Кроме того, опыт эксплуатации разработанного программного обеспечения показывает, что оно мо-
жет быть легко освоено программистами средней квалификации.
РОЛЬ И МЕСТО СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
Ю.И. Арепин, В.В. Карпов
Достижения последних лет в области компьютерных и информационных технологий обусловили возможность создания автоматизированных систем (АС) обработки информации в целом ряде областей человеческой деятельности, еще недавно практически не охваченных процессами автоматизации.
В частности, с развитием средств и методов распределенной обработки данных, создание АС организационного управления стало одним из основных направлений повышения эффективности решения задач, характеризующихся сжатыми сроками выполнения и нечеткостью формального описания.
Указанная тенденция особенно актуальна для организаций, служб и штабов министерства обороны (МО), претерпевающих в ходе военной реформы сокращение личного состава при сохранении перечня стоящих перед этими организациями задач.
Сущность и основные положения автоматизации организационного управления [1], реализуемые в современных АС, предполагают разработку и поддержку в составе АС средств обеспечения безопасности информации. При этом показатель информационной безопасности становится одной из основных характеристик информационных систем, в особенности систем военного назначения [2].
Значение систем защиты информации (СЗИ) для АС подчеркивается и тем фактом, что в большинстве развитых стран деятельность в этой области лицензируется, а разработанные изделия подлежат сертификации.
В нашей стране основными руководящими документами (РД), регламентирующими создание защищенных АС, являются РД Гостехкомиссии (ГТК) России, содержащие в основе своей концепцию защиты средств вычислительной техники (СВТ) и АС от несанкционированного доступа (НСД) к информации.
Очевидная направленность концепции в основном на решение вопросов обеспечения защиты компьютерных систем от НСД неоднократно комментировалась и критиковалась [4]. Современные подходы к защите информации требуют обеспечения как минимум трех свойств информации в защищаемой системе: конфиденциальности, целостности, доступности.
Однако уклон разработчиков РД ГТК в сторону обеспечения защиты информации от НСД объясняется, по-видимому, тем фактом, что документы были разработаны в расчете на применение преимущественно в информационных системах силовых струк-
тур, в частности, МО. При этом, вероятно, предполагалось, что незакрытый и нераспознанный канал утечки информации из АС специального назначения способен принести гораздо больше ущерба, чем потеря целостности или доступа, восстановление которых в АС, как правило, достаточно отработано.
В РД ГТК дается понятие НСД как доступа к информации, нарушающего установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.
К основным способам НСД относятся:
- непосредственное обращение к объектам доступа;
- создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществить НСД;
- внедрение в технические средства СВТ программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.
РД ГТК определяют семь принципов защиты информации:
- защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации;
- защита СВТ обеспечивается комплексом программно-технических средств;
- защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер;
- защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;
- программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС;
- неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты;
- защита АС должна предусматривать контроль эффективности средств защиты от НСД, который либо может быть периодическим, либо иницииро-
ваться по мере необходимости пользователем АС или контролирующими органами.
Реализация указанных принципов возможна при использовании методов защиты от НСД, включающих, в частности, организационные, технологические и правовые меры и мероприятия.
К первой категории относятся средства, регламентируемые внутренними инструкциями организации, эксплуатирующей АС (например, правила и порядок работы с грифованными документами, принятые на данном предприятии).
Вторую категорию составляют механизмы защиты, реализуемые на основе аппаратно-программных средств и обеспечивающие как минимум идентификацию, аутентификацию и разграничение прав доступа пользователей.
Последняя категория включает механизмы разработки общегосударственной нормативной базы по вопросам защиты информации от НСД и меры по контролю за их выполнением [3].
Механизмы идентификации и аутентификации тесно связаны. И если первые обеспечивают присвоение пользователям идентификаторов и проверку их корректности при предъявлении, то вторые - проверку принадлежности пользователю предъявленного им идентификатора.
Методы аутентификации различаются по способу хранения и представления информации подтверждения. Обычно они подразделяются на три группы: парольные методы, методы с использованием аппаратно-программных "ключей", методы биометрической персонификации.
Парольные методы получили максимальное распространение. Как правило, они включаются в качестве базовых в большинство аппаратно-программных комплексов защиты информации. Это обусловлено как экономическими причинами, так и хорошо отработанной теорией и практикой создания таких систем.
Во вторую группу входят методы аутентификации, использующие носимые устройства для контроля доступа к автоматизированному рабочему месту пользователя (электронные ключи Touch Memory, электронные карты Smart Card, устройства доступа типа "Активатор" и др.).
Последнюю группу составляют методы аутентификации, основанные на измерении и сравнении с эталоном индивидуальных характеристик пользователя: отпечатков пальцев (например, оригинальное устройство фирмы "Calspan"), структуры радужной оболочки глаза и т.п.
Требования по управлению доступом занимают одно из основных мест в составе РД ГТК по защите информации от НСД. Главной задачей контроля и управления доступом является определение множества данных и операций над ними, разрешенных для пользователей информационной системы. Известны два основных метода управления доступом: дискреционный (произвольный) и мандатный (нормативный).
Основой дискреционного метода является матрица прав доступа, строки которой соответствуют
субъектам (пользователи), а столбцы - объектам (файлы, каталоги и т.д.). В ячейках матрицы содержатся права доступа субъектов к объектам. Мандатный принцип разграничения доступа обеспечивает контроль доступа, следуя правилам используемой модели управления доступом на основе сопоставления классификационных меток субъектов и объектов защиты.
Очевидно, что в общем случае организационные, технологические и правовые меры и мероприятия оказывают самое непосредственное влияние на роль и место СЗИ в АС специального назначения. Однако на практике при определении роли и места конкретной СЗИ в определенной АС наибольшее значение имеют технологические меры. В самом деле, правовые меры достаточно общие, распространяются на типы, классы или вообще АС как таковые. Влияние их на специфику конкретной СЗИ невелико. Организационные методы достаточно отработаны, используемые в них методы защиты не претерпели значительных изменений за последние годы и применяют -ся тогда, когда это принципиально необходимо и регламентируется РД либо когда используемые технологические меры не обеспечивают заданного уровня защищенности. Особенностью технологических мер защиты является то, что они развивались одновременно с развитием средств автоматизации, призванных защищать. Эти меры вобрали в себя всю специфику и особенности защищаемых объектов и являются наиболее гибкими и эффективными при условии правильного применения.
Специфика развития системного программирования в нашей стране привела к практическому отсутствию отечественных операционных систем (ОС). В этих условиях разработчики защищенных информационных систем в России вынуждены были дорабатывать зарубежные ОС до требуемого уровня защищенности путем создания собственных средств защиты информации от НСД. При этом разработка СЗИ выполнялась преимущественно с использованием двух основных методов. В первом случае проводилось усовершенствование системы-прототипа с целью улучшения ее характеристик и доработки ее защиты до требуемого уровня (например, доработка подсистемы защиты ОС MS Windows NT 4.0 с целью добавления мандатного метода доступа).
Второй метод основывается на разработке полнофункциональной СЗИ от НСД в максимальной степени независимой от базовой системы защиты импортной ОС и выполняющейся с более высоким приоритетом, чем таковая. Примером реализации такого подхода служит семейство аппаратно-программных комплексов защиты информации (АПКЗИ) от НСД "Лабиринт". Недостатки такого подхода очевидны: большая трудоемкость и высокая вероятность неудачи. Однако в случае успешного результата может быть достигнут достаточно высокий уровень защищенности, позволяющий использовать импортные ОС в специальных АС.
В свою очередь, для достижения положительного результата в процессе проектирования СЗИ от НСД очень важное значение имеет правильное рас-
пределение средств и методов защиты по уровням и типам.
По отношению к программному обеспечению защищаемой АС средства защиты могут быть внешними, входить в состав ОС и быть частью общего (ОПО) и функционального программного обеспечения (ФПО) (см. рисунок).
Внешние средства защиты представляют собой, как правило, дополнительные устройства по отношению к базовым средствам автоматизации АС. Они могут функционировать самостоятельно и независимо от технических средств и базового системного обеспечения защищаемой системы. Свойство независимости позволяет использовать внешние средства для реализации функций идентификации и аутентификации еще до загрузки ОС. В штатном режиме функционирования АС внешние средства защиты могут с успехом выполнять функции контроля работоспособности как системы защиты от НСД, так и компонент АС. Например, контроллер "Тверца-2" в составе АПКЗИ "Лабиринт" обеспечивает запрет загрузки с дискеты, блокировку клавиатуры, идентификацию и аутентификацию пользователей до загрузки ОС, защиту от НСД к СМ08-памяти и хранение данных системы защиты в изолированных областях памяти, недоступных ОС. При этом идентификация пользователей осуществляется по идентификатору и паролю длиной до 50 символов с проверкой срока действия пароля и разрешенного интервала времени действия. Конструктивно контроллер представляет собой одноплатную микроЭВМ, которая все операции по работе с регистрационной ин-
формацией и данными таблиц разграничения доступа выполняет в локальной памяти с помощью собственного процессора. Критичная информация системы защиты хранится в энергонезависимой памяти в зашифрованном виде и разрушается при попытке несанкционированного изъятия контроллера из компьютера.
В случае неуспешной регистрации пользователя компьютер блокируется как на программном, так и на аппаратном уровнях, что обеспечивает полную невозможность продолжения работы. Для использования усиленных методов идентификации и аутентификации различные модификации контроллера имеют интерфейсы для подключения элементов Touch-Memory и инфракрасных декодеров.
Средства защиты в составе ОС состоят обычно из ядра и сервисов, которые реализуют набор функций защиты, предписываемый РД ГТК для данного класса систем. Как правило, разграничение доступа на этом уровне обеспечивается к общесистемным элементам информации, например файлам.
Средства защиты от НСД в составе ОПО обеспечивают дополнительную аутентификацию и разграничение доступа на уровне элементов информации, с которыми работает данное средство ОПО. Например, если речь идет о текстовом процессоре, то единицами защиты могут быть отдельные слова, поля, абзацы и т.п.
В составе ФПО средства защиты выполняют функции, аналогичные случаю с ОПО, с учетом того, что в ФПО в максимальной степени проявляются особенности и специфика данной предметной области автоматизации. При этом могут появиться требования разграничения доступа к специальным элементам информации: полям экрана монитора, нестандартным устройствам, клавишам клавиатуры и т.п.
Очевидно, что для создания полноценной системы защиты от НСД необходима взаимосвязь всех уровней защиты по информации и управлению. Особенно это важно для активного типа защиты, когда система защиты не только распознает угрожающие воздействия, но и реагирует на них, блокируя, например, работу конкретного автоматизированного рабочего места или всей АС в целом. Пассивные средства защиты реализуют в основном методы поиска улик и доказательств несанкционированных действий, информируя об этом администратора АС. Не менее важное значение, чем распределение средств и методов защиты по уровням и типам, для создания эффективной системы защиты от НСД имеет задача оптимизации выполнения защитных функций. Если первую проблему можно отнести к разря-
Средства защиты АС
Внешние
Аппаратно-
программные
средства
идентификации и аутентификации
компоненты средств контроля целостности АС и СЗИ
Внешние компоненты средств контроля работоспособности СЗИ
Компоненты защиты от доступа к внутренним элементам ТС
В составе ОС
Средства
_ идентификации и
аутентификации
_| Средства аудита
Средства
разграничения
доступа
Средства
оперативного
наблюдения
Средства контроля работоспособности АС и СЗИ
Средства контроля неизменности ПО АС и СЗИ
Средства работы с отчуждаемыми носителями информации
В составе ОПО
Средства
дополнительной
аутентификации
Средства
разграничения
доступа
Средства
маркировки
документов
Средства взаимодействия с ядром СЗИ
В составе ФПО
Средства
дополнительной
аутентификации
Средства
разграничения
доступа
Средства
маркировки
документов
Средства взаимодействия с ядром СЗИ
Средства маркировки документов Средства тестирования СЗИ Средства ваимодействия с внешними компонентами СЗИ
Распределение средств защиты от НСД по уровням и методам
ду задач структурного синтеза, то вторая относится, по-видимому, к задачам параметрического синтеза и настройки структурных компонент системы.
В общем случае решение указанных задач сводится к процедуре многомерной оптимизации на основе системы критериев или критериальных функций. В то же время, одним из основных недостатков системы показателей защищенности в РД ГТК является их сугубо описательный характер и, как правило, отсутствие вычисляемого интегрального показателя защищенности, например, вероятностного типа.
Использование системы расчетных показателей защищенности, учитывающих специфику использования не только всей АС, но и, возможно, каждого автоматизированного рабочего места, позволило бы оптимизировать распределение средств и методов защиты по уровням и типам, минимизировать затраты на эксплуатацию СЗИ или непроизводительные потери целевой АС, связанные с функционированием средств защиты.
Практическую целесообразность и возможность решения указанной задачи проиллюстрируем на примере АПКЗИ "Лабиринт", которая имеет набор средств защиты для каждого из уровней, а также средства параметрической настройки компонент защиты.
Например, решая задачу структурного синтеза СЗИ для конкретного рабочего места в составе АС, можно воспользоваться возможностью размещения средств идентификации и аутентификации на внешнем уровне либо в составе ОС. В первом случае идентификацию выполняет интеллектуальный и достаточно дорогой контроллер еще до загрузки ОС, во втором функция реализуется после загрузки ОС программным способом. В тех случаях, когда идентификация должна быть усилена, может быть применен контроллер с инфракрасным декодером.
Далее, учитывая, что в соответствии с требованиями РД ГТК, мандатный принцип контроля доступа должен применяться для СЗИ, начиная с 4 класса защищенности, для систем с менее жесткими требованиями может быть применен только дискреционный метод.
Обоснованное исключение мандатного метода доступа для конкретного рабочего места однозначно
позволит уменьшить непроизводительные потери базовой АС. Аналогично включение либо исключение из конкретного варианта СЗИ средств оперативного наблюдения и аудита способно, с одной стороны, понизить уровень защищенности, а с другой - уменьшить накладные расходы на эксплуатацию СЗИ и непроизводительные потери базовой АС.
Если средства оперативного наблюдения и аудита выбраны для конкретного варианта СЗИ, то АПКЗИ "Лабиринт " предоставляет дополнительные возможности оптимизации их работы на основе средств параметрической настройки. И в средстве оперативного наблюдения, и в аудите гибко настраивается перечень событий, которые должны протоколироваться, анализироваться и оперативно доводиться до администратора СЗИ. Более того, для каждого события в системе может быть выбрана необходимая реакция АПКЗИ, например, сигнализация или блокировка.
Учитывая, что средства оперативного наблюдения и аудита существенно ухудшают функциональные характеристики базовой АС, средства параметрической настройки способны оптимизировать непроизводственные потери базовой АС.
Однако применение методов структурного и параметрического синтеза СЗИ как механизма выбора необходимых компонент СЗИ и распределения их по уровням защиты с подстройкой к конкретным условиям и требованиям возможно только при наличии системы численных показателей защищенности, позволяющих оценивать влияние того или иного оптимизационного решения на защищенность системы в целом.
Список литературы
1. Апанасенко В.М., Арепин Ю.И., Липатов В.А., Прокофьев В.М. Сущность и основные положения автоматизации организационного управления. // Программные продукты и системы. - 2000. - № 2. - С.31-33.
2. Карпов В.В., Ершов Г.С., Семихина Л.А. Система защиты информации "Лабиринт". // Программные продукты и системы. - 2000. - № 2. - С.27-31.
3. Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.
4. Галатенко В.А. Информационная безопасность. // Открытые системы. - 1995. - № 4-6.
КРИТЕРИИ И ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В.В. Карпов
Одним из необходимых условий проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД) для автоматизированных систем (АС) является анализ потенциальных угроз безопасности с целью определения исходных данных и граничных условий для разработки средств защиты. Чем полнее и детальнее будет описано множест-
во угроз, тем с большей вероятностью будут найдены адекватные средства и способы защиты.
С другой стороны, решение задачи адекватности и эффективности средств защиты невозможно без системы критериев и показателей защищенности АС от НСД. При этом, если состав и характеристики угроз задают, по сути, исходные данные для проекти-