АНАЛИЗ СОВРЕМЕННОГО СОСТОЯНИЯ МОДЕЛИРОВАНИЯ НАДЕЖНОСТИ И БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ

Эволюция понятия «надежность информационного процесса»

Для согласования всех точек зрения на проблему обеспечения надежности и безопасности ИП разработаны и продолжают разрабатываться стандарты информационной безопасности (ИБ). Они регламентируют основные понятия и концепции ИБ на государственном или межгосударственном уровне и определяют понятие «надежность ИП» посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности. В соответствии с этими документами надежный ИП - это ИП, отвечающий некому стандарту ИБ. По мере осмысления недостатков действующих стандартов формируется более совершенная трактовка этого понятия. Закрепляясь в новых стандартах, она выходит из области теоретических поисков и становится практической реальностью. Так можно говорить об эволюции данного понятия, давшей устаревшую, современную и перспективную трактовки.

Устаревшая трактовка, восходящая, например, к Руководящим документам Гостехкомиссии 1992 года, определяет надежный ИП как ИП, защищенный тем или иным комплексом средств защиты. Предполагались известными достаточно универсальные защитные механизмы, и надежность конкретного ИП характеризовалась тем набором защитных механизмов, который защищает именно его. При этом считалось, что чем больше защитных механизмов реализовано, тем надежность ИП выше.

На первых порах такая трактовка оправдывала себя, однако постепенно сложилось понимание ее порочности. Наличие тех или иных защитных механизмов не может быть самоцелью, а является лишь средством более или менее успешного достижения цели защиты информации. Так появился современный подход к обеспечению надежности ИП и защите их от НСД, согласно которому надежный ИП успешно противодействует заданным угрозам защищенности при заданных внешних условиях его функционирования.

Стандартизация современной трактовки ознаменовалась выходом на межгосударственный уровень стандартизации в области ИБ. Под эгидой Международной организации по стандартизации (ISO) в 1999 году разработан стандарт ISO/IEC 15408, кратко называемый ОК-«Общие критерии» (Common Criteria). В России при участии экспертов Международной рабочей группы по ОК была принята группа стандартов ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», которая содержит полный аутентичный текст соответствующего стандарта ISO.

Целью принятия данного стандарта было создание механизма формализации требований ИБ в сфере ИТ. Стандарт содержит перечень всех возможных требований безопасности произвольного объекта оценки (00), разделяющихся на функциональные требования и требования доверия к безопасности. Предполагается оценивать 00 с помощью перечня требований безопасности. При этом требования безопасности конкретного 00 выбираются из перечня и детализируются исходя из целей безопасности, на основе анализа назначения 00, условий его использования и излагаются в профиле защиты или в задании по безопасности. Стандарт не регламентирует обязательное применение тех или иных требований. Идеология ОК предполагает принятие и использование ряда нормативных документов, содержащих сформулированные на основе данного стандарта профили защиты, которые собственно и задавали бы требования безопасности к объектам ИТ.

Таким образом, данный международный и российские стандарты в применении к оценке безопасности изделий ИТ являются по сути метасредствами, задающими систему понятий, в терминах которых должна производиться оценка, и содержащими относительно полный каталог требований безопасности (функциональных и доверия), но не предоставляющих конкретных наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять. Эти требования и критерии фигурируют в профилях защиты и заданиях по безопасности. Предполагается, что профили защиты, в отличие от заданий по безопасности, носят относительно универсальный характер: они характеризуют определенный класс изделий ИТ вне зависимости от специфики условий применения. Именно официально принятые профили защиты образуют построенную на основе ОК и используемую на практике нормативную базу в области ЗИ. В настоящее время такая база и в мире, и в России только создается. В России эту работу курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК России), в которую была преобразована Государственная техническая комиссия при Президенте РФ (Гостехкомиссия России).

Оценка 00, прежде всего, подтверждает, что в отношении его ресурсов осуществляется определенная политика безопасности (ПБ) с помощью сервисов безопасности (СБ), реализующих определенные функции безопасности. Так как требования безопасности 00 задаются на основе анализа его назначения и условий использования, то вполне полно и конкретно можно определить эти требования только для ИИ в АИС. Тогда можно совершенно определенно говорить о технологии функционирования АИС и организации ее ресурсов, по которым предписывается определенная ПБ. Рассмотрим кратко соответствующий понятийный аппарат в соответствии с ОК.

Защищенность АИС означает организацию необходимого управления доступом к ресурсам (все, что может использоваться или потребляться в АИС). Управление доступом к ресурсам нацелено на реализацию различных аспектов безопасности АИС, включающих ЗИ от несанкционированного раскрытия, модификации или потери возможности использования при воздействии угроз, являющихся результатом преднамеренных или непреднамеренных действий человека. Защищенность от этих трех типов угроз обычно называют конфиденциальностью, целостностью и доступностью. Совокупность правил, регулирующих управление, защиту и распределение подлежащих защите информации и ресурсов, называется политикой безопасности(ПБ). В частности, ПБ определяет правила, в соответствии с которыми АИС управляет доступом к ресурсам. СБ - это часть или части АИС, обеспечивающие выполнение подмножества взаимосвязанных ПБ аппаратными средствами ЭВМ, программным обеспечением и программируемым оборудованием АИС. Все СБ данной АИС объединяются в комплекс сервисов безопасности (КСБ) - совокупность всех аппаратных, программных и программно-аппаратных средств АИС, обеспечивающих адекватное осуществление ПБ. Набор диалоговых или программных интерфейсов, через который СБ обращается к ресурсам или информации, называется интерфейсом сервиса безопасности (ИСБ). Все ИСБ данной АИС объединяются в интерфейс КСБ (ИКСБ) - совокупность интерфейсов доступа к ресурсам АИС под контролем КСБ, или получение от КСБ какой-либо информации.

Стремительный рост неоднородности и масштабности современных АИС приводит к чрезмерному усложнению технологии их функционирования, без понимания которой невозможна организация эффективной защиты ресурсов. В достаточно больших АИС КСБ и ИКСБ образуют весьма сложную конструкцию, эффективный анализ и синтез которой затруднителен. Таким образом, проблема ЗИ в АИС имеет не только инструментальные аспекты, относящиеся к реализации отдельных функций безопасности, но и архитектурные, относящиеся к комплек- сированию защитных механизмов.

Несмотря на все преимущества современной трактовки понятия «надежность ИИ», практика показывает несовершенство и ее, вызывая законную критику исследователей. Приведем здесь краткий анализ.

Любая успешная реализация угрозы ИБ (атака) непременно использует определенные особенности функционирования ИИ или недостатки средств защиты. Эти особенности исследуются уже достаточно давно и получили название «изъянов защиты» или «уязвимостей». Все механизмы осуществления атак базируются на изъянах защиты, которые как бы провоцируют появление средств нападения. Таким образом, противостояние угроз и средств защиты напоминает систему с обратной связью - новые виды атак приводят к появлению новых средств защиты, а недостатки в средствах защиты приводят к появлению новых средств нападения и т.д. Устранить ряд противоречий в определении противостояния средств защиты и нападения можно двумя способами: создать эффективные и безупречно надежные средства защиты от каждого типа атак или устранить уязвимости АИС, служащие источником успешной реализации угроз. Средства защиты от конкретных видов угроз не зависят напрямую от назначения АИС и не требуют модификации по мере ее развития. Однако недостатки использования указанных средств защиты очевидны: для создания эффективной системы ЗИ необходимо проанализировать все типы угроз и выработать эффективные механизмы противодействия для каждого типа. Выделим выявленные на практике факторы трудной осуществимости обеспечения гарантированной надежности и безопасности ИП в АИС на данном пути.

Множество угроз постоянно расширяется с тенденцией экспоненциального роста. Это значит, что все время будут появляться новые угрозы, требующие новых мер защиты, т.к. старые против них бессильны. Появление новых средств защиты будет приводить к появлению новых классов угроз и т. д.

Множество угроз растет не только количественно, но и качественно, т.к. для успеха угроза должна принципиально отличаться от тех, на которые рассчитаны механизмы защиты. Это означает невозможность создания исчерпывающей классификации угроз и предсказания появления новых их типов.

В отличие от использования средств защиты от конкретных видов угроз, метод ЗИ в АИС путем изначальной ее разработки с архитектурой, лишенной уязвимостей, имеет очевидные преимущества: он не зависит от развития угроз, т.к. ликвидирует причину, а не следствие. Поэтому он более эффективен. Однако его практически значимая реализация представляет собой сложную научную проблему. Требуется применение технологий проектирования и разработки АИС, направленных на устранение причин успешной реализации угроз. Вместо использования достаточно универсальных средств ЗИ в изначально незащищенных системах, необходимо создавать изначально защищенные АИС с применением указанных технологий их проектирования и разработки. Поэтому одной из задач в плане ЗИ в АИС на современном этапе является интеграция ЗИ в процесс автоматизации ее обработки в качестве обязательного элемента. Защитные средства должны не конфликтовать с существующими приложениями и сложившимися технологиями обработки информации, а стать неотъемлемой их частью. При таком подходе надежность ИП должна характеризоваться его соответствием некоторым подлежащим стандартизации эталонным моделям безопасной (неуязвимой) циркуляции (обработки и передачи) информации.

Так появляется новая трактовка понятия «надежность ИП», под которой следует понимать отсутствие уязвимостей ИП. Она противостоит объединяющей устаревшую и современную трактовки концепции навесного замка, навешиваемого средствами защиты на уязвимости, не устраняя их как таковые. В зависимости от того, в какой информационной системе протекают рассматриваемые ИП, эта концепция удовлетворительна в большей или меньшей степени. Яркий пример слабой удовлетворительности дают АС ОД КП, и на этом основании далее будем рассматривать ИП именно в них. При этом предпочтительнее оказывается перспективный подход. Однако преодолеть тенденцию «навесного замка» оказалось весьма сложно, и продвинуться дальше призывов почти не удалось. Новый подход не стал современным, оставаясь благим пожеланием, не подкрепленным соответствующими стандартами на унифицированные архитектурные решения, удовлетворяющие общепринятым эталонным моделям безопасной циркуляции информации.

Причина лежит в принципиальных теоретических трудностях моделирования обеспечения надежности и безопасности ИП в АСОД КП, возникающих при попытке соединить перспективный подход к обеспечению надежности ИП и защиты их от НСД с гибкостью защитных механизмов. Природа этих трудностей в самом общем виде сводится к противоречию между динамическим, локальным и дискретным рассмотрением при моделировании неуязвимости и статическим, глобальным и непрерывным - при моделировании гибкости защитных механизмов. Преодолеть трудности моделирования можно на пути подлинной интеграции математических моделей обработки и защиты информации, соединяющей неуязвимость и гибкость по каждому из трех аспектов защищенности (конфиденциальность, доступность и целостность) информации на основе конструктивной унификации указанных противоречий.

Анализ возможных причин сложности этого пути позволяет предположить, что корень теоретических трудностей лежит в неразвитости системного подхода к моделированию АСОД как прямое отражение несовершенства сложившейся «аналитической» общенаучной парадигмы применительно к любым действительно системным исследованиям. Однако с развитием науки и, во многом, благодаря необходимости исследования стремительно совершенствующихся технических и организационно-технических систем, зреет понимание необходимости перехода к совершенно новой, «системной» общенаучной парадигме. Указанные системы явно нельзя рассматривать как произвольную совокупность технических деталей и, возможно, обслуживающего персонала, а на первый план выходят системные представления.

В связи с этим в последние десятилетия наблюдался ажиотажный интерес к разным системным исследованиям. Несмотря на заметные успехи, общепринятая единая теория систем так и не создана, а во всех ее потенциальных приложениях наблюдается острый дефицит концептуальных идей. Не составляет исключения и теория ИБ, теоретические трудности в которой весьма заметны по причине глубоко системного характера категории «ИБ».

В рамках традиционной «аналитической» общенаучной парадигмы проблема построения теоретических основ моделирования процессов высоконадежной обработки информации, обеспечивающих на уровне моделей как недопущение ее уязвимостей, так и гибкость защитных механизмов, неразрешима. В плане конфиденциальности и доступности информации гибкость защитных механизмов означает гибкость разграничения доступа к информации, а уязвимости кроются в модели используемой ПБ и в ее практической реализации. Единственной подлинно гибкой является дискреционная модель ПБ, которая принципиально небезопасна, неизбежно порождая уязвимости. С другой стороны, единственным принципиально безопасным является класс моделей конечных состояний, берущий свое начало от мандатного метода контроля доступа. Однако возможности применения существующих моделей конечных состояний весьма ограничены ввиду их принципиальной негибкости. Этот недостаток данного класса моделей можно устранить, сблизив данный класс моделей с дискреционной моделью. Но этому мешает естественное для «аналитической» общенаучной парадигмы традиционно независимое рассмотрение процессов защиты информации от процессов обработки информации, а отход от этого принципа требует масштабных и глубоких научных исследований, начало которым закладывает настоящая диссертационная работа.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >