Роберт Шекли «Абсолютная защита. Принципы построения системы инженерно-технической защиты информации

Глава 10 Цвета в интерьере, расположение мебели, детали декора, использование амулетов в соответствии с определенными зонами. Талисманы и защита рабочего кабинета, спальни, ванной, коридора. Защита дома и придомовой территории. Офис Советы при покупке квартиры, дома,

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

• Потеря информации вследствие повреждения носителей – жестких дисков;
• Ошибки в работе программных средств;
• Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

• Препятствие;
• Маскировка;
• Регламентация;
• Управление;
• Принуждение;
• Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии , при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

• Физические;
• Программные и аппаратные;
• Организационные;
• Законодательные;
• Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

• D – нулевой уровень безопасности;
• С – системы с произвольным доступом;
• В – системы с принудительным доступом;
• А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

• Снабжение метками секретности всех ресурсов системы;
• Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
• Структурирование доверенной вычислительной базы на хорошо определенные модули;
• Формальную политику безопасности;
• Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или .

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

Принципы организации защиты (противодействие угрозам безопасности)

Принцип максимальной дружественности - не надо вводить запреты там, где можно без них обойтись (на всякий случай); вводить ограничения нужно с минимальными неудобствами для пользователя. Следует обеспечить совместимость создаваемой СЗИ с используемой ОС, программными и аппаратными средствами АС.

Принцип прозрачности - СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.

Принцип превентивности - последствия реализации угроз безопасности информации могут потребовать значительно больших финансовых, временных и материальных затрат по сравнению с затратами на создание комплексной системы защиты.

Принцип оптимальности - Оптимальный выбор соотношения различных методов и способов парирования угроз безопасности при принятии решения позволит в значительной степени сократить расходы на создание системы защиты и поддержание процесса ее функционирования.

Принцип адекватности - применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости.

Принцип системного подхода - заключается во внесении комплексных мер по защите информации на стадии проектирования ЗАС, включая организационные и инженерно-технические мероприятия. Важность этого принципа состоит в том, что оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.

Принцип комплексности - в ЗАС должен быть предусмотрен комплекс мер и механизмов защиты - организационных, физических, технических, программно-технических.

Принцип непрерывности защиты - функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности.

Принцип адаптивности - система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.

Принцип доказательности - При создании системы защиты необходимо пользоваться существующими формальными моделями безопасных систем для доказательства эффективности защиты к атакам некоторых типов, входящих в рамки разработанных формальных моделей. Другим аспектом этого принципа является логическая привязка логического и физического рабочих мести друг к другу, а также применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации (например ЭЦП). К этому же принципу можно отнести необходимость использования сертифицированных СЗИ и сертифицирования ЗАС в целом.

Более детальное и конкретное раскрытие этих принципов можно дать в следующем виде:

Экономическая эффективность . Стоимость средств, защиты и их эксплуатации должна быть ниже, чем размеры возможного ущерба.

Минимум привилегий . Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.

Простота . Система защиты тем более эффективна, чем проще с ней работать.

Отключаемость защиты . При нормальном функционировании ЗАС система защиты не должна отключаться. Ее может отключить только сотрудник со специальными полномочиями и только в особых случаях.

Открытость проектирования и функционировании механизмов защиты . Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.

Всеобщий контроль . Любые исключения из множества контролируемых объектов и субъектов защиты снижают уровень защиты ЗАС.

Независимость системы защиты от субъектов защиты . Лица, занимавшиеся разработкой системы защиты не должны быть среди тех, кого будет контролировать эта система защиты.

Отчетность и подконтрольность . Система защиты должна предоставлять доказательства корректности своей работы.

Ответственность . Подразумевается личная ответственность лиц, занимающихся обеспечением информационной безопасности.

Изоляция и разделение . Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.

Полнота и согласованность . Надежная система защиты должна быть полностью специфицирована, протестирована и согласована.

Параметризация . Защита становится наиболее эффективной и гибкой, если допускает изменение своих параметров со стороны администратора безопасности.

Принцип враждебного окружения . Система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки как законные пользователи и высокопрофессиональные действия как потенциальные нарушители. Необходимо предполагать, что они обладают достаточной квалификацией, чтобы найти пути обхода система защиты, если таковые будут иметься.

Привлечение человека . Наиболее важные и критические решения должны приниматься человеком.

Отсутствие излишней информации о существований механизмов защиты . Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться, но при этом эффективность механизмов защиты должна быть обеспечена и в случае, если пользователи знают о них.

Осведомленность потенциального противника (нарушителя) . Система защиты должна быть эффективной в случае, когда нарушитель полностью осведомлен о всех используемых механизмах, за исключением паролей и ключевой информации, (сравни с принципом Керхкоффа в криптографии)

Основные методы противодействия угрозам безопасности

Различают четыре основных группы методов обеспечения информационной безопасности АС:

Организационные

Инженерно-технические

Технические

Программно-аппаратные

Организационные методы - ориентированы на работу с персоналом, рассматривают выбор местоположения и размещения объектов ЗАС, организацию системы физической и пожарной безопасности, осуществление контроля, возложение персональной ответственности за выполнение мер защиты, кадровые вопросы.

Инженерно-технические методы - связаны с построением инженерных сооружений и коммуникаций, учитывающих требования безопасности. Это как правило дорогостоящие решения и они наиболее эффективно реализуются на этапе строительства или реконструкции объекта. Их реализация способствует повышению общей живучести ЗАС и дают высокий эффект против некоторых типов угроз. Реализация техногенных и стихийных угроз наиболее эффективно предотвращается инженерно-техническими методами.

Технические методы - связаны с применением специальных технических средств защиты информации и контроля обстановки; они дают значительный эффект при устранении угроз, связанных с действиями криминогенных элементов по добыванию информации незаконными техническими средствами. Технические методы дают значительный эффект по отношению к техногенным факторам, например резервирование каналов и резервирование архивов данных.

Программно-аппаратные методы - направлены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Без этих методов невозможно построить целостную комплексную ЗАС.

Наибольший эффект дает оптимальное сочетание выше перечисленных методов противодействия реализации угроз, информационной безопасности.

При проектировании системы защиты планируемые меры обеспечения защиты часто подразделяют по способам их реализации на:

Правовые (законодательные)

Морально-этические

Административные

Физические

Аппаратно-программные

Такое деление является одним из возможных. Могут применяться более детализованные варианты классификации мер. Способы обеспечения связана с перечисленными выше методами обеспечения информационной безопасности.

Например организационные методы включают организационные правовые морально-этические, административные. Инженерно-технические методы включают физические меры, а технические методы - программно-аппаратные меры. Внутри каждой группы мер и методов можно предложить более детальную градацию.

Рубежи защиты

Перечисленные выше меры по обеспечению безопасности ЗАС могут рассматриваться как последовательность барьеров на пути потенциального нарушителя, стремящегося преодолеть систему защиты. Соответственно этим барьерам выделяются следующие рубежи защиты.

Первый рубеж защиты , встающий на пути человека, пытающегося совершить НСД к информации, является чисто правовым. Нарушитель несет ответственность перед законом. Правовые нормы предусматривают определенную ответственность за компьютерные преступления. С учетом такого рубежа становится понятным, что требуется соблюдение юридических норм при передаче и обработки информации. К правовым мерам защиты информации относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования (доступа) и ответственность за их нарушение. Это является существенным фактором сдерживания для потенциальных нарушителей.

Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. К морально-этическим мерам относится создание таких традиций норм поведения и нравственности, которые способствуют соблюдению правил уважения к чужой информации и нарушение которых приравнивается к несоблюдению правил поведения в обществе. Эти нормы большей частью не являются обязательными и их несоблюдение не карается штрафными санкциями, но их несоблюдение ведет к падению престижа человека, группы лиц или организации в целом. Моральные нормы бывают как неписаными так и оформленными в некий свод правил поведения. "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США" рассматривает как неэтичные действия, которые умышленно или неумышленно:

Нарушают нормальную работу компьютерных систем

Вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.)

Нарушают целостность информации (хранимой или обрабатываемой)

Нарушают интересы других законных пользователей

Третьим рубежом защиты являются административные меры, которые относятся к организационным мерам и регламентируют

Процессы функционирования ЗАС

Использования ресурсов

Деятельность персонала

Порядок взаимодействия пользователей с системой

Данные меры направлены на то, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Административные меры включают:

Разработку правил обработки информации в ЗАС

Совокупность действий при проектировании и оборудовании вычислительных центров и других объектов ЗАС (учет стихийных угроз и охрана помещений и т.п.)

Совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, ответственностью за нарушение правил ее обработки и т.п.)

Организацию надежного пропускного режима

Организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией

Распределение реквизитов разграничения доступа (паролей и информации авторизации и т.п.)

Организацию скрытого контроля за работой пользователей и персонала ЗАС

Совокупность действий при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка, на удовлетворение требованиям защиты, документальная фиксация всех изменений и т.п.)

До тех пор пока не будут реализованы действенные меры административной защиты остальные меры не будут эффективны.

Четвертый рубеж защиты определяется применением физических мер защиты, к которым относятся разного рода механические, электро- и электронно-механические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам ЗАС и защищаемой информации.

Пятый рубеж защиты определяется применением аппаратно-программных средств защиты - электронным устройствам и программам, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:

Идентификацию (распознавание) и аутентификацию (поверка подлинности) субъектов (пользователей, процессов) ЗАС

Разграничение доступа к ресурсам ЗАС

Контроль целостности данных.

Обеспечение конфиденциальности данных

Регистрацию и анализ событий, происходящих в ЗАС

Резервирование ресурсов и компонентов ЗАС Большинство из этих способов защиты реализуется с использованием криптографических методов.

Альтернативная классификация методов защиты и соответствующие им средства защиты

По характеру реализации методов Обеспечения безопасности их можно классифицировать следующим образом:

Препятствие - метод защиты, заключающийся в создании на пути нарушителя к защищаемой информации некоторого барьера. Типичным примером является блокировка работы программно-аппаратных средств при внештатных ситуациях.

Управление - метод защиты, заключающийся в воздействии на элементы ЗАС, включая элементы системы защиты, с целью изменения режимов их работы в интересах решения одной или нескольких задач защиты информации.

Маскировка - метод защиты, заключающийся в ее криптографическом преобразовании в результате которого она является недоступной для НСД или такой доступ является чрезвычайно трудоемким. (Не путать с понятием маскировки как слабого алгоритма шифрования)

Регламентация - метод защиты, создающий такие условия обработки, хранения и передачи информации, при которых возможность НСД к ней сводилась бы к минимуму.

Принуждение - метод защиты, при котором пользователи вынуждены соблюдать правила и условия обработки, передачи и использования информации под угрозой уголовной, административной или материальной ответственности.

Побуждение - метод защиты, создающий побудительные мотивы не нарушать установленные правила работы и условия обработки, передачи и использования информации за счет сложившихся морально-этических норм.

Эти методы реализуются с применением различных средств, которые разделяют на формальные и неформальные .

К формальным относятся средства, которые выполняют свои функции по защите информации преимущественно без участия человека. Они подразделяются на физические, технические, аппаратно-программные и программные.

К неформальным относятся средства, основу содержания которых составляет целенаправленная деятельность людей Они подразделяются на организационные, законодательные и морально-этические.

Физические средства - устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Аппаратные средства - различные электронные или электронно-механические устройства, схемно встраиваемые в аппаратуру и сопрягаемые с ней специально для решения задач защиты информации.

Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.

Соотношение средств и методов защиты поясняется на следующем рисунке.

С.П.Расторгуев

Абсолютная система защиты. Попытка определения.

В статье сделана попытка определить абсолютную систему защиты, относительно которой могут быть оценены любые другие, в том числе и программные системы защиты АИС.

Прежде чем синтезировать абсолютную систему защиты попробуем кратко охарактеризовать основные способы защиты, реализуемые в живой природе. Результаты анализа известных в природе способов защиты схематично могут быть представлены в виде рис. 1.

Рис. 1. Способы защиты.

Способ 1.

Средства пассивной защиты полностью перекрывают все возможные каналы воздействия угроз извне. Это главное требование способа N 1. Обратная сторона данного способа защиты - накладные расходы на поддержание "брони". Так как "броня" является частью всей системы, то её крепость уже оказывает значительное влияние на вес системы и на ее жизнедеятельность.

Способ 2.

Второй способ предполагает отказ от крепкой "брони", отдавая предпочтение изменению расположения в пространстве и во времени.

Размножение (создание собственной копии) также относится ко второму способу защиты с ориентацией на временную координату, представляя собой своего рода передачу эстафетной палочки во времени.

Способ 3.

Девизом этого способа является утверждение, что лучшая защита - это нападение.

Способ 4.

В основе этого способа лежит возможность изменения самого себя. Это приемы типа; слиться с ландшафтом, стать похожим на лист дерева и т.п. Данный способ позволяет стать другим, неинтересным для нападающего объектом.

Важно и то, что, собственное изменение неизбежно отражается на окружающей среде, тем самым изменяя и ее. Можно не пользоваться способом N 3, если хватит ума изменить агрессора так, чтобы он превратился в раба или занялся самоуничтожением. Именно на этом пути в качестве главного оружия выступают инфекции, аналогом которых в кибернетическом пространстве являются, на мой взгляд, компьютерные вирусы. Подробнее данная тема рассмотрена в работе , где показана алгоритмическая общность биологических, социальных, психических и компьютерных инфекций.

Все перечисленные способы прошли тысячелетнюю опытную эксплуатацию и реально существуют в живой природе. Заяц поняв, что убежать от лисы ему не удалось (изменить месторасположение в пространстве относительно нападающего объекта) пытается уничтожить нападающего. Ящерица замирает в неподвижности сливаясь с ландшафтом (изменение самого себя) и т.п..

Все то же самое мы видим и в социальном мире. Бронежилеты и бункеры, выступающие в качестве брони, реализуют первый способ защиты. Быстрые ноги и мощные двигатели - второй. Огнестрельное оружие - третий. Наложение грима или изменение мировоззрения - четвертый.

Безусловно, в идеале, хотелось бы определить влияние каждого из способов на уровень защищенности или на качество функционирования защитного механизма. Понятно, что для каждого набора входных данных существует своя оптимальная стратегия защиты. Проблема в том, чтобы узнать - каким именно будет этот входной набор данных.

Поэтому, защищающемуся субъекту для того, чтобы уцелеть недостаточно владеть всеми четырьмя способами. Ему надо уметь грамотно сочетать все названные способы с теми входными событиями, которые на него обрушиваются или способны обрушиться. Таким образом, мы выходим на постановку задачи по организации защиты со следующими входными данными:

1) способы защиты,

2) методы прогнозирования;

3) механизм принятия решения, использующий результаты прогнозирования и имеющиеся способы защиты.

Определив для себя исходные данные можно дать определение абсолютной системе защиты.

Абсолютной системой защиты назовем систему, обладающую всеми возможными способами защиты и способную в любой момент своего существования спрогнозировать наступление угрожающего события за время, достаточное для приведения в действие адекватных способов защиты.

Вернемся к определению системы защиты и попробуем его формализовать, определив систему защиты в виде тройки

(Z,P,F)....................... (1)

где Z = (Z 1 .Z 2 .Z 3 .Z 4) - способы защиты, Р - прогнозный механизм. Результат работы механизма прогнозирования - представляющее опасность событие, которое должно произойти в момент времени t 1 (t 1 >t), и оценка вероятности, что оно произойдет, т.е.

Р = (Sob, t 1),

t - текущее время. F - функция от Z и Р, принимающая значение больше 0, если за время t 1 система способна применить адекватный угрозе имеющийся у нее способ защиты.

Тогда, если F(Z,P)>0 для любого t. система защиты (Z,P,F) является абсолютной системой защиты.

Абсолютная система защиты лежит на пересечении методов прогнозирования и способов защиты; чем хуже работает механизм прогнозирования, тем более развитыми должны быть способы защиты и наоборот.

Схематично алгоритм функционирования абсолютной системы защиты можно попытаться представить в виде рис. 2.

По алгоритму схемы рис. 2 защищается любая система: отдельно взятый человек, государство, мафиозная структура, банк и т.п.. При этом, безусловно, что полнота реализации блоков и наполненность баз данных для каждой системы свои.

Рис. 2. Алгоритм работы абсолютной системы защиты.

Спроецировать приведенную схему в практические системы защиты государства и/или человека не сложно, аналогии напрашиваются сами собой. В частности, для государства:

прогнозирование внешних событий - разведка:

прогнозирование внутренних событий - министерство внутренних дел;

способы защиты:

первый способ (броня) - граница (пограничные войска);

второй способ (изменение места) - исход народа на другую землю;

третий способ (уничтожение) - армия;

четвертый (внесение изменений) - пропаганда, диверсии, террор (МИД, СМО и т.п.);

блок принятия решений - правительство;

блок занесения информации в БД - аналитические службы.

Более интересно, так как никто этого еще не пробовал, попытаться перенести основные принципы построения абсолютной системы защиты в область защиты программного обеспечения и предложить функциональную структуру для программных систем защиты АИС.

В приложение к проектированию программных системы защиты АИС сказанное означает, что данная система должна состоять из следующих блоков:

1) контроля окружающей среды и самой системы защиты. При этом контроль должен быть направлен не на контролирование текущего состояния системы, типа просчета контрольных сумм и т.п. Контролироваться должны команды, выполнение которых предполагается в ближайшем будущем (контроль должен осуществляться в режиме эмуляции команд, на которые предполагается передать управление) ;

2) парольной защиты всей системы и отдельных ее элементов, криптографические способы защиты (способ 1), в том числе контроль целостности;

3) периодического изменения месторасположения элементов защитного механизма в АИС (способ 2). Предполагается, что основные исполняемые файлы, ответственные за реализацию механизма прогнозирования и всех способов защиты, должны самостоятельно мигрировать в вычислительной среде (менять диски, директории, компьютеры) и изменять свои имена;

4) уничтожения "незнакомых" программных объектов. Тем самым осуществляется восстановление заданной среды (способ 3 - "убить незнакомца"). Вырожденный вариант этого способа -всем хорошо известные механизмы принудительного восстановления целостности среды;

5) самомодификации исполняемого алгоритма и кода (подробнее см. ). В данном блоке реализуется периодическая смена алгоритма путем выбора алгоритма из множества равносильных алгоритмов (способ 4). Кроме того, данный способ предполагает использование программных закладок и вирусов для влияния на "недружественную" внешнюю среду. Распространяемые (может быть и умышленно) программные закладки и вирусы постепенно подготавливают вычислительную среду для новых программно-аппаратных платформ.

В качестве примера можно остановиться на программной закладке Микрософт в WINDOWS 3.1, подробно описанной Э.Шулманом в журнале д-ра Добба ("Исследуя AARD-код системы Windows", N 3-4, 1994), цель которой заключается в дискредитации программных продуктов конкурирующих фирм. При этом в "жучке" использованы все возможные средства его собственной защиты: XOR-кодирование, динамическая самомодификация, специальные приемы защиты от отладчиков. Надо признать, что появление данной закладки столь же неизбежно, как и появление биологических вирусов в живой природе. Было бы удивительно, если бы нечто подобное не возникло именно в тот момент, когда "сражение программных продуктов за свое место под процессором" в самом разгаре.

Определив таким образом структуру защитного механизма можно перейти к его количественной оценке согласно (1) и определению места конкретной системы защиты относительно абсолютной. На мой взгляд, предложенный подход, позволяет осуществлять какое-то сравнение систем защиты друг с другом через сопоставление их абсолютной защитной системе, являющейся в данном случае недостижимым идеалом. Но это уже другая тема.

Литература

1. С.П.Расторгуев. "Программные методы защиты информации в компьютерах и сетях". М.: Агентство "Яхтсмен". 1993 г.

3.4.1. Основные термины и определения

Современная криптография включает в себя следующие основные разделы:

• криптосистемы с секретным ключом (классическая криптография);
• криптосистемы с открытым ключом;
• криптографические протоколы.

Введем некоторые понятия, необходимые в дальнейшем:

3.4.2. Оценка надежности криптоалгоритмов

Все современные шифры базируются на принципе Кирхгофа, согласно которому секретность шифра обеспечивается секретностью ключа, а не секретностью алгоритма шифрования. В некоторых ситуациях (например, в военных, разведывательных и дипломатических ведомствах) нет никаких причин делать общедоступным описание сути криптосистемы. Сохраняя такую информацию в тайне, можно дополнительно повысить надежность шифра. Однако полагаться на секретность этой информации не следует, так как рано или поздно она будет скомпрометирована. Поэтому анализ надежности таких систем всегда должен проводиться исходя из того, что противник имеет всю информацию о применяемом криптоалгоритме, ему неизвестен только реально использованный ключ . В связи с вышеизложенным можно сформулировать общее правило: при создании или при анализе стойкости криптосистем не следует недооценивать возможностей противника. Их лучше переоценить, чем недооценить.

Стойкость криптосистемы зависит от сложности алгоритмов преобразования, длины ключа, а точнее от объема ключевого пространства, метода реализации: при программной реализации необходимо дополнительно защищаться от разрушающих программных воздействий (вирусов, червей, троянских программ). Хотя понятие стойкости шифра является центральным в криптографии, количественная оценка криптостойкости - проблема до сих пор не решенная.

Методы оценки качества криптоалгоритмов , используемые на практике:

• всевозможные попытки их вскрытия;
• анализ сложности алгоритма дешифрования;
• оценка статистической безопасности шифра.

В первом случае многое зависит от квалификации, опыта, интуиции криптоаналитиков и от правильной оценки возможностей противника. Обычно считается, что противник знает шифр, имеет возможность его изучения, знает некоторые характеристики открытых защищаемых данных, например тематику сообщений, их стиль, стандарты, форматы и т.п.

Во втором случае оценку стойкости шифра заменяют оценкой минимальной сложности алгоритма его вскрытия. Однако получение строгих доказуемых оценок нижней границы сложности алгоритмов рассматриваемого типа проблематично. Иными словами, всегда возможна ситуация, когда алгоритм вскрытия шифра, сложность которого анализируется, оказывается вовсе не самым эффективным.

Сложность вычислительных алгоритмов можно оценивать числом выполняемых элементарных операций, при этом необходимо учитывать их стоимость и затраты на их выполнение. В общем случае это число должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютерных систем. Качественный шифр невозможно раскрыть способом более эффективным, нежели полный перебор по всему ключевому пространству, при этом криптограф должен рассчитывать только на то, что у противника не хватит времени и ресурсов, чтобы это сделать.

В третьем случае можно сформулировать следующие необходимые условия стойкости криптосистемы, проверяемые статистическими методами:

• должна отсутствовать статистическая зависимость между входной и выходной последовательностями;
• выходная последовательность по своим статистическим свойствам должна быть похожа на истинно случайную последовательность;
• при неизменной входной информационной последовательности незначительное изменение ключа должно приводить к непредсказуемому изменению выходной последовательности;
• при неизменном ключе незначительное изменение входной последовательности должно приводить к непредсказуемому изменению выходной последовательности;
• не должно быть зависимостей между ключами, последовательно используемыми в процессе шифрования.

Существует много различных криптоалгоритмов, при этом нет ни одного, подходящего для всех случаев. В каждой конкретной ситуации выбор криптоалгоритма определяется следующими факторами:

• особенностью защищаемой информации (документы, исходные тексты программ, графические файлы и т.п.);
• особенностями среды хранения или передачи информации;
• ценностью информации, характером защищаемых секретов, временем обеспечения секретности;
• объемами информации, скоростью ее передачи, степенью оперативности ее предоставления пользователю;
• возможностями собственников информации, владельцев средств сбора, обработки, хранения и передачи информации по ее защите;
• характером угроз, возможностями противника.

3.4.3. Классификация методов шифрования информации

Основные объекты изучения классической криптографии показаны на рис. 3.4 , где А и В - законные пользователи, W - противник или криптоаналитик. Учитывая что схема на рис. 3.4 а фактически является частным случаем схемы на рис. 3.4 б при В = А, в дальнейшем будет рассматриваться только она.

Процедуры зашифрования E (encryption) и расшифрования D (decryption) можно представить в следующем виде:

Функции за- и расшифрования взаимно обратные, иначе говоря, для любого текста X справедливо:

Гаммированием называют процедуру наложения на входную информационную последовательность гаммы шифра, т.е. последовательности с выходов генератора псевдослучайных последовательностей (ПСП) G. Последовательность называется псевдослучайной, если по своим статистическим свойствам она неотличима от истинно случайной последовательности, но в отличие от последней является детерминированной, т.е. знание алгоритма ее формирования дает возможность ее повторения необходимое число раз. Если символы входной информационной последовательности и гаммы представлены в двоичном виде, наложение чаще всего реализуется с помощью операции поразрядного сложения по модулю 2. Надежность шифрования методом гаммирования определяется качеством генератора гаммы.

3.4.5. Генераторы псевдослучайных последовательностей

Качественные ПСП, являясь по своей сути детерминированными, успешно заменяют во многих приложениях (в первую очередь связанных с защитой информации) случайные последовательности, которые чрезвычайно сложно формировать.

Можно выделить следующие задачи, требующие решения при организации защиты информационных систем:

• обеспечение работоспособности компонентов и системы в целом при наличии случайных и умышленных деструктивных воздействий;
• обеспечение секретности и конфиденциальности информации или наиболее важной ее части;
• защита от НСД;
• обеспечение аутентичности информации (целостности, подлинности и пр.);
• обеспечение аутентичности участников информационного обмена;
• обеспечение юридической значимости пересылаемых электронных документов;
• обеспечение неотслеживаемости информационных потоков в системе;
• защита прав собственников информации.

Во всех рассмотренных случаях генераторы ПСП применяются либо непосредственно, либо косвенно, когда на их основе строятся генераторы случайных последовательностей, генераторы контрольных кодов и хеш-генераторы. Во всех случаях требуются последовательности с равномерным законом распределения.

Можно выделить следующие функции генераторов ПСП в системах защиты информации:

• формирование гаммы при шифровании информации в режимах гаммирования и гаммирования с обратной связью;
• формирование ключей и паролей пользователей;
• формирование случайных запросов при аутентификации удаленных абонентов;
• формирование затемняющих множителей при слепом шифровании;
• формирование контрольных кодов целостности информации;
• хеширование информации при организации парольных систем, построении протоколов электронной подписи, аутентификации по принципу запрос-ответ и др.

Требования к качественному генератору ПСП:

• непредсказуемость;
• определенные статистические свойства;
• большой период формируемых последовательностей;
• эффективная реализация.

Непредсказуемость. Данное требование означает, что для противника, имеющего возможность анализировать фрагмент ПСП конечной длины, три задачи вычислительно неразрешимы:

• предсказание следующего элемента последовательности;
• определение предыдущего элемента последовательности;
• определение использованной при генерации ключевой информации.

В первых двух случаях самая эффективная возможная стратегия - бросание жребия, в третьем - полный перебор по всему ключевому пространству.

Определенные статистические свойства. Это требование означает, что ни один из существующих статистических тестов не в состоянии обнаружить на выходе генератора какие-либо закономерности статистических зависимостей между различными последовательностями, формируемыми при инициализации генератора случайными значениями.

Принципы построения генераторов ПСП. Можно выделить два подхода при использовании в составе генераторов ПСП нелинейных функций: это использование нелинейной функции непосредственно в цепи обратной связи и двухступенчатая схема, в которой задача первой ступени (по сути счетчика) заключается всего лишь в обеспечении максимально большого периода при данном числе N элементов памяти Q. Во втором случае нелинейная функция является функцией выхода . На

По совокупности вышеперечисленных требований наиболее приемлемое решение - генераторы ПСП, использующие многораундовые преобразования при построении функций или .

Наиболее обоснованными математически следует признать генераторы с использованием односторонних функций. Непредсказуемость данных генераторов основывается на сложности решения ряда математических задач (например, задачи дискретного логарифмирования или задачи разложения больших чисел на простые множители). Существенным недостатком генераторов этого класса является низкая производительность.

3.4.6. Поточные шифры

Шифр Вернама можно считать исторически первым поточным шифром. Так как поточные шифры в отличие от блочных осуществляют поэлементное шифрование потока данных без задержки в криптосистеме, их важнейшим достоинством является высокая скорость преобразования, соизмеримая со скоростью поступления входной информации. Таким образом обеспечивается шифрование практически в реальном масштабе времени вне зависимости от объема и разрядности потока преобразуемых данных.

В синхронных поточных шифрах (см. рис. 3.9) гамма формируется независимо от входной последовательности, каждый элемент (бит, символ, байт и т.п.) которой таким образом шифруется независимо от других элементов. В синхронных поточных шифрах отсутствует эффект размножения ошибок, т.е. число искаженных элементов в расшифрованной последовательности равно числу искаженных элементов зашифрованной последовательности, пришедшей из канала связи. Вставка или выпадение элемента зашифрованной последовательности недопустимы, так как из-за нарушения синхронизации это приведет к неправильному расшифрованию всех последующих элементов.

В самосинхронизирующихся поточных шифрах осуществляется гаммирование с обратной связью - гамма зависит от открытого текста, иначе говоря, результат шифрования каждого элемента зависит не только от позиции этого элемента (как это происходит в случае синхронного поточного шифрования), но и от значения всех предыдущих элементов открытого текста. Свойство самосинхронизации объясняется отсутствием обратной связи на принимающей стороне, в то время как в случае синхронного поточного шифрования схемы за- и расшифрования абсолютно идентичны.