Информационное обеспечение государственного управления - Никитов В. А
..pdfдоказательство доставки (отправитель может убедиться в том, что сообщение доставлено неискаженным нужному полу чателю);
доказательство подачи (отправитель может убедиться в иден тичности устройства передачи сообщения, на которое оно было подано);
безотказность источника (позволяет отправителю доказать получателю, что переданное сообщение принадлежит ему);
безотказность поступления (позволяет отправителю сообще ния получить от устройства передачи сообщения, на которое оно поступило, доказательство того, что сообщение поступило на это устройство для доставки определенному получателю);
безотказность доставки (позволяет отправителю получить от получателя доказательство получения им сообщения);
защиту от попыток расширения своих законных полномочий, а также изменения полномочий других пользователей;
защиту от модификации программного обеспечения путем добавления новых функций.
Надежная защита на всех этапах — при передаче, обработке и хранении информации в ИТКС базируется на применении современных криптографических программных и аппаратно-про граммных средств, реализующих механизмы пшфрования инфор мации, а также подтверждения ее целостности и подлинности с использованием электронной цифровой подписи.
Концепция и политика обеспечения безопасности
Поскольку безопасность в ИТКС, как подчеркивалось выше, является одной из составляющих национальной безопасности России, то и все связанные с этим вопросы должны рассмат риваться, решаться и контролироваться на государственном уровне.
Совокупность аппаратно-программных средств, реализую щих систему безопасности, образует распределенный комплекс, который, в силу своей сложности, обязан иметь единый коор динирующий центр.
Безопасность крупных информационных систем, а к таковым относится ИТКС, строится на единой платформе, обеспечиваю щей системе необходимую гибкость для ее дальнейшего раз вития.
Архитектура безопасности должна отвечать следующим тре бованиям:
обеспечивать концептуальные определения и структуры неко торой среды;
300
позволять разрабатывать отдельные компоненты среды; определять, как индивидуальные компоненты интегрируются
в полную среду; гарантировать, что полученная среда будет удовлетворять
изначальным требованиям.
Она определяет, что вся информация в системе кон фиденциальна. Весь доступ к компьютерным ресурсам аутентифицирован и авторизован, поддерживает целостность, согласованность и конфиденциальность распределенных при ложений и информации. Основная цель архитектуры — обес печение доверительной среды для распределенных вычислений. Это достигается через механизмы, выполняющие аутенти фикацию, контроль доступа или авторизацию, целостность, конфиденциальность, и предотвращается отказ от выполненных действий. Весь этот набор качеств должен воплощаться в полной и эффективной системе безопасности. Необходимо обеспечить доверие ко всем возможным точкам, где поль зователи получают доступ к системе.
До определенной поры отсутствие такой архитектуры не ме шает системе работать и не компрометирует ее, но это может породить крупные опшбки, потери, искажение информации. На пример, ИТКС объединяет различные системы органов государ ственной власти, каждое со своими механизмами безопасности и системами поддержки, и очень трудно, а то и просто невозмож но получить защищенный доступ одной системы к другой без согласования их с общей архитектурой безопасности. Каждая система может иметь требуемую защиту, но системы защиты могут быть несовместимы друг с другом, и в результате возника ет проблема доступа, особенно если у одной системы большие требования безопасности, чем у другой.
Определенная архитектура может использоваться для гаран тированной разработки приложений и систем, удовлетворяющих требуемым целям безопасности, позволяет принимать решения при проектировании систем и обеспечивает всем им соответству ющий стандартный минимум безопасности. Гораздо труднее со гласиться с этим, когда речь идет о системах, уже разработанных или созданных. Определяемая архитектура безопасности, осно вываясь на системной архитектуре, должна учитывать существу ющий в данный момент уровень информационных технологий.
Если говорить об архитектуре системы, то она состоит из множества строительных блоков, которые все вместе определяют всеобъемлющее решение (рис. 44). Эта модель делится на три главные компоненты: концепция безопасности, создание доверен ной программно-технической среды, контроль и управление сис темой информационной безопасности.
301
Доверенная среда
7YL
Безопасность Доступность
Целхтнхть |
Контроль |
Восстановимостъ |
|
доступа |
|||
|
|
||
Конфиденциальность |
Бесперебойность |
||
Аутентификация |
Долговечность |
||
Невозможность отказа |
Согласованность |
||
|
Производительность |
||
Контроль
Физический доступ |
Сетевой доступ |
Управление
Протоколирование
Мониторинг и контроль
Администрирование
Аудит
Концепция безопасности
Политика |
Принципы |
Критерии безопасности |
Обучение |
|
безопасности |
безопасности |
и стандарты |
||
|
Рис. 44. Модель системы безопасности
Концепция безопасности содержит определения корпоратив ных правил, принципов, определение критериев и выбор стандар тов безопасности, на которые будет опираться архитектура без опасности РГГКС. Она включает:
общие принципы безопасности, отражающие философию и стиль информационно-коммуникационной системы;
политику безопасности, которая влияет на реализацию и ис пользование механизмов защиты, а также определяет среду, ко торая гарантирует защищенность информационных ресурсов на требуемом уровне;
специальные критерии или стандарты безопасности, опреде ляющие базу, на которой строится архитектура безопасности.
Доверенная среда определяется такими характеристиками, как: защита; готовность;
производительность.
Уровень управления устанавливает механизмы, используемые для управления и контроля над компонентами защиты.
Пришщпы обеспечения безопасности ИТКС
Рассматривая в общем плане понятия принципов, следует подчеркнуть, что в данном случае — это положения, определяю щие знание безопасности в информационных системах, та фунда ментальная основа, которая "диктует" требования и решения, касающиеся компонент безопасности и технологий. Корпора тивные принципы обработки информации устанавливают, что пользователям нужно доверять по )гмолчанию\ то есть правила безопасности и механизмы должны быть реализованы таким образом, чтобы был однозначно запрещен доступ к неавторизо ванным ресурсам и полностью разрешен ко всем другим. Если по умолчанию пользователям не доверяют, то механизмы защиты должны разрешать только явно указанный доступ и запрещать все остальное. Принципы определяют философию безопасности. Политика же преобразует эту философию в набор правил, кото рым следуют в дальнейшем.
ИТКС создается как целостная территориально-распределен- ная система взаимодействующих между собой разноуровневых информационно-аналитических систем, отличаюпщхся категори ей обрабатываемой информации, доступом к информации, соста вом программно-технических средств. Эта совокупность связыва ется в единую информационную систему средствами ИТКС.
^ Умолчание — принцип неявного объявления данных в программах.
303
Территориально-распределенная система может подвергаться различным внешним и внутренним воздействиям, нарушающим ее информационную безопасность, которые по своему характеру могут быть пассивными (не нарушающими функционирование системы) и активными, иметь разную целевую направленность
— несанкционированный доступ к информации, нарушение ее целостности, включая подмену, нарушение функционирования системы. Воздействия на эту систему, реализуемую по тех нологии открытых систем, могут иметь место на всех уровнях семиуровневой эталонной модели ISO/OSI и базироваться на анализе сетевого трафика, подмене доверенных объектов, вне дрении несанкционированных объектов, изменении полномочий объектов и субъектов, корпоративной атаке на серверы и др.
Технологии в этой системе доллсны следовать следующим принципам:
проблема безопасности ИТКС как системы государственного значения является превалирующей;
обязательно создание единой методологической основы для организации обеспечения безопасности в ИТКС с учетом целевой направленности, единства замыслов организационных мер, ор ганизационно-технических средств и методов защиты инфор мации;
должно быть предусмотрено развитие системы обеспечения информационной безопасности, совершенствование ее организа ции, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности;
названная система должна быть взаимоувязана с общей сис темой организации защиты информации в органах государствен ной власти, местного самоуправления, в учреждениях и организа циях на территории России, а также за ее пределами независимо от их ведомственной подчиненности и организационно-правовых форм, и степень надежности защиты информации в ИТКС не может быть ниже принятых в России норм;
система безопасности разрабатывается и внедряется одновре менно с разработкой и внедрением ИТКС;
данные как основная ценность системы должны соответству ющим образом управляться и защищаться;
следует обеспечить адекватную защиту и контроль данных в соответствии с возможными рисками;
должна быть определена минимальная степень защиты, ис пользуемая во всех системах;
возможности и доступ владельцев, пользователей информа ции, управляющего персонала и др., имеющих отношение к защи те информации, должны быть четко определены и, по возможнос ти, минимизированы;
304
владельцам, пользователям информации, обслуживающему персоналу необходимы знания о политике, принципах и процеду рах безопасности;
критерии защиты, практика и процедуры не должны сильно понижать производительность работы. Эти критерии, практика
ипроцедуры должны быть скоординированы и интегрированы для создания целостной системы защиты;
требования к безопасности должны основываться на значении
иважности соответствующих информационно-аналитических подсистем;
затраты на систему обеспечения безопасности не должны превьппать потерь от нарушений защиты (здесь до 25% от стои мости разработки системы);
владельцы, пользователи информации и управляющий персо нал обязаны своевременно выявлять и сообщать данные о бре шах в защите, предполагаемых способах и методах нарушения защиты системы;
информация, связанная с защитой, должна периодически из меняться в соответствии с принятой технологией контроля и уп равления безопасностью;
безопасность передачи и хранения информации обеспечивает ся широким применением современных средств криптографичес кой защиты;
политика безопасности, стандарты и процедуры должны со здавать базис для планирования, контроля и оценки деятельнос ти по защите информации;
необходимо прогнозирование, выявление и оценка источников угроз информационной безопасности;
требуется обеспечить равнопрочность рубежей защиты по всем возможным каналам утечки информации.
Технологии информационной запщты территориально-распределенных информационных систем
С учетом потенциальных угроз необходима реализация ком плекса мер и средств защиты информации, в том числе програм мно-технические средства, от несанкционированного доступа (НСД), средства криптографической запщты информации, вклю чая электронную цифровую подпись, технические средства запщ ты оборудования от утечки информации по техническим кана лам, физическую и режимную запщту объектов, администрирова ние системы безопасности.
А это все требуется для использования следующих техноло гий:
305
защиты распределенных информационных ресурсов, цело стности и подлинности информации, сетей и каналов, защиты информации от утечки по техническим каналам;
технологии поддержки доверенной общесистемной про граммной среды;
администрирование и управление системой информационной безопасности.
Модель нарушителя
Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа к информации, изложенная в руководящих документах Гостехкомиссии, классифицирует нарушителей по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяют четыре уровня этих возможностей. Данная классификация иерархична, то есть каждый следуюпщй уровень включает в себя функциональные возможности пре дыдущего. Нарушитель является специалистом высшей ква лификации, знает все о АС и, в частности, о системе и средствах ее запщты.
Первый уровень — это самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксирован ного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запус ка собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое про граммное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень подразумевает совокупность возможнос тей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по об работке информации.
Учитывая, что нарушение информационной безопасности ИТКС имеет решающее значение, а непреднамеренное или преднамеренное искажение информационных ресурсов, несанк ционированный дос1уп к защищаемой информации ИТКС может представлять значительную угрозу безопасности и оборо носпособности страны, при создании ИТКС следует ориен тироваться на средства информационной безопасности, обес-
306
печивающие защиту от нарушителя, удовлетворяющую четвер тому уровню используемых программно-технических среде и возможностей.
Угрозы нарушения безопасности
Основные типы угроз ИТКС можно классифицировать следуюпщм образом:
угрозы нарушения безопасности при выполнении процедур доступа, процедур разграничения доступа, в процедурах учета действий пользователей и их программ;
угрозы безопасности информации из-за недостатков в вьшолнении процедур затирания остаточных данных;
угрозы нарушения безопасности, связаньпле с определением грифа секретности, с изменением технологического процесса обработки информации, с изменением процедур учета, хранения, приема, выдачи и уничтожения секретных носителей инфор мации.
К наиболее опасным угрозам следует отнести:
атаки через каналы передачи информации на систему и ее наиболее важные компоненты с целью разрушения системы управления и отдельных компонентов ИТКС или получения несанкционированного доступа к информационным ресурсам;
непреднамеренные ошибки обслуживающего персонала или авторизированных пользователей системы;
недобросовестные действия сотрудников и обслуживающего персонала системы, а также других организаций, имеющих дос туп к системе ИТКС;
сбои, отказы и аварии аппаратного и программного обеспече ния ИТКС за счет активизации внедренных программно-аппарат ных закладок;
вирусные атаки.
Механизмы угроз осуществляются с помощью оборудования рабочих станций, локальных вычислительных сетей и глобальной транспортной среды.
Механизмы угроз для рабочих станций ИТКС могут включать в себя:
чтение информации с экрана посторонним лицом (во время отображения информации на экране законным пользователем или при отсутствии законного пользователя на рабочем месте);
чтение информации из оставленных без присмотра распечаток либо черновых бумаг;
307
хищение носителей информации (магнитных дисков, магнит ных лент, дискет, карт);
подключение к устройствам ПЭВМ либо к ее составным частям (платам, блокам) специально разработанных аппаратных средств, копирующих информацию или программное обеспече ние, с последующим ее снятием;
использование специальных технических средств для перехва та электромагнитных излучений от ПЭВМ, терминалов, АРМ;
несанкционированный доступ к ПЭВМ, ее операционной сис теме и программному обеспечению, к терминалу;
копирование информации из электронной памяти посторон ним лицом;
нарушение конфиденциальности информации при ее хранении; нарушение целостности информации посторонним лицом; несанкционированное стирание информации из архива до ис
течения срока ее хранения; несанкционированное копирование, модификация, уничтоже
ние программного обеспечения; хищение носителей ключевой и парольной информации либо
их несанкционированное копирование; несанкционированное копирование ключевой и парольной ин
формации из оперативной памяти ЭВМ; несанкционированное обращение к базам данных.
В пределах локальной вычислительной сети комплекс угроз
затрагивает транспортную среду, активное оборудование, сер веры и включает в себя следующие механизмы:
в рамках общей доступности ПЭВМ возможно нарушение конфиденциальности информации, то есть ее передача без пшфрования либо переадресация;
перехват информации при ее передаче по соединительным линиям либо общей шине;
извлечение открытой либо зашифрованной информации при
ее промежуточном хранении в технических средствах обработки
икоммутации (в файл-сервере, центральном сервере, в централь ной вычислительной машине и т. д.);
уничтожение (стирание) открытой, зашифрованной информа ции при долговременном хранении в центрах обработки;
копирование информационного обеспечения, в том числе маршрутно-адресных таблиц, средств коммутации;
несанкционированный доступ к СУБД; модификация маршрутно-адресной информации.
Следует отметить, что приведенный комплекс угроз, за ис ключением тех, что связаны с электромагнитным излучением, возможен лишь со стороны обслуживающего персонала при не-
308
санюдионированных действиях либо разработчиков программнотехнических средств, преднамеренно использующих программноаппаратные закладки.
Механизмы угроз для глобальной транспортной среды
Дополнительные угрозы в распределенной системе возникают из-за внешних и внутренних угроз сообщениям, а также угроз информационным ресурсам, находящимся в территориально-раз- несенных базах данных и хранилищах.
Внешние угрозы исходят от несанкционированных пользова телей и могут проявляться следующими способами:
перехватом сообщений; их модификацией;
повторным воспроизведением; уничтожением; формированием ложных сообщений; переадресацией сообщений.
Внутренние угрозы исходят от самих пользователей и прояв ляются, в частности:
вотрицании сообщений (один из пользователей может от рицать свое участие в обмене информацией);
внарушении уровня запщты (при условии, что в системе используются различные уровни секретности);
Угрозы к базам и хранилищам данных включают в себя:
модификацию маршрутизации информации, когда несанкци онированные изменения содержимого справочника могут привести к неправильной маршрутизации сообщений или их потере;
модификацию адресной части хранимого сообщения; несанкционированный доступ к сообщениям;
преждевременное воспроизведение, когда несанкционирован ный пользователь создает копию сообщения задержанной дос тавки и посылает ее заданному получателю, пока оригинал еще удерживается для доставки.
Рассмотренный комплекс угроз требует защиты от несанкци онированной модификации сетевого и системного программного обеспечения, а также защиты от НСД к хранящимся сообщениям. Для наиболее опасных ситуаций, связанных с безопасностью сис темы, характерны следующие:
нарушения появляются в любое время и в любом месте периметра защиты информационной системы;
квалификация и осведомленность нарушителя может быть на уровне разработчиков системы;
309