 Оценка прочности СОРДИ 257 Оценка уровня безопасности инфор¬ мации от преднамеренного несанк¬ Многопроцессорный комплекс 32 ционированного доступа в локаль¬ Многоуровневая защита 137 ных сетях 330 Модель многозвенной защиты /34 Оценка уровня безопасности инфор¬ Модель многоуровневой защиты 137 мации от преднамеренного несанк¬ Модель нарушителя 251 ционированного доступа в персо¬ Модель поведения потенциального нарушителя 125 Модель предмета зашиты и безопас¬ нальных компьютерах 305 Оценка эффективности средств управления 267 информации 15 Модель элементарной защиты 127 Модификация информации 146 Мощность механизма защиты 247 Ошибки пользователя, приводящие н Память 28 Нарушитель 13 Параллельное проектирование 156 Неконтролируемый канал несанкцио¬ Пассивный перехват 57 ности нированного доступа Неоднородные сети 38 143 к заражению 304 Ошибки человека 50 П Персональные данные 344 Персональные компьютеры 37 362 Предметный указатель Персональные компьютеры как Распределение возможных каналов объект защиты 279 несанкционированного доступа по классам Подлинность 222 141 Распределение средств защиты по Поле 19 Полезная информация возможному каналу несанкциони¬ 13 рованного доступа (ВКНСД) локальной компьютерной сети Попытка несанкционированного проникновения 245 Последствия угроз 48 (ЛКС) 330 Региональные сети 38 Потенциальные угрозы безопасности информации в локальных сетях 314 Потенциальные угрозы информации, обрабатываемой в персональных компьютерах 284 Потенциальные угрозы ПЭМ ИН 96 Правило защиты любого предмета 134 Преграда 127 Преднамеренные угрозы 140 С Связные процессоры 36 Сетевой клиент 310 Сеть передачи информации 36 Система безопасности ресурса 118 Система защиты информации от несанкционированного доступа потенциальные Преднамеренные угрозы 48 Прерывание передачи сообщений 58 Программно-аппаратный интерфейс 31 Производный шифр 92 Проникновение 246 (НСД) в персональных компьютерах 287 Система зашиты информации от несанкционированного доступа в локальных сетях 317 Система образования замкнутых защитных оболочек от несанкцио¬ нированного доступа к аппаратуре, программному обеспечению и ин¬ Процедура заполнения потока 228 формации в персональных Процедура подтверждения компьютерах 294 характеристик данных 229 Процедуры аутентификации 228 Прочность контролируемой преграды 134 Система опознания и разграничения доступа к информации (СОРДИ) 168 Система с открытым ключом 94 Прочность неконтролируемой преграды 134 Система требований Р структурой 33 Системы телеобработки информации 34 Рабочее место службы безопасности информации 197 Разграничение доступа в информаци¬ онной системе 66 Разграничение доступа пользовате¬ лей-потребителей 67 Разграничение полномочий пользова¬ телей 171 к алгоритму шифрования 93 Системы с динамической Слово 20 Случайные потенциальные угрозы 140 Случайные угрозы 48 Списковые схемы 110 Средства безопасности информации в каналах связи 216 Разделение полномочий (привилегий) 202 Средства контроля и управления Разделение привилегий на доступ Средства повышения достоверности к информации 68 доступом 176 информации 217 363 Предметный указатель Средства управления безопасностью информации в автоматизированной системе управления 216 Средства управления защитой информации в комплексе средств автоматизации обработки информации 196 Средства управления защитой инфор¬ мации в локальных сетях 322 Средства защиты информации в трактах передачи информации 215 Статья 272 УК РФ 342 Статья 273 УК РФ 343 У Узел коммутации 208 Узлы (центры) коммутации и маршрутизации 36 Упорядоченность 222 Управление доступом 228 Управление маршрутом 228 Управляющее устройство 29 Уровень секретности 14 Уровни взаимодействия открытых систем 219 Условно-постоянная информация 22 Устройство вывода 29 Статья 274 УК РФ 343 Утечка информации 146 Стек протокола 310 Стратегии нарушителя 59 Структура информационной базы информационной системы 25 Структура системы безопасности информации в автоматизированной системе управления 214 Структурная избыточность 106 Структурная схема автоматизирован¬ рабочего места службы без¬ опасности информации 326 Утрата информации 146 Ф Файл 21 Функции СОРДИ 195 Функциональный контроль задачи 99 ц Целостность 222 ного Централизованная обработка информации 122 Структурная схема системы защиты информации в локальных сетях Централизованные средства 329 Структурная схема системы обеспече¬ ния безопасности информации в комплексе ее Центр управления сетью 315 управления 143 Центры коллективного пользова¬ ния средств автоматизации - ЦКП 36 Цифровая подпись 227 обработки 165 Т ч Таблица Вижинера 84 Таблица кодов паролей 173 Теорема Харрисона 119 Четыре защитных пояса Четыре 119 класса безопасности ш Терминал службы безопасности 197 Том 21 Топология сети 39 Шифрование данных 227 Штатные каналы санкционированно¬ го доступа 139 Тракты передачи данных в автомати¬ зированной системе управления 229 Требования, предъявляемые дам защитного преобразования 79 Три способа физического представле¬ к мето¬ ния 126 информации 21 Троирование оборудования 101 э Этап создания системы 114 Эффективность 247 Оглавление Предисловие 3 Введение 9 Раздел I. АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ КАК ОБЪЕКТЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 12 Глава 1. Предмет безопасности информации 12 Глава 2. Объекты информационной безопасности 26 Глава 3. Потенциальные угрозы безопасности информации в Раздел II. информационных системах 48 МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ 61 Краткий обзор методов обеспечения безопасности информации 61 Глава 2. Ограничение доступа 62 Глава 3. Контроль доступа к аппаратуре 65 Глава 4. Разграничение и контроль доступа к информации Глава 1. в системе 66 Глава 5. Разделение привилегий на доступ 68 Глава 6. Идентификация и установление подлинности объекта (субъекта) Глава 7. 69 Криптографическое преобразование информации 78 Оглавление Глава 8. 365 Защита информации от утечки за счет побочного электромагнитного излучения и наводок 96 (ПЭМИН) Глава 9. Методы и средства защиты информации от случайных воздействий 98 Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях 112 Глава 11. Организационные мероприятия по обеспечению безопасности информации Раздел III. ИЗ ПРОЕКТИРОВАНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ ИНФОРМАЦИИ И ДАННЫХ Глава 1. Концептуальные основы проектирования системы обеспечения безопасности информации в Глава 2. 116 информационных системах 116 Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации Раздел IV. 156 ПОСТРОЕНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОМПЛЕКСАХ СРЕДСТВ АВТОМАТИЗАЦИИ ЕЕ ОБРАБОТКИ 161 Глава 1. Исходные предпосылки 161 Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации 163 Глава 3. Система опознания и разграничения доступа к информации (СОРДИ) 168 Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (ПНСД) при вводе, выводе и транспортировке 189 Збб Оглавление Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки 194 информации информационной системы Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств 204 автоматизации информационных систем Раздел V. БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ 208 Глава 1. Анализ объектов обеспечения безопасности 208 информации и постановка задачи Глава 2. Принципы построения системы безопасности информации в информационных сетях и Глава 3. Эталонная модель открытых систем Глава 4. Механизмы безопасности информации в Глава 5. 213 автоматизированных системах управления трактах передачи данных и в каналах связи 217 .... 220 Рекомендации по безопасности информации в телекоммуникационных каналах связи 225 Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы Глава 7. управления Управление доступом к информации в сети передачи и в автоматизированной системе управления Глава 8. Глава 1. 237 Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах Раздел VI. 229 управления ОЦЕНКА УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ 241 244 Анализ методов оценки защищенности информации 244 Оглавление Глава 2. 367 Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в Глава 3. 249 информационной системе Метод оценки уровня безопасности информации в комплексе средств автоматизации 253 обработки информации Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в Раздел VII. автоматизированных системах управления .... 273 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРАХ И ЛОКАЛЬНЫХ СЕТЯХ Глава 1. 279 Безопасность информации в персональных 279 компьютерах Глава 2. Обеспечение безопасности информации 309 в локальных сетях Раздел VIII. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 334 Глава 1. Информация как объект права собственности Глава 2. Информация как коммерческая тайна 338 Глава 3. Персональные данные 344 .... 334 Заключение 351 Литература 356 Предметный указатель 359