Концептуальные основы для проектирования системы обеспечения безопасности информации от несанкционированного доступа в информационной сети и автоматизированной системы управления

Рассматриваемые до сих пор обобщенные модели информационных сетей как объектов обеспечения безопасности информации, с одной стороны, слишком глубоко отражали ее структуру, а с другой — не полностью учитывали системные связи и отношения между ее элементами, так как за основу модели брался неполный фрагмент архитектуры сети.

Акцент делался на защите ресурсов сети (узлов обработки информации), а не на самой информации, а также на ее децентрализованной обработке. Необходимо здесь заметить, что автоматизированные системы управления будут и далее развиваться как ядро любой информационной системы. Попутно заметим, что информационную сеть с позиций управления тоже можно назвать автоматизированной системой управления, так как у нее есть свои централизованные средства управления ее функционированием и обработкой информации. Следовательно, должны быть и средства управления безопасностью информации. Отличают сеть и автоматизированную систему управления только системные отношения между их управляемыми звеньями. В автоматизированной системе управления может быть многоступенчатая иерархическая структура, а в сети — всегда двухступенчатая. Поэтому в качестве объекта предлагается рассмотреть некоторую обобщенную модель структуры автоматизированной системы управления (см. рис. 1, б).

На рисунке автоматизированная система управления представлена как совокупность комплексов средств автоматизации обработки информации и данных, соединенных между собой каналами связи. При этом под комплексом средств автоматизации подразумевается любая территориально-сосредоточенная информационная система, построенная на базе технических средств комплексов средств автоматизации обработки информации, объединенных общим программным обеспечением и выполнением одной или нескольких общих задач. Согласно своей роли в автоматизированной системе управления и в сети обработки и передачи информации и данных комплексы средств автоматизации в той или иной структуре связаны определенными системными отношениями.

Одна группа комплексов средств автоматизации обработки информации и данных, например узлы коммутации сообщений, вместе с другой группой комплексов средств автоматизации (аппаратурой передачи данных) образуют сеть передачи данных, другая группа комплексов средств автоматизации (вычислительные комплексы, системы, абонентские пункты и т. д.) вместе с этой сетью образуют автоматизированную систему управления. У каждой названной структуры есть свои задачи и границы, которые должны обеспечиваться средствами защиты и контролироваться соответствующими средствами управления. У каждой структуры есть хозяин-собственник, отвечающий перед собой или своими клиентами за безопасность обработки информации. Если таковым собственником является государство, то должно быть лицо, несущее такую ответственность. В этом аспекте создание для всех пользователей единой информационной среды является безнадежной задачей и применение термина «защищенная информационная среда» оправдано только в философском смысле.

В интересах выполнения системных задач по обработке информации автоматизированная система управления (сеть) содержит следующие средства управления:

  • • средства управления составом и конфигурацией автоматизированной системы управления (сети);
  • • средства управления структурно-адресными таблицами;
  • • средства управления функциональным контролем автоматизированной системы управления (сети);
  • • средства управления функционированием автоматизированной системы управления (сети).

Перечисленные средства размещаются на одном из элементов автоматизированной системы управления (сети) — управляющем комплексе средств автоматизации автоматизированной системы управления (сети). Помимо указанных средств автоматизированная система управления содержит определяющие характер системных отношений средства взаимодействия ее составных частей (комплексов средств автоматизации обработки информации и данных) между собой. Эти отношения связаны с выполнением основных задач автоматизированной системы управления, включая разграничение доступа к информации друг Друга.

Приведенная на рис. 1, б структура автоматизированной системы управления позволяет определить всего два вида возможных каналов несанкционированного доступа к информации автоматизированной системы управления (сети):

  • • комплексы средств автоматизации обработки информации (КСА);
  • • каналы связи.

Концепция безопасности информации на уровне КСА рассмотрена выше.

Следовательно, остается рассмотреть только концепцию защиты информации в каналах связи.

Принимая во внимание, что информация в автоматизированной системе управления (в сети) постоянно обновляется, а также и то, что на каналах связи в отличие от элементов автоматизированной системы управления (сети) нарушитель ничем не рискует, особенно при пассивном перехвате информации, прочность защиты здесь должна быть особенно высокой. От активного вмешательства нарушителя в процесс обмена информацией между элементами автоматизированной системы управления (сети) должна быть применена система обнаружения и блокировки несанкционированного доступа. Но и при этом риск нарушителя по-прежнему невысок, так как у него и в этом случае по причине сложности определения его места пребывания остается достаточно времени на то, чтобы отключиться и уничтожить свои следы. Поэтому в качестве исходной модели потенциального нарушителя следует выбрать нарушителя высокой квалификации. Такой подход поможет защититься также и от нарушителей, являющихся законными пользователями данной автоматизированной системы управления (сети). Кроме того, это позволит защитить системные отношения между элементами автоматизированной системы управления (сети).

Поскольку физически каналы связи в сети защитить не представляется возможным, целесообразно строить защиту информации и сопровождающих ее служебных признаков на основе специальных криптографических преобразований, т. е. на основе самой информации, а не на ресурсах автоматизированной системы управления (сети). Такой основой должна быть кодограмма сообщений, которой обмениваются между собой элементы автоматизированной системы управления (сети). Целостность этой кодограммы и содержащаяся в ней информация должны быть защищены от несанкционированного доступа.

Данная кодограмма, как правило, содержит адрес получателя, заголовок, информацию отправителя, концевик, адрес отправителя, исходящий номер и время отправления. В пакетном режиме добавляется еще и номер пакета, поскольку сообщение разбивается на пакеты, которые на объекте-получателе должны быть собраны в одно сообщение, чтобы оно приобрело первоначальный вид. Для синхронизации приема и обработки кодограммы в нее включаются признаки кадра. Кадр содержит информационное поле, а также заголовок и концевик, присваиваемый протоколом. Заголовок содержит служебную информацию, используемую протоколом канального уровня принимающей станции и служащую для идентификации сообщения, правильного приема кадров, восстановления и повторной передачи в случае ошибок и т. д. Концевик содержит проверочное поле, служащее для коррекции и исправления ошибок (при помехоустойчивом кодировании), внесенных каналом. Для обеспечения передачи блоков данных от передающей станции к приемной кодограмма содержит признаки маршрута. Все эти и другие составляющие кодограммы формируются на основе известной семиуровневой модели протоколов взаимодействия открытых систем ISO/OSI.

За основу безопасности информации в информационных сетях следует взять следующие требования, которые должны быть конечной целью при создании средств ее защиты.

После того как соединение между двумя абонентами информационной сети установлено, необходимо обеспечить четыре условия:

  • а) получатель сообщения должен быть уверен в истинности источника данных;
  • б) получатель должен быть уверен в истинности полученных данных;
  • в) отправитель должен быть уверен в доставке данных получателю;
  • г) отправитель должен быть уверен в истинности доставленных получателю данных.

При этом предполагается, что выполнение этих условий включает защиту от следующих активных вторжений нарушителя:

  • • воздействий на поток сообщений: изменения, удаления, задержки, переупорядочения, дублирования регулярных и посылки ложных сообщений;
  • • воспрепятствования передаче сообщений;
  • • осуществления ложных соединений.

Однако они не включают защиту от пассивных вторжений:

  • • чтения содержания сообщения;
  • • анализа трафика и идентификаторов абонентов сети.

Кроме того, необходимо отразить важные моменты: получатель не должен принимать все сообщения подряд, хотя бы они были подлинными и от истинных источников, а отправитель сообщения должен быть уверен, что получатель правильно отреагирует на него. Другими словами, и отправитель, и получатель должны в данной сети (автоматизированной системе управления) иметь полномочия на обмен друг с другом. Это необходимо не для ограничения их свободы, а для обеспечения доверия друг к другу и доверия их к автоматизированной системе, что является наипервейшей обязанностью любой информационной сети и автоматизированной системы управления с точки зрения юридического права независимо от того, «дружат» они или «не дружат» между собой. Если пользователь обращается в удаленную базу данных, юридическую ответственность, с одной стороны, несет пользователь, с другой — владелец данной информационной системы.

Таким образом, для полноты постановки задачи к указанным четырем условиям необходимо дополнение еще четырех:

  • д) отправитель и получатель должны быть уверены в том, что с доставленной информацией в сообщении никто, кроме них, не ознакомился;
  • е) отправитель и получатель должны быть уверены, что никому, кроме них и специального посредника, факт передачи сообщения между ними не известен;
  • ж) получатель должен быть уверен, что отправитель — это то лицо, за которое себя выдает;
  • з) отправитель должен быть уверен, что получатель — то лицо, которое ему необходимо для передачи сообщения.

Данные требования (а—з) рассчитаны на защиту от квалифицированного нарушителя-профессионала по квалификации, приведенной выше.

Для определения основных принципов решения этой задачи рассмотрим упомянутую выше унифицированную кодограмму, которая является носителем этой информации и, следовательно, предметом защиты.

Исходим из того, что нарушителю доступна вся кодограмма, включая служебные признаки, а также из того, что единственным методом защиты по этой причине может быть выбран метод криптографических преобразований.

Один из методов должен быть таким, чтобы в кодограмме сохранились некоторые адреса и служебные признаки в открытом виде, поскольку всю кодограмму преобразовывать нецелесообразно по причине невозможности ее дальнейшей обработки. Таким методом может быть использование механизма формирования цифровой (электронной) подписи на базе несимметричных алгоритмов шифрования. Кроме того, отдельные части кодограммы формируются на разных этапах ее обработки разными устройствами и узлами сети; часть этой информации принадлежит ей, а другая часть — ее абонентам. Это определяет, кому принадлежат и кто меняет ключи шифрования той или иной части кодограммы: автоматизированная система управления или система передачи информации.

Шифрование частей кодограммы удобно производить одновременно с формированием соответствующих признаков обработки сообщения и его самого при реализации протоколов семиуровневой модели взаимодействия открытых систем ISO/OSI.

Для того чтобы обеспечивать возможность контроля и разграничения доступа, необходимо для всех участников обмена информацией, помимо условных номеров, присвоить переменные идентификаторы в виде паролей, которые могут передаваться в открытом виде и подлинность которых будет обеспечиваться механизмом цифровой подписи. Тем абонентам, которым присвоены соответствующие полномочия, должны быть предоставлены соответствующие значения паролей и закрытых ключей шифрования.

Таким образом, расчет безопасности информации в каналах связи можно производить на основе группы показателей механизмов шифрования, примененного для каждой составляющей кодограммы. Стойкость, или прочность, защитного механизма определяется стойкостью к подбору примененного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если оно составляет величину, превышающую время жизни защищаемой информации, то прочность или вероятность этой преграды равна 1.

При этом обратим внимание на существенную разницу во времени жизни самого сообщения и его служебных частей. Само сообщение в зависимости от назначения информационной системы может сохранять цену десятки лет, а его служебные части — не более десятка минут (время доведения сообщения до адресата). Это позволяет существенно увеличить быстродействие шифрования и, может быть, даже упростить его для служебных частей. Такой большой набор процедур может вызвать сомнение у разработчиков по поводу реальности воплощения этой идеи из-за возможного увеличения времени обработки кодограммы. Однако даже если это и случится, повышение безопасности информации стоит того.

При реализации системы контроля и разграничения доступа в автоматизированной системе управления (системе передачи информации) потребуется также организовать систему сбора с комплексом средств автоматизации обработки информации сигналов несовпадения кодов паролей, систему управления и распределения ключей шифрования информации и организационные мероприятия по безопасности информации.

Изложенное позволяет предложить следующую группу средств для обеспечения безопасности информации, обрабатываемой в каналах связи, ориентированных соответственно на выполнение приведенных выше восьми условий:

  • а) средства формирования цифровой подписи сообщений;
  • б) средства шифрования передаваемых данных;
  • в) средства обеспечения цифровой подписи служебных признаков передаваемой информации, включая адреса и маршруты сообщения, а также получение отправителем и посредником квитанции от получателя;
  • г) все перечисленные в пп. «а», «б» и «в» средства;
  • д) средства п. «б»;
  • е) введение в систему передачи информации маскирующих потоков сообщений при отсутствии активности в обмене информацией;
  • ж) присвоение всем участникам обмена сообщениями переменных идентификаторов и создание в автоматизированной системе управления и системе передачи информации системы контроля и разграничения доступа с защитой цифровой подписью паролей от подмены их нарушителем;
  • з) средства те же, что и в п. «ж».

Показатель прочности перечисленных средств защиты и будет в конечном итоге определять безопасность информации в каналах связи. Учитывая высокую стоимость каналов связи и опасность внедрения нарушителя-профессионала, расчет прочности указанных средств (поскольку это сейчас технически возможно) предлагается производить только из обеспечения уеловия, когда ожидаемое время, затрачиваемое нарушителем, должно быть больше времени жизни защищаемой информации. Это целесообразно выполнять всегда независимо от заданного класса потенциального нарушителя.

В некоторых сетях и автоматизированных системах управления не потребуется защита трафика и защита от утечки информации. Для подобных систем предлагается ввести для каналов связи следующую классификацию требований по классам потенциального нарушителя:

  • 1- й класс — все требования;
  • 2- й класс — все, кроме требования и. «е»;
  • 3- й класс — все, кроме требований пп. «б», «г», «д» и «е».

Расчет уровня безопасности информации в системах передачи информации в целом необходимо производить по следующим показателям:

бкслспи группа показателей прочности защиты информации в комплексе средств автоматизации (КСА) системы передачи информации (СПИ); за основу берется КСА с наименьшими значениями показателей;

^кс — группа показателей прочности защиты информации в каналах связи системы передачи информации (кроме абонентского шифрования).

Расчет уровня безопасности информации в автоматизированной системе управления в целом можно производить по следующим показателям:

^ксаасу группа показателей прочности защиты информации в комплексе средств автоматизации (КСА) автоматизированной системы управления (АСУ); за основу берется КСА с наименьшими значениями показателей;

(7СПИ — группа показателей, приведенная выше для системы передачи информации;

Сксасу группа показателей прочности защиты информации в прямых каналах связи, если таковые имеются между комплексами средств автоматизации обработки информации и данных в автоматизированной системе управления;

Лд — прочность защиты информации при абонентском шифровании в трактах передачи данных.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >