Прочность защиты - дело тонкое !


Виталий Мельников
Виталий МЕЛЬНИКОВ, НИИАА им. В.С. Семенихина
Журнал "Сети" #03/99
(Издательство "Открытые Системы")

Что именно и от чего именно нужно защитить? Неопределенность постановки задачи ведет к неопределенности ее решения. Для задач защиты компьютерных сред существенно еще и то, что невозможна количественная оценка истинной прочности защиты.

Сегодня концепция безопасности информации в компьютерных системах предполагает защиту вычислительной среды, в которой работают множество <субъектов> (пользователей и процессов) со множеством <объектов> (ресурсов и наборов данных). Эта защита должна обеспечиваться множеством специальных процедур, способных под управлением некоего ядра безопасности реализовать санкционированный доступ <субъектов> к <объектам> и защиту последних от всех внешних и внутренних угроз - возможных несанкционированных действий <субъектов-нарушителей> и случайных процессов.

Сложность решения этой задачи очевидна - исходные данные неопределенны. Неизвестно все: предмет защиты (множество <объектов> доступа); виды и количество угроз; <субъекты> доступа (множество процессов); возможные механизмы взаимодействия <субъектов> с <объектами> (поскольку в самой концепции нет привязки к объектам ее реализации - компьютерным системам). Если число штатных <объектов> и <субъектов> доступа (кроме процессов) в конкретной системе еще как-то можно определить, то виды и количество процессов, возможных преднамеренных (несанкционированных) и случайных воздействий в сетях (особенно в региональных или глобальных) учету не поддаются. Проверить стойкость защиты к каждой ожидаемой угрозе вообще не представляется возможным.

Создаваемая защитная среда носит сугубо декларативный характер, так как нельзя определить ее границы и <плотность>, т. е. отсутствует механизм образования защитной оболочки. На практике защитная среда реализуется в виде набора функций, который определен нормативными документами. Однако в этих документах отсутствуют количественные показатели прочности защиты и используется лукавый термин <защищенность>. Печальный вывод очевиден: в основу проектирования защиты априори закладываются пути ее обхода, а получение аттестата о наличии у вас <самой красивой морковки> не означает, что она у вас вообще есть.
Не сменить ли курс?

Вспомним, что решение любой проблемы как в науке, так и в повседневной жизни начинается с поиска уже готовых решений. В нашем случае такое решение известно всем: для защиты какого-либо ценного предмета вокруг него сооружается некая физическая и/или интеллектуальная замкнутая преграда, преодоление которой в достаточной мере не по силам потенциальному нарушителю. Этот принцип используется, например, в системах охранной сигнализации вокруг локальной вычислительной системы. Но в самой вычислительной системе реализовать принцип создания защитной оболочки пока не удалось никому.

Это станет возможным при изменении концептуального подхода к постановке задачи. Следует установить: что, где, от чего и когда требуется защитить? Путь к успеху идет через непростую, но решаемую задачу обобщения множества вычислительных структур вплоть до физического уровня <объектов> - устройств, технических средств, автоматизированных систем обработки информации и физических связей между ними. Затем нужно определить типовые элементы обработки информации с позиций сосредоточения и распределения защищаемых данных, разработать общие и типовые решения для таких элементов и для более сложных структур.
Объекты и субъекты

Предметы защиты могут быть весьма различными по ценности и важности, более того - принадлежать разным собственникам. Предметом нашей защиты, по определению, является информация, поэтому следует выделить ее из множества <ресурсов> и защищать последние только тогда, когда обеспечить безопасность самой информации сложно. И даже не все ресурсы, а только те из них, через которые возможен доступ к сведениям, или те, несанкционированный доступ к которым ставит под угрозу право собственника беспрепятственно работать со своими данными.

Но в одной компьютерной системе могут циркулировать разные виды информации, принадлежащие разным собственникам. Например, несколько региональных и глобальных автоматизированных систем управления (АСУ) различного назначения могут использовать одну или несколько связанных между собой вычислительных сетей. По общей сети передаются несколько видов информации, принадлежащих разным АСУ, а также собственные данные этой сети.

Если у сети свой владелец, то он несет ответственность за доверяемую ему информацию перед каждым владельцем АСУ, и уровень доверия и ответственности определяется рамками соглашений, обеспечивающих безопасность данных. Если каждая система принадлежит государственной организации, то за информацию (в рамках своих полномочий и цены этой информации) отвечают должностные лица.

Перед проектированием системы должны быть определены перечень, цена, владельцы, места сосредоточения и циркуляции в ней сведений, подлежащих защите.

Принципиально важным моментом постановки задачи защиты в общем виде является выбор такой типовой структуры системы обработки информации, которая позволила бы распространить ожидаемые результаты решения этой задачи на частные случаи (от ПК до глобальной сети) независимо от аппаратной и программной платформ, на которых они базируются.

Обычно используются два принципа обработки информации - централизованный и распределенный. В соответствии с первым функционируют вычислительные комплексы с централизованной архитектурой, узлы коммутации сообщений, рабочие станции, автоматизированные рабочие места и вспомогательные технические средства (серверы, маршрутизаторы, концентраторы, коммутаторы и др.). Второй принцип применяется в локальных, региональных и глобальных сетях, а также в АСУ соответствующих масштабов. По сути, вычислительная сеть - та же АСУ, только с двухступенчатой иерархией управления.

Системы с централизованной обработкой данных могут являться элементами сети или АСУ. Но элементами последних могут быть и локальные вычислительные сети (ЛВС), в состав которых входят свои системы с сосредоточенной обработкой данных. Более того, несколько таких ЛВС могут быть объединены в одном элементе сети и т. д.

Для решения поставленной задачи сначала рассмотрим более простые структуры - с централизованной и распределенной обработкой данных. Первую назовем комплексом средств автоматизации (КСА) , а вторую представим в двух видах - АСУ и сети передачи данных (СПД), абонентами и узлами коммутации которой являются КСА, образующие с помощью оборудования передачи данных и каналов связи упомянутую АСУ.
Потенциальные угрозы

Условия сохранения права собственности определяют виды угроз для информации: это утечка, модификация и утрата. Под утечкой информации понимается несанкционированное ознакомление с ней постороннего лица. Модификация - несанкционированное изменение информации на корректную по форме и содержанию, но другую по смыслу. Понятие утрата объединяет и хищение, и искажение с потерей смысла, и уничтожение или недоведение информации до адресата. Все остальные угрозы в конечном итоге сводятся к этим трем. Угрожающие события могут происходить случайно (из-за ошибок пользователей, сбоев или отказов аппаратуры, алгоритмических или программных ошибок, аварийных ситуаций, стихийных бедствий) или создаваться нарушителем преднамеренно.

Нарушителем может стать любой - законный пользователь или постороннее лицо, одиночка или член организованной группы, имеющей доступ к компьютерной системе, человек любой квалификации. Эти исходные данные следует учитывать.

Определим <точки приложения угроз>. Случайные воздействия возможны в любой точке системы, т. е. на всей ее <площади>. Момент воздействия определяется законами случайных чисел. Методы анализа случайных процессов достаточно хорошо исследованы, поэтому соответствующие средства защиты и методы оценки их эффективности уже разработаны.

Преднамеренные действия нарушителя начинаются на периметре системы. Нарушением считается попытка доступа к любой части информации, подлежащей защите. Точно предсказать время и характер его действий нельзя, поэтому целесообразно выбрать наиболее опасную для компьютерной системы модель возможного поведения и <характера> нарушителя:
он может появиться в любое время и в любой точке периметра системы;
его квалификация и осведомленность будут соответствовать важности защищаемой информации;
постоянно хранимая информация, содержащая принципы работы системы (включая секретную), нарушителю известна;
для достижения своей цели он выберет наиболее слабое звено в защите;
нарушителем может быть не только постороннее лицо, но и законный пользователь системы.

К перечисленным данным целесообразно добавить, что нарушитель действует один, без сообщников, имеющих доступ к конкретной системе. Защита от организованной группы нарушителей - значительно более сложная задача, решить которую можно только после того, как вы разберетесь с простой.
Фундамент защиты Основу любой системы защиты составляют следующие положения.

Обеспечение безопасности информации в компьютерных системах заключается в создании таких условий ее ввода (вывода), хранения, обработки и передачи, при которых гарантируется достаточная степень защиты от утечки, модификации и утраты, а также свободный доступ к данным только их владельца и его доверенных лиц.

При проектировании защиты выполняется определенная последовательность действий. Прежде всего, информация, подлежащая защите в заданной компьютерной системе, классифицируется в соответствии с ее характером, степенью важности и временем жизни. Обязательно учитывается место ее размещения. В зависимости от характера и важности информации выбираются квалификация и модель поведения потенциального нарушителя, по которой устанавливаются виды и число возможных каналов несанкционированного доступа (НСД) к информации и ресурсам. На основе их анализа выбираются готовые или создаются новые средства защиты, способные перекрыть эти каналы. Для защиты информации от случайных воздействий анализируется достаточность средств сохранения надежности системы и обеспечения достоверности и резервирования информации.

Для создания единого постоянно действующего механизма защиты выбранные средства объединяются с помощью выделенных средств централизованного управления в единую автоматизированную систему безопасности информации (СБИ), которая тоже анализируется для выявления возможных путей обхода защиты. Если таковые обнаруживаются, они перекрываются соответствующими средствами.

Стратегия и тактика защиты от преднамеренного НСД заключается в применении средств контроля, блокировки и предупреждения событий. Средства контроля и блокировки устанавливаются на каналах потенциального НСД, если это возможно технически или организационно, а средства предупреждения (превентивные средства) применяются там, где такие возможности отсутствуют.

Получить количественную оценку прочности защиты (вероятности ее преодоления) позволяет временной фактор. Если время контроля и передачи сообщения о НСД в центр управления и контроля защиты меньше ожидаемого времени, затрачиваемого нарушителем на преодоление средств блокировки доступа к информации, то вероятность преодоления средства защиты будет равна 1. При обратном соотношении указанных величин прочность защиты меньше 1. Средства предупреждения НСД обеспечивают достаточную прочность, если ожидаемые затраты времени на преодоление преграды будут больше времени жизни информации, подлежащей защите. Время в защите - решающий фактор!

При расчете прочности средства защиты следует анализировать его с целью поиска <путей обхода>. Если таковые имеются, данное средство дорабатывается. Если путь обхода данного средства <перекрывается> другим средством, то следует рассчитать его. И так следует поступать до тех пор, пока не будет обеспечено полное перекрытие всех возможных каналов НСД. Именно так можно построить виртуальную оболочку защиты информации.

Защитная оболочка.

Средства защиты, перекрывающие возможные каналы НСД к информации компьютерной системы, образуют защитную оболочку. Степень безопасности системы определяется полнотой перекрытия этих каналов и возможных путей обхода средств защиты.

Прочность защитной оболочки определяется наименьшим значением прочности составляющих ее средств защиты. Защитная оболочка должна быть однородной, т. е. состоять из средств защиты, размещаемых на каналах НСД одного типа и построенных по одному принципу. В компьютерной системе целесообразно иметь виртуальные защитные оболочки двух видов - контролируемую и превентивную. В компьютерной системе с централизованной обработкой данных, например на базе мэйнфрейма, возможны контролируемые и неконтролируемые каналы НСД. К первым относятся терминалы пользователей, средства отображения и документирования информации, ремонтируемая аппаратура, средства загрузки ПО, линии связи между техническими средствами, технологические пульты и органы управления, документы, внешние каналы связи (если данная система является абонентом вычислительной сети). Неконтролируемых источников несколько меньше - носители информации, носители с остатками информации, мусорная корзина, побочное электромагнитное излучение и наводки в сетях питания, заземления и в <посторонних> коммуникациях.

На всех указанных каналах можно установить соответствующие средства защиты, образующие виртуальные защитные оболочки. Например, контролируемую оболочку могут составить система контроля за доступом в помещения, средства идентификации и аутентификации внешних и внутренних пользователей, контроля за вводом/выводом, за доступом к загрузке ПО, за вскрытием аппаратуры, за доступом к документам.

Превентивную защитную оболочку на неконтролируемых каналах создают другие средства, которые обеспечивают шифрование информации (хранимой или транспортируемой на носителях), ее удаление с помощью наложения на исходные данные случайной последовательности символов, гарантированное физическое уничтожение неремонтируемых носителей с остатками данных, уменьшение электромагнитного излучения и активного зашумления полезного сигнала.

К показателям прочности выбранных средств защиты для каждой оболочки следует добавить показатель прочности защиты от НСД при <законном> входе в систему пользователя с помощью пароля. Количество символов пароля и алфавит символов, из которых он выбирается, должны отвечать специальным условиям. Эти условия определяют зависимость длины пароля и набора символов от вероятности проникновения в систему за определенное число (набор) попыток. После каждого такого набора должно вырабатываться сообщение о НСД.

Специалисты наверняка обратят внимание на то, что в данной концепции не указывается на необходимость присутствия в оболочке средств регистрации, контроля за целостностью ПО и антивирусных средств. Безусловно, они необходимы, но - лишь для проведения следствия по уже произошедшему событию. К этим средствам обращаются относительно редко - в основном, в начале или по окончании работы, а также по инициативе оператора.

В системах с распределенной обработкой данных (сетях и АСУ) к возможным каналам НСД следует отнести средства автоматизации и каналы связи. Сначала рассмотрим каналы связи. Как и ранее, наиболее опасный случай - когда потенциальный нарушитель имеет свободный доступ к таким каналам, а следовательно, к кодограмме, которая содержит не только информацию, но и адресацию системных связей между средствами автоматизации.

Кажется, что при отсутствии защиты нарушитель может воспользоваться кодограммой как угодно. На самом деле, максимальный перечень его несанкционированных действий хорошо известен. В него входят:
изменение, удаление, задержка, переупорядочение, дублирование регулярных и посылка ложных сообщений;
воспрепятствование передаче сообщений;
осуществление ложных соединений;
чтение содержания сообщений;
анализ трафика и идентификаторов абонентов сети;
чтение и использование пароля законного пользователя;
нарушение своих полномочий законным пользователем при обращении к запрещенной для него информации.

Правда, в последнее время к этому перечню добавляются действия нарушителей особого рода: отказ отправителя от собственного сообщения, а получателя - от принятого, повторы сообщений и передача различного рода информационного <мусора>. В зависимости от ожидаемой модели поведения нарушителя перечень может быть сокращен. В любом случае он конечен, т. е. задачу можно достаточно строго определить.

Все ожидаемые действия нарушителя следует разделить на контролируемые и не контролируемые техническими средствами. И здесь существенную роль играет время. При попытках несанкционированного чтения кодограммы время противостояния защиты, или ожидаемое время преодоления ее нарушителем, должно превышать время жизни защищаемой информации. Поэтому необходимы средства своевременного обнаружения и блокировки попыток НСД. Отсутствие таких средств в современных системах и является основной причиной успешных действий нарушителей, и здесь следует признать некоторую положительную роль межсетевых экранов (МЭ).

В настоящее время в системах с распределенной обработкой информации широко применяются средства криптографического преобразования данных (линейное и абонентское шифрование, цифровая подпись) и упомянутые МЭ. При этом в тракте передачи данных от пользователя к пользователю криптосредства не всегда защищают содержательную и служебную части кодограммы. Выполняемые такими средствами функции не объединены общей целью - создания единой прочной оболочки защиты, в которой применяемые средства безопасности дополняют друг друга. А отсутствие конечного перечня возможных угроз не позволяет обосновать расчетами степень защищенности, которую обеспечивают средства предупреждения.

При проектировании защиты служебной части кодограммы следует сохранять некоторые адреса и служебные признаки в открытом виде. Отдельные части кодограммы формируются и читаются на разных этапах ее обработки разными устройствами, узлами сети и аппаратуры абонентов. Для каждого из формируемых признаков и частей кодограммы должен быть свой ключ шифрования, а также лицо или служба, ответственные за их распределение и последующую замену.

Обратим внимание на существенную разницу во времени жизни содержательной и служебной частей кодограммы. Содержательная часть может сохраняться десятки лет, а служебная - не более 10 мин (время доведения сообщения до адресата). Это позволяет снизить требования к стойкости шифрования служебных частей, упростить само шифрование и уменьшить время обработки кодограммы. Не останавливаясь подробно на уже известных средствах защиты и их возможностях, подчеркнем, что перечень <типичных> НСД конечен, а значит, соответствующие им средства защиты можно точно определить (см. таблицу).

Защита: действие и противодействие

Очевидно, что полнота защиты от перечисленных в таблице НСД будет определять степень защищенности оболочек (как контролирующей, так и превентивной). Их прочность раcсчитывается аналогично защите средств автоматизации. Заметим, что средства защиты от таких нарушений, как отказы законных пользователей от принадлежащих им документов, не должны входить в состав средств оболочки - они выполняют другую задачу. Эти отказы регистрируются в центре управления и контроля за сообщениями. Вполне возможно, что средства защиты сетевых ресурсов от повторов сообщений и информационного <мусора> также будут автономными, - практика покажет.

Объединение функций контроля, подготовки ключей шифрования и создания цифровой подписи в рамках управляющего элемента защиты АСУ и СПД позволит создать в каждой системе единую структуру защиты с гарантированными показателями - автоматизированную систему безопасности информации. Для уменьшения времени, которое требуется системе контроля для реакции на сигнал о НСД, в региональных и глобальных системах предлагается передавать сигнал в первую очередь на средства управления защитой того элемента АСУ (сети), который подвергся нападению, а только затем - на централизованные средства управления. Следовательно, необходимо иметь подобные средства на каждом элементе АСУ и сети. В настоящее время в роли датчиков обнаружения НСД могут выступать МЭ.

В конечном итоге, оценка прочности защиты в системе с распределенной обработкой данных будет состоять из группы показателей, число которых зависит от степени важности защищаемой информации. В общем виде это следующие показатели:
минимальная прочность контролируемой оболочки (КСА АСУ);
минимальная прочность превентивной оболочки (КСА АСУ);
показатель стойкости пароля пользователя (КСА АСУ);
группа показателей прочности защиты кодограммы;
группа показателей СПД.

В группу показателей прочности защиты кодограммы войдут показатели прочности контролируемой и превентивной оболочек защиты кодограммы. Группа показателей СПД будет содержать показатели минимальной прочности контролируемой и превентивной защиты, а также показатель стойкости пароля пользователя (КСА СПД).

Если степень важности инфомации, циркулирующей в отдельных КСА и каналах связи, выше среднего показателя, то их показатели защиты задаются дополнительно отдельным перечнем.
От простого к сложному

Предложенный подход построения защиты применим как для простых, так и для сложных систем. В ЛВС системы с централизованной обработкой данных - это серверы или рабочие станции. Перечень возможных несанкционированных действий на линиях связи можно сократить, так как ЛВС размещаются на контролируемой территории.

Одна система безопасности имеет право существовать только в вычислительной системе с централизованной обработкой данных. В системах с распределенной обработкой данных (особенно в региональных и глобальных) их должно быть несколько, в зависимости от количества входящих в АСУ самостоятельных структур, которые выполняют системные и собственные задачи, имеют свои средства администрирования и управления. Если эти структуры входят в АСУ, то их отношения имеют иерархический характер.

* * *

По мнению автора, предлагаемый концептуальный подход отвечает привычному и понятному всем смыслу защиты. В то же время он позволяет точно и юридически строго обозначить предмет защиты в соответствии с его важностью, выбрать ожидаемую модель поведения нарушителя, провести на ее основе глубокий всесторонний анализ любой компьютерной системы для выявления возможных каналов НСД к информации и перекрыть такие каналы средствами, защитные показатели которых подтверждены расчетами. Все это обеспечивает построение научно обоснованной оболочки защиты с гарантированной заданной прочностью.

Кроме того, за счет определенности постановки задачи и точности ее решения предлагаемый подход позволяет значительно упростить систему оценок уровня безопасности информации и одновременно усилить защиту. Реализация изложенной методики потребует разработки новых нормативных документов, необходимость в которых уже очевидна. Применение существующих средств защиты отнюдь не исключено, более того, может оказаться успешным, но - в рамках данного подхода.
ОБ АВТОРЕ
Виталий Мельников - главный специалист НИИ автоматической аппаратуры им. академика В. С.

Обновлено: 11.03.2015