Организация защиты информационных систем

                              Организация защиты информационных систем 
  
Информационная безопасность. Как практически любая сложная структура, информационная система уязвима в смысле вероятности нарушения ее работы. Эти нарушения могут иметь как случайный, так и преднамеренный характер, могут вызываться как внешними, так и внутренними причинами. В соответствии с этим на всех этапах жизни системы необходимо принимать специальные меры по обеспечению ее надежного функционирования и защищенности. 
Нарушения, вызванные внутренними причинами, парируются прежде всего методами обеспечения надежности. В этом ИС имеют много общего с другими сложными системами в том, что касается причин неисправностей и проявлений отказов. Специфическим воздействием на ИС являются так называемые компьютерные вирусы. Они вносятся в систему извне и в специфической форме проявляются при ее работе как внутренняя неисправность. 
Особую заботу должна вызывать хранящаяся в системе информация, утрата которой может причинить владельцу значительный ущерб. К тому же информация может быть еще и предметом посягательств, которые необходимо пресекать. В этом плане информационные системы имеют существенную специфику. Защищенность информационных систем позволяет обеспечить секретность данных и операций с ними в системах на основе ЭВМ. Для обеспечения защищенности информационных систем созданы специальные технические и программные средства. 
Отдельный вопрос - обеспечение в компьютерных системах и технологиях права личности на неприкосновенность персональной информации. Однако коммерческая, служебная и государственная информация также нуждается в защите. Поэтому особую существенность приобретает защищенность информационных ресурсов. Для этого должны быть решены вопросы организации и 
контроля доступа к ресурсам по всем их компонентам. Злонамеренное проникновение в систему и несанкционированный доступ должны быть своевременно выявлены и по вероятности пресечены. Для этого в системе анализируются пути несанкционированного доступа и заранее формируются средства его пресечения. 
В связи с коллективным использованием многими субъектами одновременно глобальных ИР остро актуальна проблема защищенности глобальных ИС. На государственном уровне становится важным и военный аспект защищенности информационных ресурсов: считается, что тот, кто выиграет информационную войну, выиграет и всю войну. Поэтому для любой страны защита ее стратегических интересов требует активного и целенаправленного участия в глобальных процессах информатизации. 
Злонамеренные действия в ИС приобретают признаки преступления, появилась так называемая компьютерная преступность. В настоящее время выявлены основные типы преступлений в сфере информатики и способы их совершения. Как оказалось, криминологические аспекты компьютерных правонарушений имеют существенную специфику как в части их совершения, так и особенно в части их раскрытия. 
Эти вопросы далее рассматриваются более детально. 
Управление доступом. Особенности доступа к информации в системах передачи данных и в ИС являются внешней характеристикой таких систем. Естественно, доступ к ресурсам не может быть неконтролируемым или неуправляемым: рост стратегического значения сферы ОИ в разных организациях требует эффективного управления ее ресурсами. Решение проблемы всесторонней защищенности информационных ресурсов в ИС обеспечивает системный подход в силу своей многогранности. 
Кроме достаточно широко известной задачи защищенности данных теперь особую существенность приобретает комплексная задача управления доступом к ресурсам системы и контроля за их применением. Ресурсы системы при этом следует понимать в самом широком смысле. Вероятности управления достулом к ресурсам закладываются на этапе проектирования системы и реализуются на последующих этапах ее жизненного цикла. 
В простейшем случае управление доступом может служить для определения того, разрешено или нет тому или иному пользователю иметь доступ к некоторому элементу сети, системы или базы данных. За счет повышения избирательности системы управления можно добиться того, чтобы доступ к избранному элементу разрешался или запрещался независимо от других и обеспечивался даже к определенному объекту (файлу или процессу) внутри этого элемента. Различают управление доступом трех видов: 
• централизованное управление - установление полномочий производится администрацией организации или фирмы-владельца ИС. Ввод и контроль полномочий осуществляются представителем службы безопасности с соответствующего объекта управления; 
• иерархическое децентрализованное управление - центральная организация, осуществляющая установление полномочий, передает некоторые свои полномочия подчиненным организациям, сохраняя при этом за собой право отменить или пересмотреть решение подчиненного уровня; 
• индивидуальное управление - иерархия управления доступом и распределения полномочий в этом случае не формируется; владелец информации, создавая свои информационные структуры, сам управляет доступом к ней и может передавать свои права вплоть до прав собственности. В больших системах все формы могут использоваться совместно в тех или иных частях системы; они реализуются при подготовке информации, при выполнении обработки информации и при завершении работ. 
При подготовке ИС к работам управление доступом предполагает выполнение следующих функций: 
уточнение задач, распределение функций элементов ИС и персонала; 
• контроль ввода адресных таблиц в элементы ИС; 
• ввод таблиц полномочий элементов, пользователей, процессов и т.д.; 
выбор значений, распределение и рассылка ключей шифрования; 
• проверка работы систем шифрования и контроля полномочий. 
При выполнении обработки информации управление доступом включает такие функции: 
• контроль соблюдения полномочий, обнаружение и блокировку несанкционированного доступа; 
контроль шифрования данных и применения ключей; 
• регистрацию и документирование информации о попытках и фактах несанкционированного доступа с указанием места, даты, времени и других данных о событиях; 
• регистрацию, документирование и контроль всех обращений к защищаемой информации с указанием всех данных о событиях; 
• выбор, распределение, рассылку и синхронизацию применения новых ключей шифрования; 
• изменение полномочий элементов, процессов и пользователей; 
• организационные мероприятия по защите системы. 
Соответствующие средства обеспечения управления этими процессами и функциями имеются в том или ином виде во всех современных операционных системах, причем, как правило, вероятности возрастают с ростом мощности ОС, т.е. в конце концов с возрастанием мощности ЭВМ. По этой причине не без оснований считается, что в централизованных системах управление доступом обеспечено лучше, чем в децентрализованных. 
Шифрование и дешифрование данных. Одной из основных мер защиты данных в системе является их шифрование, т.е. такое преобразование, которое исключает их использование в соответствии с их смыслом и содержанием. Алгоритмы шифрования (дешифрования) представляют собой инструмент, с помощью которого такая защита возможна, поэтому они всегда секретны. 
Шифрование может осуществляться при передаче информации по каналам передачи данных, при сохранении информации в базах данных, при обращении к базам данных с соответствующими запросами, на стадии интерпретации результатов обработки информации и т.д. На всех этих этапах и стадиях существуют специфические особенности применения шифров. 
Применение шифрования началось в государственных структурах, однако в настоящее время к зашифровывайте своих данных прибегают многие пользователи ИС. В связи с этим сложился рынок этих продуктов и услуг. Во всех странах деятельность по оказанию таких услуг, т.е. по созданию средств шифрования и защите систем, лицензируется государством, жестко регламентируется в законодательном порядке. 
Наука криптография, занимающаяся шифрованием, естественно, секретной не является. Однако конкретные алгоритмы и в особенности реализующие их устройства засекречиваются, что и обеспечивает защиту системы. За оказание таких услуг фирмы-заказчики готовы платить хорошие деньги, поэтому фирмы-изготовители шифровальной аппаратуры заинтересованы в расширении своего бизнеса. 
В то же время государство заинтересовано в сохранении прозрачности информационных потоков с тем, чтобы снизить риск сокрытия преступлений и других правонарушений: шифровальные технологии не должны препятствовать расследованию преступлений. Эти интересы в некотором роде противоречат друг другу. Так, в США с переменным успехом тянется рассмотрение проекта закона, призванного регулировать бизнес в сфере шифровальных технологий. Юридический комитет конгресса предложил проект, который обеспечил бы компьютерным компаниям вероятность свободно экспортировать шифровальную технику. Правительство выступило против утверждения этого законопроекта и потребовало внести статью, предписывающую поставщикам шифровальных технологий обеспечивать следственные органы ключами к компьютерным шифрам. Далее началось обсуждение проблемы вторжения государственных органов в частную жизнь и т.д., так что судьба закона не вполне ясна. 
В то же время активность разработчиков средств шифрования не ослабевает. По разным каналам широко распространяются эти средства, которые аттестуются и испытываются в кругах специалистов, и наиболее достойные из них получают признание и находят распространение. Так, в частном бизнесе широко распространена система шифрования PGP (Pretty Good Privacy). На эту же роль претендует программа, опубликованная немецким программистом Вернером Кохом в Интернете в 1999 г. Программа названа GnuPG (GnuPrivacy Guard), она работает на всех UNIX-платформах и реализует средства 128-разрядного шифрования, столь же надежные, как и PGP, или даже более надежные. Поскольку эта программа не продается, а совершенно свободно распространяется по системе GNU, у нее есть шанс избежать запрета на распространение национальными правительствами. 
Создание или выбор средств шифрования национальными правительствами тоже становится серьезной проблемой: в этом деле нельзя просто доверять даже очень солидным фирмам или специалистам. Системы шифрования подвергаются испытаниям, в которых предпринимается попытка расшифровки построенных с помощью проверяемой системы кодов независимыми специалистами или фирмами. В частности, таким испытаниям регулярно подвергается используемый правительственными учреждениями США алгоритм шифрования DES (Data Encryption Standard). 
В январе 1997 г. состоялась первая акция DES Challenge; тогда на то, чтобы расшифровать код, потребовалось 96 дней. В феврале 1998 г. первому из участников акции DES Challenge (это была группа Distributed.Net, коалиция энтузиастов-пользователей) удалось взломать алгоритм за 41 день. В июле 1998 г. удалось расшифровать сообщение, зашифрованное по алгоритму DES, за 56 часов. Это был рекорд: система DES, 56-разрядный алгоритм которой впервые был применен правительством США в 1977 г., представляет собой якобы самую надежную систему шифрования (это мнение экспертов американского правительства; специалисты российского ФАПСИ - Федерального агентства правительственной связи и информации - могут на этот счет иметь другое мнение). Ее экспорт разрешен правительством и осуществлялся в широких масштабах в разные страны. 
Однако в начале 1999 г. поступило сообщение, что DES взломан уже за 22 часа 15 минут. Это достижение группы Distributed.Net, предпринявшей новую атаку на алгоритм при поддержке ассоциации EFF (Electronic Frontier Foundation). Закодированное с помощью алгоритма DES секретное сообщение подбиралось путем прямого перебора или подбора, при этом каждую секунду проверялось по 245 млрд ключей. В качестве «орудия взлома» использовались суперкомпьютер Deep Crack и разбросанные по всему миру почти 100 тыс. ПК, связанных между собой через Интернет. Этот результат означает, что уже настало время переходить от DES к более надежным алгоритмам: ключа длиной в 56 разрядов при современных вероятностях взломщиков уже недостаточно; 64-разрядные ключи не имеют большого превосходства перед 56-разрядными и тоже скоро будут взломаны. Следует переходить на ключи, по крайней мере, 128-разрядные, т.е. на алгоритмы типа Triple DES, RC4 и им подобные. Задача эта не из простых, так как DES встроен в огромное количество систем. 
Можно отметить, что «за успешно проделанную работу» ассоциации EFF и группе Distributed.Net выплачено вознаграждение 10 тыс. долл. 
Защищенность информационных сетей. В нашей стране за последнее десятилетие создано множество информационных систем и сетей на основе прежде всего зарубежных технических средств и программных продуктов. Относительно этих систем возникает совершенно обоснованное опасение о вероятности существования в них так называемых «недекларированных вероятностей», т.е. скрытых от пользователя свойств, которые позволяют управлять этими средствами независимо от пользователя. 
В подобных случаях возникают естественные опасения, что в таких системах их поставщиком или изготовителем могут быть заложены некие скрытые вероятности, обеспечивающие внешний контроль всех процессов и данных, обращающихся в системе. С помощью таких средств возможен также вывод из строя систем целиком или по частям по командам извне. 
Как следствие, такие системы вызывают определенные опасения при применении в особо ответственных объектах и структурах. Технические элементы, устанавливаемые в особо ответственных системах, тщательно и глубоко исследуются, программные элементы тоже тестируются в специализированных организациях, однако определенные сомнения могут оставаться и после таких испытаний. 
Для того чтобы снять у пользователя и потребителя эти опасения, производители технических и программных средств представляют свои изделия на официальную сертификацию. С этой целью компания-поставщик представляет детальную документацию на изделия и сами изделия с тем, чтобы на этом основании можно было уверенно выявить во всей полноте функции, выполняемые данным изделием. 
Так. известная американская фирма Novell в конце 1997 г. выставила свои программные продукты на получение в России сертификата безопасности. Государственная техническая комиссия при Президенте России (официальный орган российской власти, уполномоченный решать такие вопросы) приняла решение начать сертификацию по вопросам сетевой безопасности всех продуктов компании Novell, продаваемых в России. Сертификация поможет убедиться в отсутствии в программных продуктах компании «недекларируемых вероятностей». Сертификационные испытания являются весьма объемными и продолжаются достаточно долго. При благоприятном заключении Гостехкомиссии Россия официально признает безопасность сетевых программных продуктов компании Novell. 
По представлению американской компании Oracle ее известная СУБД Oracle 8 успешно прошла такие сертификационные испытания в России, которая стала третьей после США и Великобритании страной, сертифицировавшей сервер баз данных Oracle 8 на соответствие требованиям безопасности по классу систем, пригодных для хранения документов, которые содержат государственную тайну. Об этом свидетельствует врученный фирме сертификат №168 Гостехкомиссии РФ. Сертификат удостоверяет, что испытанный в согласованном порядке сервер баз данных Oracle 8 на аппаратной платформе производства компании HP с операционной системой UNIX соответствует высшему на сегодняшний день классу систем безопасности 1в, 
Это событие уникально, во-первых, потому что Oracle 8 ~ первая и единственная пока СУБД иностранного производства, сертифицированная по столь высокому классу безопасности; во-вторых, сам процесс сертификации, похоже, оказался беспрецедентным. Он обошелся Oracle в общей сложности в 1 млн долл. Длилась сертификация полтора года, за это время состоялось около 12 тыс. штатных и 5 тыс. специализированных испытаний. 
Для сертификации компанией были предоставлены исходные тексты, а также всевозможные спецификации - практически все технологические компоненты Oracle 8; Этому предшествовало заключение договора между компанией-разработчиком и испытательной лабораторией, в котором особо оговаривалась конфиденциальность сведений, полученных от Oracle данной лабораторией, 
Сертификат пока выдан на единичный экземпляр СУБД. Результат испытаний трактуется как безусловная победа компании. Цена этой победы для Oracle очень высока, и не только в плане финансовых затрат, Отныне корпорация и ее партнеры смогут доказать своим заказчикам, что продукт Oracle 8 способен пройти сертификацию по классу не ниже 1в. 
Решение о сертификации СУБД Oracle 8 по столь высокому классу безопасности принималось на правительственном уровне. Этому событию предшествовали переговоры, длившиеся 2-3 года. По заявлению официальных представителей, у обеих сторон долгое время были сомнения относительно вероятности проведения столь серьезной и технически сложной сертификационной проверки. На вполне закономерный вопрос, а стоило ли Oracle вкладывать немалые деньги в сертификацию, представитель компании ответил, что эти инвестиции могут скоро окупиться, для этого достаточно всего одного-двух крупных заказчиков. 
Однако и при отсутствии подозрений по поводу «недекларируемых вероятностей» необходима защита информационных сетей в силу все возрастающей ценности сосредоточенной в них информации, а также с ростом степени существенности выполняемых этими системами функций. 
  
Правонарушения в области технической защищенности систем 
  
Характерные правонарушения, совершаемые путем нарушения технической защиты ИС, подпадают, как правило, под действие Уголовного кодекса (УК) РФ, в который включена специальная глава 28 «Преступления в сфере компьютерной информации». Она впервые появилась в УК и существенно повысила меру ответственности за правонарушения в этой сфере. 
Злонамеренное введение в ИС вредоносных программ, приводящих к нарушениям ее работы - так называемых вирусов, -законом трактуется как преступление и наказывается в соответствии с УК РФ, для чего в кодекс введена статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ». 
В соответствии с этой статьей создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование или распространение таких программ или машинных носителей с такими программами наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет. 
Как видно, закон сурово карает заражение ИС вирусами. Естественно, кара ужесточается, в случае если оно совершается с умыслом, из корыстных интересов или заранее подготовлено. Тем не менее вирусы «гуляют» по системам, число их множится, поэтому необходимо постоянно проводить в системах работу по выявлению и уничтожению таких программ. Существуют коллективы, разрабатывающие антивирусные программы, которые позволяют снизить риск поражения системы вредоносной программой, срыва работ и потери данных. 
Здесь можно отметить, что в борьбе с вирусами важную роль играет правовая основа. Так, вирус I love you (я люблю тебя), запущенный в сети в 2000 г. через электронную почту молодой супружеской четой из Филиппин, поразил во всем мире около 48 млн компьютеров. Довольно быстро виновников вычислили и арестовали. Однако они были отпущены на свободу, поскольку в законодательстве Республики Филиппины нет ни одного правового акта в этой сфере. 
Характерным массовым правонарушением в сфере информатизации стало так называемое проникновение, несанкционированный доступ в среду ЭВМ, систем ЭВМ или вычислительных сетей. Это деяние может иметь в своей основе как корыстные, так и чисто профессиональные, но искаженные мотивы. На этой эксплуатации собственно вычислительных центров, связанных с обеспечением энергоснабжения ВЦ, функционированием климатических установок и т.п. 
При расследовании происшествий, повлекших потери ИР, может оказаться сложно разделить нарушения правил эксплуатации собственно ЭВМ, системы ЭВМ или их сети от нарушений в сфере эксплуатации обеспечивающих комплексов и средств. Особенно не просто это сделать при так называемых форс-мажорных обстоятельствах: пожарах, катастрофах и т.п. 
Таким образом, необходимость неукоснительного соблюдения и сохранения ИР охраняется и стимулируется законом. Наиболее строгие нормы закона (уголовное преследование) распространены теперь и на эту область. 
  
Построение рациональной защиты 
  
Необходимо отметить, что защита системы не может быть абсолютной. Она и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат на ее создание и эксплуатацию, а также неизбежно привело бы к снижению производительности системы по основным производственным функциям. Защита должна строиться как рациональная, т.е. с оптимальными по некоторому критерию характеристиками, что всегда составляет предмет самостоятельного исследования. 
Информационные системы являются сложными и комплексными, поэтому выбор даже рациональной степени защищенности является сложной проблемой, которая может быть, к примеру, проблемой полиоптимизации или векторной оптимизации. Возможны и упрощенные подходы с учетом конкретных особенностей задачи. Для иллюстрации ниже приводится пример анализа условий рациональной защиты информации в базах данных от злонамеренного искажения или порчи. 
Предполагается, что проблема защиты собранной регулярным образом на предприятии информации возникает тогда, когда ставится задача обеспечения гарантированной сохранности данных, содержащихся в базах данных, от лиц, желающих ее исправления. 
Решение задачи рациональной защищенности данных может достигаться, к примеру, за счет введения системы паролей, использования криптографических методов защиты информации, установления собственных командных процессоров, загрузчиков, создания и загрузки резидентных программ, перехватывающих прерывания и обрабатывающих команду от пользователя с последующей ее блокировкой, в случае если команда окажется запрещенной для данной системы. Вероятно также использование установки собственной главной загрузочной записи (MBR) на жестком диске. 
Применительно к условиям охраны данных от активных попыток их похищения или порчи с учетом анализа особенностей задачи определяется следующий перечень мер по обеспечению защиты информации : 
• аутентификация пользователя по паролю и, вероятно, по ключевой дискете или аппаратному ключу; 
разграничение доступа к логическим дискам; 
прозрачное шифрование логических дисков; 
• шифрование файлов с данными; 
• разрешение запусков только строго определенных для каждого пользователя программ; 
• реакция на несанкционированный доступ; 
• регистрация всех попыток несанкционированного доступа в систему и входа/выхода пользователя в систему; 
• создание многоуровневой организации работы пользователя с расширением предоставляемых вероятностей при переходе на более высокий уровень; 
• предоставление пользователю минимума необходимых ему 
функций. 
Наиболее эффективны системы защиты, разработка которых ведется параллельно с разработкой защищаемой информационной структуры. При создании систем защиты принято придерживаться следующих принципов : 
1) постоянно действующий запрет доступа; в механизме защиты системы в нормальных условиях доступ к данным должен быть запрещен, запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты; 
2) простота механизма защиты; это качество необходимо для уменьшения числа возможных неучтенных путей доступа; 
3) перекрытие всех возможных каналов утечки, для чего должны всегда и гарантированно проверяться полномочия любого обращения к любому объекту в структуре данных; этот принцип является основой системы защиты. Задача управления доступом должна решаться на общесистемном уровне, при этом необходимо обеспечивать надежное определение источника любого обращения к данным; 
4) независимость эффективности защиты от квалификации потенциальных нарушителей; 
5) разделение полномочий в сфере защиты и доступа, т.е. применение нескольких разных ключей защиты; 
6) предоставление минимальных полномочий; 
7) максимальная обособленность механизма защиты; для исключения передачи пользователями сведений о системе защиты друг другу рекомендуется при проектировании защиты минимизировать число общих для нескольких пользователей параметров и характеристик механизма защиты; 
8) психологическая привлекательность защиты, для чего тоже существенно добиваться, чтобы защита была по вероятности простой в эксплуатации. 
При построении систем защиты, основанных даже не на всех. а только на некоторых из вышеперечисленных принципов, возникают серьезные препятствия, связанные с большими затратами на их реализацию. В связи с этим защита и должна быть не абсолютной, а только рациональной, т.е. изначально должна предполагаться в допустимой степени вероятность злонамеренного проникновения в базу данных. 
Активность посягательств, классификация похитителей, характеристики потока посягательств, ущерб от потери или порчи каждого из элементов информационной структуры, набор вариантов способов защиты, их прочность и стоимость одного сеанса защиты тем или иным способом - все эти данные нужно задать либо определить тем или иным путем. 
Оценка возможных суммарных затрат, связанных с функционированием системы защиты базы данных, включает суммарную стоимость Z работы всех способов защиты во всех возможных их наборах применительно ко всем областям базы данных и сумму возможных потерь , возникающих при проникновении по 
хитителей через все способы защиты в различных их сочетаниях ко всем областям базы данных; эта оценка определится формулой 
SUM = Z + П 
С учетом того, что составляющие Z и Я в зависимости от степени защищенности базы данных изменяются противоположным образом, величина SUM может иметь минимум при некоторой комбинации вариантов способов зашиты областей^базы данных. В связи с этим для построения рациональной структуры системы зашиты необходимо ее минимизировать, т.е. 
SUM = Z + П => min 
Поиск решения может осуществляться различными методами, к примеру можно отыскивать решение на множестве вариантов комбинаций степеней защиты, т.е. путем перебора их возможных наборов по множеству областей базы данных вложенными циклами по вариантам допустимых способов зашиты. Таким путем будут определены индексы защит для каждой из защищаемых областей базы? данных, что даст для каждой области один определенный метод или совокупность нескольких методов защиты. 
Такой подход позволяет подобрать самый дешевый из допустимых способов защиты для каждой из областей, при котором общая сумма затрат, связанных с функционированием защиты, и потерь, возникающих при несанкционированном доступе, будет минимальной. 
Аналогично можно поставить и решить задачу выбора варианта структуры системы защиты в более сложных условиях, выполнив полноразмерный проект такой системы при соответствующих затратах на его выполнение. В случае если информация в базе данных стоит того. чтобы ее защищать, то и на создание системы защиты придется затратить соразмерные средства.