Заключение.
Анализ тенденций развития теории и практики компьютерной безопасности
В настоящем учебном пособии подробно изложен только один из аспектов обеспечения информационной безопасности, а именно нормативно-правовое регулирование. С точки зрения подготовки кадров в области компьютерной безопасности полезно представлять общую проблематику и современные тенденции развития в данном направлении. После подготовки данной книги в июне 2007 года состоялся XI Пленум Учебно-методического объединения вузов Российской Федерации по образованию в области информационной безопасности. В сборнике трудов была опубликована обширная статья, в которой приводится анализ тенденций развития теории и практики компьютерной безопасности в связи с проблемами образования в области компьютерной безопасности [12]. Авторы статьи Лось В.П. и Черемушкин А.В. имеют многолетний опыт практической и педагогической работы в области информационной безопасности.
Материалы статьи подготовлены при поддержке Академии криптографии Российской Федерации. При подготовке статьи были использованы нормативные документы, периодические научные издания, материалы научных конференций, учебных пособий, монографий и отчетов по НИР, раскрывающие те или иные аспекты компьютерной безопасности. Ниже приводится полный текст статьи.
Особенности современного этапа развития теории компьютерной безопасности.
Первоначально проблема обеспечения безопасности данных возникла при расширении круга пользователей ЭВМ и вычислительных систем.
390
Увеличение количества ЭВМ и областей их применения объективно создало предпосылки для модификации, хищения и уничтожения данных. Появление автоматизированных информационных систем еще более усугубило проблему обеспечения безопасности данных. В рамках данного исследования можно выделить следующие этапы развития концепции обеспечения компьютерной безопасности.
Центральной идеей начального этапа являлось намерение обеспечить безопасность данных механизмами, функционирующими по строго формальным алгоритмам. Для создания таких механизмов использовались технические и, в основном, программные средства. Программные средства защиты включались в состав операционных систем (ОС) или систем управления базами данных (СУБД). Слабым звеном разработанных механизмов защиты оказался механизм защиты доступа пользователя к данным. Поэтому следующим шагом к повышению эффективности защиты стала организация дифференцированного доступа к данным. Однако, всесторонние испытания таких систем, как MULTICS и ADEPT-50 показали, что указанные системы, с точки зрения обеспечения безопасности данных, имеют множество недостатков.
В1960-х и 70-х годах основное внимание было сосредоточено на разработке методов защиты данных, обрабатываемых на компьютере, и повышении отказоустойчивых решений в области обработки информации
вавтоматизированных системах, построенных в основном на основе централизованных систем и терминального доступа. Поэтому тогда говорили о защите данных (data security) в компьютерных системах.
В1980-х годах с появлением персональных компьютеров возникла необходимость в разработке средств защиты от копирования и несанкционированного использования программ, появились первые криптографические стандарты защиты данных, а также были разработаны критерии оценки безопасности операционных систем компьютерных
391
систем, определяющие различные системы разграничения доступа.
Появился термин компьютерная безопасность (computer security).
Получила распространение триединая модель confidentiality, integrity, availability (CIA) для определения задач компьютерной безопасности.
В 1990-х годах с интенсивным развитием сетевых компьютерных технологий и появлением распределенных компьютерных систем основные усилия специалистов были направлены на решение следующих задач: обеспечение безопасности сетевого и межсетевого взаимодействия;, разграничение доступа к распределенным ресурсам; комплексное обеспечение безопасности информации в распределенной автоматизированной системе. Большое развитие получили клиентсерверные технологии доступа. Средства защиты стали встроенными в большинство создаваемых промышленных продуктов. В это же время был накоплен опыт расследования и пресечения компьютерных преступлений. Несмотря на развитие теории и реализацию в практических системах технологий обеспечения компьютерной безопасности, объем ущерба, наносимого в результате компьютерных инцидентов, возрастал. Появилось осознание того, что информационные ресурсы организации или государства являются важным объектом экономической инфраструктуры. Стало понятно, что обеспечение безопасности объектов информатизации, обладающих определенной ценностью, требует привлечения различных ресурсов (людских, организационных, программно-технических) и построения системы мер и методов защиты. Поэтому в научной литературе, а затем и в средствах массовой информации стали использовать термин информационная безопасность (information security).
Кроме того, в государственных структурах, а потом и в криминальных сообществах появилось много средств скрытого информационного воздействия на работу автоматизированных систем. В военную доктрину многих стран было включено понятие информационной войны и
392
информационного |
оружия. |
Появилось |
понятие |
критических |
|
информационных систем. |
|
|
|
|
|
Уточнено понятие CIA-модели для |
представления основных |
||||
составных свойств |
и возможностей, |
гарантирующих |
безопасность: |
||
доступность (Availability); целостность (Integrity); аутентификация
(Authentication); конфиденциальность (Confidentiality); Невозможность отказа от ранее совершенных действий (Nonrepudiation); восстановление
(Restoration).
Накопленный опыт в области обеспечения безопасности данных, а также усиление тенденции к стандартизации и унификации средств автоматизации информационных процессов позволили перейти к разработке методов, моделей и алгоритмов управления защитой данных в автоматизированных системах. Начало XXI века характеризуется наличием большого числа многофункциональных систем высокой степени интеграции, вобравших в себя последние достижения в развитии технологий обработки, хранения и передачи информации. В конце XX века формируются основы теории обеспечения информационной безопасности как направления научных исследований. Теория приобретает определенную структуру, организуются специализированные институты и международные сообщества исследователей, проводятся тематические научные конференции.
К основным особенностям современного этапа развития теории компьютерной безопасности относятся:
1. Высокая интеграция информационных систем. Это привело к необходимости поиска комплексных решений в области разработки методов обеспечения информационной безопасности, учитывающих особенности работы операционных систем, сетевого многоуровневого взаимодействия и прикладных программ и сервисных приложений, ориентированных на решение различных информационных задач.
393
2.Усложнение информационных технологий передачи, обработки и хранения информации в сочетании с их широкой доступностью. Простота доступа и широкая аудитория являются принципиальным требованием для некоторых категорий систем: платежные системы, электронные магазины, сайты государственных структур и т.п.
3.Широкий спектр аппаратных платформ, от карманных до Hi-End компьютеров.
4.Развитие сетевых технологий и телекоммуникаций с различной архитектурой и коммуникационными протоколами, большим набором сетевых служб и сервисов, широкое использование сервисориентированной архитектуры. Эта особенность, с одной стороны, расширяет возможности организации скрытого взаимодействия и обеспечения анонимности, а, с другой стороны, повышает требования к безопасности работы в недоверенном и зачастую агрессивном окружении. Появление новых видов сетевого взаимодействия, включая интенсивное развитие аппаратных средств и протоколов беспроводной и мобильной связи, приводит к необходимости расширения и совершенствования методов защиты, учитывающих особенности новых технологий организации доступа и обработки информации.
5.Наличие большого числа международных организаций, координирующих разработки и осуществляющих стандартизацию в областях:
разработки оборудования и программного обеспечения
(IEEE/ACM);
требований в области КБ (протоколов взаимодействия (IETF), механизмов защиты (ISO), оценки уровня защищенности);
образования в этих областях (IEEE/ACM).
6.Появление детальных и высокоразвитых стандартов в области:
394
средств безопасности межсетевого взаимодействия (несколько тысяч документов *.rfc организации IETF);
оценки защищенности (ISO 15408);
организационных требований к технологиям обеспечения информационной безопасности и аудиту уровня обеспечения информационной безопасности (ISO 17799, BS 7799, part 2, CoBIT);
образования в области компьютерных наук (Computing Curricula 2001, Curriculum Guidelines 2004).
7. Постоянное обновление имеющегося и появление большого числа разнообразного несертифицированного программного обеспечения иностранных производителей, широко используемого в нашей стране, в том числе и в критически важных областях экономики и сферы государственного управления.
8. Недостаточно высокая надежность доступного на потребительском рынке оборудования. Это требует принятия мер повышения надежности и,
втом числе, разработки методов обеспечения бесперебойной работы
автоматизированных систем, методов и технологий |
быстрого |
восстановления систем передачи и обработки информации. |
|
9.Расширение спектра свойств, характеризующих безопасность (только для протоколов – 20 свойств в документах IETF).
10.Появление и широкое использование развитых программных систем со встроенными средствами защиты (операционные системы, промышленные СУБД, электронные платежные системы).
11.Появление сложных организационных, технологических, криптографических и правовых проблем в связи с широким внедрением в государственных структурах и субъектах экономической деятельности систем электронного документооборота. Проблема создания юридически значимого электронного документооборота особенно усложнена отсутствием отечественных разработок в области текстовых процессоров и
395
других современных средств обработки, сопровождения и архивирования документов, занимающих сколько-нибудь заметное место на рынке. Для защиты электронного документооборота в РФ был принят Федеральный закон «Об электронной цифровой подписи» и разработан проект закона об электронном документе. Происходило активное внедрение нового государственного стандарта электронной цифровой подписи на основе эллиптических кривых и разработка возможных вариантов реализации удостоверяющего центра. Вместе с тем, пока остается много нерешенных технических проблем с обеспечением безопасности удостоверяющих центров.
12.Широкое распространение систем сокрытия информации, включая стеганографические системы и близкие области: цифровые водные знаки, цифровые метки. Это привело к появлению нового научного направления, связанного с одной стороны с разработкой новых алгоритмов, обладающих стойкостью к обнаружению и извлечению вложенной информации, а с другой стороны, с разработкой методов обнаружения такой информации.
13.Значительно увеличилось число и усложнился характер возможных угроз утечки секретной и конфиденциальной информации за счет расширения возможностей доступа к средствам хранения, обработки и передачи информации и большого многообразия средств возможного воздействия с целью изменения ее содержания.
14.Дальнейшее повышение технологического уровня и совершенствование тактики компьютерных атак. При общем уменьшении числа различных атак сами атаки значительно усложняются и становятся более изощренными. Появляются новые классы атак с широкими функциональными возможностями, обладающие небольшим программным кодом, способные самостоятельно маскировать свое присутствие в системе,
ипредоставляющие разработчику практически неограниченные возможности в плане воздействия на систему. Несмотря на отсутствие
396
значительных вирусных эпидемий, наблюдалось появление возрастающего числа новых компьютерных вирусов и других вредоносных программных агентов.
15.Осуществлялось дальнейшее наращивание арсенала сертифицированных средств защиты информации в информационнотелекоммуникационных и банковских системах передачи данных, а также
всистемах, использующих интеллектуальные пластиковые карты. Однако рынок средств защиты отечественного производства занимает очень малую долю на фоне многочисленных зарубежных продуктов, которые при меньшей цене обладают большей совместимостью с распространенными системами и большим набором предоставляемых сервисов, проигрывая только в вопросах надежности защиты.
16.Новым перспективным направлением, связанным с аутентификацией и проверкой целостности, является разработка средств и методов, в том числе с применения криптографии, для защиты нового поколения документов, в которых для повышения надежности идентификации владельца используются биометрические параметры.
Основной задачей здесь является обеспечение практической невозможности подделки или дублирования документов, удостоверяющих личность. Значение этого для борьбы с преступностью и терроризмом не нуждается в дополнительных объяснениях. Сюда же относится и проблема создания на территории РФ национальной идентификационной системы, элементы которой уже внедрены в различных регионах, включая социальные карты, электронные паспорта, и т.п.
17.Еще одна серьезная проблема, которая возникла в последние годы
иможет заметно изменить положение дел с уровнем обеспечения информационной безопасности в автоматизированных системах государственных и негосударственных структур, связана с намерением России войти в состав ВТО. По требованию этой организации в России
397
принят Федеральный Закон № 184 от 27.12.2002 г. «О техническом регулировании», согласно которому с 30.06.2010 г. прекращают действие все действующие государственные стандарты и осуществляется переход к специальным техническим регламентам (СТР), которые должны быть к этому времени разработаны. При этом утвержден новый подход к порядку лицензирования и сертификации продуктов. По этому закону государственному контролю, и, в том числе лицензированию и сертификации, подлежат только те сферы, которые могут потенциально нанести вред жизни и здоровью потребителей. Поскольку информационные технологии попадают под его действие, то в сфере информационной безопасности также должны быть разработаны и утверждены новые документы взамен существующих стандартов. Понятно, что здесь возникнет масса проблем с регулированием разработки и применения средств защиты информации, и прежде всего, основанной на применении криптографических методов.
18. Можно констатировать устойчивый интерес рынка к выпускникам высших учебных заведений по специальности «Компьютерная безопасность». Официальный прогноз потребности государственных структур на период до 2010 года (в целом по специалистам в области информационной безопасности): от 4000 до 5000 специалистов в год. В то же время значительная часть выпускников реально идет работать в частный сектор экономики России. Уровень подготовки специалистов в различных вузах России заметно различается. Представленная научная и учебная литература по тематике компьютерной безопасности также сильно отличается качеством. С одной стороны, на рынке представлено несколько десятков учебных пособий (и всего 2 учебника) для специальности «Компьютерная безопасность», имеющих грифы Минобрнауки или профильного УМО. С другой стороны, уровень некоторых научных публикаций и претендующей на учебную литературы, особенно в области
398
дисциплин криптографического цикла и смежных областей знания, весьма низкий.
19. В России сформировался рынок организаций, представляющих собственные решения в области компьютерной безопасности, и фирминтеграторов, предлагающих комплексные решения по обеспечению информационной безопасности организаций и предприятий. Знакомство студентов с продуктами отечественных производителей при проведении практических занятий находится на зачаточном уровне, хотя со стороны промышленности проявляется готовность поиска специальных условий поставки продуктов для учебных заведений.
20. В последнее время получило определенное развитие направление, связанное с анализом и управлением информационными рисками. Расширяются исследования в области автоматизации контроля и аудита информационной безопасности автоматизированных систем различного назначения. В совокупности можно говорить о развитии направления экономики информационной безопасности.
Практические аспекты применения методов защиты информации.
К основным областям, вокруг которых было сконцентрировано развитие практических аспектов применения методов защиты информации, относятся:
1. Защита от копирования. Это традиционное направление в последнее время также получило новое развитие в связи с обеспечением возможности ограничения несанкционированного распространения дорогого программного обеспечения. Если раньше это было характерно только для очень дорогих программ, а также для программного обеспечения (ПО) таких поставщиков, как SUN Microsystems, Silicon Graphics и т.п., то с появлением технологи TCPA (trusted computer protected
399
architecture) такая же участь ожидает в скором будущем и компьютеры платформы Intel.
Основные способы решения этой проблемы:
нестандартное форматирование носителей;
привязка ПО к оборудованию;
электронные ключи.
2. Анализ программных реализаций на наличие недокументированных возможностей.
Данное направление особенно актуально для исследования ПО иностранных производителей, а также при проведении сертификационных исследований. Кроме того, наличие ошибок в ПО (exploits) позволяет создавать методы нарушения безопасности, основанные на использовании этих ошибок.
Основные проблемы, стоящие в данной области:
методы верификации и валидации (V&V);
анализ программного кода (reverse engineering): o декомпиляция и дизассемблирование;
o восстановление алгоритмов.
методы исследования программ:
o метод экспериментов; o статический метод; o динамический метод.
методы защиты кода от анализа:
o кодирование, упаковка и шифрование исполняемых модулей; o запутывание кода;
oзащита от конкретных отладочных механизмов;
поиск недокументированных возможностей:
400
o |
методы |
формального |
описания |
(спецификации) |
функциональных свойств программ, поведения программных систем; |
||||
o |
методы извлечения спецификаций из различных программных |
|||
объектов, таких как проектная текстовая документация, диаграммы, тексты
программ, трассировочная информация; |
|
|
|
o |
методы статической и динамической |
проверки соответствия |
|
поведения системы ее спецификации. |
|
|
|
3. Защита в операционных системах. |
Эта |
классическая область |
|
компьютерной безопасности. С появлением современных защищенных сетевых операционных систем интенсивно развиваются и совершенствуются применяемые в них методы защиты.
Перечислим круг проблем, решаемых в этой области:
разграничение доступа
o |
объекты, субъекты, методы, права, привилегии |
o |
дискреционное |
векторы доступа
списки доступа
o |
изолированная программная среда |
o |
мандатное |
особенности разграничения доступа в UNIX-системах
o |
формат векторов доступа |
o |
SUID/SGID |
особенности разграничения доступа в Windows-системах
o |
классификация объектов и субъектов доступа |
o |
методы и права доступа: специфичные, стандартные, |
общие, виртуальные
o |
маркеры доступа, дескрипторы защиты, форматы |
списков доступа |
|
401
o |
алгоритм проверки прав доступа субъекта к объекту |
o |
автоматическое назначение атрибутов защиты вновь |
создаваемым объектам, автоматическое наследование изменений в защите контейнеров
идентификация и аутентификация
o |
парольная |
o |
угрозы: компрометация и подбор пароля, методы |
подбора пароля |
|
o |
расширения парольной схемы |
o |
на основе внешних носителей информации |
o |
биометрическая |
o |
физические характеристики |
o |
методы свертки данных |
o |
оценка надежности |
o |
особенности аутентификации в UNIX-системах |
o |
особенности аутентификации в Windows-системах |
аудит
интеграция защищенных ОС в защищенную сеть
o |
домены Windows NT |
сквозная аутентификация
назначение полномочий пользователям домена
элементы централизованного управления политикой безопасности
отношения доверия
o |
активный каталог Windows 2000/2003 |
групповая политика
делегирование полномочий
Проблема построения защищенной ОС тесно связана с анализом известного программного кода (сейчас имеется доступ к исходным кодам
402
ОС Windows, Linux, Solaris). Поэтому разрабатываются общие единые подходы к доработке исходного кода таких ОС.
Наконец, важной является проблема разработки языка задания политик безопасности, позволяющего однозначно транслировать функциональные обязанности пользователей в конструкции политик безопасности.
4. Защита в СУБД. Наиболее важными новыми направлениями развития для СУБД промышленного уровня являются:
•разработка технологии избирательного управления доступом (Fine Grained Access); избирательность ограничений доступа может быть реализована за счет использования дополнительных предикатов вплоть до уровня элемента данных;
•разработка технологии избирательного аудита (Fine Grained Audit); избирательность фиксации записей аудита определяется возможностями записать соответствующее ограничение в форме предиката;
•встраивание в СУБД механизмов шифрования на уровне столбцов таблиц (в основном на базе алгоритмов DES и AES); дополнительно представлены встроенные генераторы псевдослучайных последовательностей и алгоритмы вычисления хеш-функций основных распространенных в США и Европе стандартов; реализовано явное и неявное управление ключами;
•встраивание средств управления сертификатами и личными (закрытыми) ключами;
•расширение возможностей управления восстановлением предыдущих состояний баз данных (откат транзакций);
•полномасштабная реализация классической модели мандатного доступа.
403
Современная СУБД является совокупностью процессов, совместно использующих область оперативной памяти, обеспечивая логическое управление языковыми средствами в соответствии с предписанной технологией. Управляемая база данных, как правило, является распределенной, т.е. физически размещенной на нескольких носителях. Поэтому для реализации защиты необходимо проведение детального исследования исходного программного кода.
5. Защита в сетях. На первое место по объему исследований вышла область обеспечения безопасности при работе в компьютерных сетях. Это объясняется большим многообразием сетевых протоколов, которые далеко не всегда обеспечивают безопасность основных аспектов взаимодействия, что предоставляет широкие возможности для проведения различных атак.
Основное внимание здесь сосредоточено на таких вопросах, как:
классификация различных видов атак
o |
отказ в обслуживании |
(floods, nukes) |
o |
несанкционированное получение повышенных |
|
полномочий в удаленной системе |
|
|
o |
прослушивание и навязывание трафика |
|
o |
раскрытие параметров системы |
|
o |
особенности сетевых атак в беспроводных сетях |
|
протоколы аутентификации
o |
«обычные» |
o |
на основе распределения ключей (Kerberos и др.) |
o |
«провайдерские» (Radius и т.п.) |
o |
техника «запрос-ответ» и протоколы с нулевым |
разглашением |
|
протоколы распределения ключей
o |
виды ключевой информации |
404
o особенности реализации в различных сетевых операционных системах
алгоритмы шифрования
o особенности реализации в различных сетевых операционных системах
межсетевые экраны
o |
виды экранов |
o |
«истинно межсетевые» |
o |
персональные пакетные фильтры |
защищенные виртуальные частные сети (VPN)
o |
обоснование выбора расположения модулей VPN в |
рамках семиуровневой модели межсетевого взаимодействия |
|
o |
проблема информационного замыкания VPN, |
работающей на базе открытой сети
защита систем электронной почты
защита WEB-сайтов
гетерогенные сети
oопределение уровней совместимости защищенных ОС
6.Программные закладки, компьютерные вирусы и сетевые черви. Появление многочисленных средств скрытого информационного воздействия, способных скрытно внедряться и существовать в системе, а также нести самую разнообразную «полезную нагрузку», требует постоянного внимания к изучению методов и средств такого воздействия, разработки методов и средств преодоления защиты и проникновения в защищенные системы, также защиты от них.
7. Компьютерная стеганография. Стеганографические |
средства |
позволяют решить ряд проблем по сокрытию передачи и хранения
405
информации, которые не могут быть решены с применением криптографической техники. Кроме того, они находят применение в таких областях, как защита авторских прав на электронную продукцию, позволяют проследить использование различных продуктов путем внесения в них цифровых меток, а также организовать размещение легко доступной справочной и другой вспомогательной информации в файлах со сложной структурой, таких, как географические карты, мультимедиа форматы и т.п. Основные вопросы, по которым применительно к данной проблематике проводились исследования:
характеристики восприятия
способы сокрытия и затруднения обнаружения
сокрытие в графических файлах
o |
дискретные преобразования |
косинусное преобразование (DCT)
вейвлет-преобразования
o фракталы
сокрытие в видео и аудио файлах
сокрытие в форматах real-media
сокрытие в исполняемых файлах
цифровые водяные знаки (ЦВЗ)
o |
стойкость к удалению |
o |
робастность |
пропускная способность скрытого канала
8. Беспроводные сети и мобильная связь. Очень быстрое развитие средств беспроводной и мобильной связи и большое к ним внимание стороны потребителей и производителей поставили целый ряд задач по изучению возможностей их применения и исследованию вопросов обеспечения безопасности таких соединений. В настоящее время
406
разработано много поколений протоколов с большим спектром средств обеспечения безопасности, включая выработку общего ключа, шифрование, аутентификация, прыгающие частоты, и т.д.
Благодаря своему удобству, данные виды связи можно применять не только для передачи информации, но и для управления (с помощью наладонных компьютеров, коммуникаторов и смартфонов) другими устройствами, выполняющими определенные функции, связанные со съемом, обработкой, хранением и передачей информации.
Здесь также следует также упомянуть разработку основными поставщиками промышленных СУБД серверов приложений, обеспечивающих создание интегрированных информационных систем с возможностью доступа и управления данными по различным (в том числе
ибеспроводным) каналам связи.
9.Электромагнитное оружие. В настоящее время разработано много различных вариантов воздействия на аппаратную часть компьютерной техники и магнитные носители. Разработаны общие схемы такого воздействия и реализовано много конкретных примеров устройств.
Основные вопросы:
классификация силового деструктивного воздействия o по способу и объекту воздействия
на магнитные носители
на блок питания
на сетевое оборудование
o по объекту воздействия
по мощности
по времени
по частоте
практические примеры построения систем
407
10. Биометрическая аутентификация. Появление на рынке большого разнообразия средств биометрической аутентификации и встраивание таких средств в аппаратное обеспечение, включая клавиатуры, мыши, флэш- и PCMCI-карты, карманные и переносные компьютеры, требуют анализа надежности их применения для решения задач обеспечения безопасности.
В частности, биометрическая аутентификация может основываться на:
голосовых особенностях,
почерке,
тепловой карте лица,
радужной оболочке глаза,
отпечатках пальцев и т.п.
Вопросы, рассматриваемые при этом:
выбор индивидуальных характеристик и способов их измерения
выбор способов преобразования результатов измерений в итоговый цифровой образ
оценка надежности распознавания
11. Системы электронного документооборота. Процесс информатизации деятельности ведомств, учреждений, предприятий, фирм и т.п. привел к широкому использованию различных электронных систем обработки служебной и деловой информации. Осуществляемый при этом перевод в электронную форму многих документов связан с проблемой обеспечения безопасности такого документооборота. Основным средством подтверждения подлинности и установления авторства служат системы электронной цифровой подписи. Их внедрение связано с необходимостью решения ряда организационных, технологических, криптографических и правовых проблем, к числу которых относятся:
408
выработка принципов построения федеральной системы управления цифровыми сертификатами и обеспечения ее информационной безопасности;
поддержка единого отечественного стандарта для вида цифрового сертификата;
анализ структуры и протоколов взаимодействия отечественных и зарубежных инфраструктур удостоверяющих центров;
уточнение понятия электронного документа, с учетом различных этапов его жизненного цикла;
разработка надежного программного обеспечения для удостоверяющих центров;
внедрение систем поддержки цифровых сертификатов в используемые системы обработки электронных документов;
разработка доверенных средств обработки, сопровождения и архивирования электронных документов.
12. Электронные платежные системы. Широкое распространение электронных платежных систем объясняется их удобством и простотой использования для клиента и высокой доходностью для владельца. Многие производители подобных средств предлагают неодинаковые решения, поэтому имеется большое разнообразие применяемых в них технологий и способов защиты.
Внастоящее время различают системы с
электронными,
виртуальными и
цифровыми деньгами.
К числу вопросов, наиболее часто обсуждаемых в публикациях, относятся:
архитектура и технологические решения,
409
протоколы безопасности,
особенности систем на основе пластиковых карточек, виды, технологии и инфраструктура.
13. Экспертиза компьютерных преступлений. Все возрастающие потребности и большая сложность проведения такой экспертизы требуют разработки надежных специализированных автоматизированных средств. Расширяется и круг задач, решаемых при проведении экспертизы. Это вызвано большим разнообразием имеющихся технологий хранения, обработки и передачи информации, широким распространением портативных и карманных компьютеров, имеющих разнообразные операционные системы и прикладное программное обеспечение. Основные вопросы:
анализ остаточной информации,
следы программ,
модели и признаки,
оценка достоверности полученных выводов,
использование аппаратных особенностей для восстановления и снятия информации.
Фундаментальные проблемы теории компьютерной безопасности.
Развитие теории компьютерной безопасности было бы невозможно без исследования ее фундаментальных проблем. К последним можно отнести:
1. Формальные модели безопасности Данное направление традиционно занимает одно из центральных
мест в большинстве книг по компьютерной безопасности. Разработке и исследованию различных моделей безопасности посвящено достаточно большое число работ.
410
Наибольшую трудность представляет формализация самого понятия безопасности системы.
Первоначально моделирование безопасности системы осуществлялось на языке рубежей защиты, позволяющих перекрыть возможность осуществления тех или иных атак. При этом система называлась защищенной от конкретного множества атак, если механизмы защиты полностью перекрывали пути использования уязвимостей системы, приводящие к этим атакам. Но в силу особенностей функционирования компьютерных систем данный подход не позволил получить доказательных условий для проверки безопасности системы, и в дальнейшем он стал применяться только в качестве иллюстрации при оценке рисков.
В настоящее время введены и исследованы различные модели управления доступом, передачи полномочий. Для их описания, как правило, применяются теоретико-графовые и теоретико-автоматные модели. Наибольшее распространение получил т.н. субъектно-объектный подход, при котором безопасность компьютерной системы определяется как такое ее поведение, при котором она не может перейти в небезопасное состояние. Однако при этом возникают большие трудности в нахождении эффективных критериев, позволяющих гарантировать небезопасность поведения системы, или обнаружить возможность перехода в то или иное небезопасное состояние. Для придания конструктивности этому подходу, исследуются формальные правила, описывающие получение и передачу прав доступа, и разрабатываются такие ограничения на поведение системы, при которых не происходит нарушения этих правил. Такой подход позволяет находить необходимые и достаточные условия, позволяющий эффективно проверить возможность осуществления несанкционированных доступов.
411
В последние годы появились исследования по формализации понятия управления информационными потоками в компьютерных системах, описанию и исследованию скрытых каналов, которые могут потенциально приводить к утечке информации. Получили формальное описание модели каналов утечки информации по памяти и по времени, а также найдены условия, позволяющие проверить наличие или исключить такие каналы.
В основе введенного формализма лежит семейство математические модели КС, называемых ДП-моделями (от Доступы/Потоки). Первой построена базовая ДП-модель КС с дискреционным управлением доступом, которая является основой всех ДП-моделей. Принципиальным фактом здесь является не только то, что данные модели обобщают известные подходы, но и то, что в ДП-моделях учтен ряд особенностей функционирования современных компьютерных систем (КС), в том числе:
•различие в условиях реализации в КС информационных потоков по памяти и по времени;
•наличие в современных КС иерархической структуры сущностей и возможность ее использования при реализации информационных потоков по времени;
•возможность кооперации части субъектов КС при передаче прав доступа или реализации информационных потоков,
•возможность реализации в КС доверенных и недоверенных субъектов с различными условиями функционирования,
•возможность противодействия доверенными субъектами КС передаче прав доступа или реализации информационных потоков недоверенными субъектами,
•возможность изменения функциональности субъекта при реализации информационного потока по памяти на функционально-ассоциированные с ним сущности.
412
В работах [1, 2] предпринята попытка формализации понятия управления информационными потоками в компьютерных системах, описанию и исследованию скрытых каналов, которые могут потенциально приводить к утечке информации. Получили формальное описание модели каналов утечки информации по памяти и по времени, а также найдены условия, позволяющие проверить наличие или исключить такие каналы.
2. Формальные методы оценки рисков.
Оценка рисков осуществляется на начальном этапе проектирования системы защиты и является основой для выработки политики безопасности. Она выполняется в четыре этапа: составление списка объектов риска, составление списка угроз, определение уровня риска, выбор мер и организация защиты. При оценке рисков применяются, в основном, методы экспертного оценивания. При этом обычно применяются шкалированные оценки. Они основываются на практическом опыте и опираются, в основном, на известные случаи нарушений политики безопасности для различных систем. Кроме того, имеются подходы, предлагающие вероятностные оценки и определенные методики расчета. Качественно, ситуацию с оценкой риска иногда изображают в виде постой формулы
,
которая показывает, что уровень риска прямо пропорционален величинам угроз, уязвимости, частоте воздействия, и обратно пропорционален эффективности принятых контрмер.
В настоящее время имеется много документов, содержащих описание основных объектов риска и угроз, а также возможных мер защиты (ISO/IEC 17799, ISO/TR 13569, ISA/TR99.00.01-2004, ISA/TR99.00.02-2004 и др.). Например, меры защиты могут быть
413
подразделены на четыре категории: меры предотвращения, гарантии, обнаружения и восстановления. Примерами таких мер являются:
меры предотвращения – шифрование, аутентификация, безопасная архитектура, инфраструктура открытых ключей, защита коммуникаций, безопасность приложений, и др.
меры гарантии – тестирование стандартов, проверка безопасности приложений, контроль периметра, контроль проникновений, оценка уязвимостей, и др.
меры обнаружения – обнаружение вторжений, удаленный мониторинг угроз,
меры восстановления – обеспечение непрерывности, анализ кризисных ситуаций, планы и процедуры восстановления, и т.д.
3.Формальные языки описания политик безопасности. В настоящее время разработано несколько экспертных систем, позволяющих осуществлять выработку политики безопасности для конкретных компьютерных систем, в которых на основе общих подходов и практического опыта заложены типовые решения для различных ситуаций. Такие системы могут быть эффективно использоваться как для практических применений, так и для целей обучения специалистов. Важной здесь является проблема разработки языка задания политик безопасности, позволяющего однозначно транслировать функциональные обязанности пользователей в конструкции политик безопасности.
4.Модели доверенной базы (trusted computing base, TCB). Понятие доверенной вычислительной базы было впервые формализовано применительно к операционным системам в рамках формулирования критериев оценки безопасности компьютерных систем. В дальнейшем оно уточнялось для систем с различной архитектурой и, прежде всего, для
414
систем с распределенной и сетевой архитектурой. Имеется много теоретических работ в этом направлении.
При практическом применении четкое явное описание доверенная база могла получить только для систем, которые были специально спроектированы как системы с высоким уровнем защищенности.
Вместе с тем, быстрое развитие и усложнение системного программного обеспечения привело к тому, что для большинства широко распространенных компьютерных систем явное выделение доверенной базы представляется очень затруднительным, а подчас и невозможным.
Поэтому круг проблем, связанных с формальным выделением доверенной базы, трансформировался в совокупность задач более тщательного изучения понятия «окружение» и формулирования требований к нему.
5. Модели оценки ценности информации. Данное направление также имеет отношение к проблеме обеспечения информационной безопасности. Проблема классификации информации имеет непосредственное отношение к формированию политики безопасности. В простейшем случае в моделях безопасности применяется одноуровневая модель с разграничением доступа (в моделях с дискреционным доступом) или многоуровневая модель, в которой все информационные объекты сгруппированы на нескольких уровнях в зависимости от их значимости, секретности, и т.п. (мандатная или полномочная модель). Иерархия информационных ресурсов предполагает наличие определенной иерархии среди пользователей, основанной на наличии допуска и ответственности за ресурсы.
Использование более сложных моделей оценки ценности информации может приводить к более сложным формальным моделям безопасности.
415
6.Системные вопросы. Новый взгляд на требования к системам защиты получается при использовании системного подхода для решения проблемы построения системы защиты и анализа следующих системных свойств:
•системность (совокупность взаимосвязанных элементов),
•структурность (определяется только взаимосвязями элементов),
•устойчивость (степень сопротивляемости деструктивным воздействиям).
Здесь важным является то, что помимо обеспечения собственно безопасности информации (достоверность, доступность, целостность, конфиденциальность), появляется новое системное требование – устойчивость к деструктивным воздействиям как на саму систему, так и на систему управления ею.
7.Разработка теоретических основ построения систем автоматизации анализа протоколов безопасности
Проблемы анализа протоколов в последнее десятилетие обсуждались очень интенсивно. Уточнен список свойств, характеризующих безопасность протоколов. Сейчас их уже более 20. Предложен целый ряд систем автоматизации анализа, с помощью которого проведена проверка большинства теоретических и многих известных прикладных протоколов. Наиболее эффективными оказались методы анализа на основе проверки моделей и систем автоматического доказательства теорем. Как оказалось, последние достижения в области искусственного интеллекта касающиеся проблем автоматического вывода, задачи выполнимости, теории планирования и проверки моделей могут быть эффективно применены в данной области. Об этом свидетельствует европейский проект AVISPA. В
416
нем на единой программной платформе реализовано несколько подходов, опирающихся на теоретические исследования в области:
временной логики,
систем переписывания термов,
древовидных автоматов,
символической проверки моделей и др.
В настоящее время для тестирования безопасности протоколов разработано много разнообразных программных средств, в основе которых лежат формальные методы.
По принципам работы их можно сгруппировать в два основных класса:
•основанные на логической проверке корректности рассматриваемого протокола,
•основанные на проверке моделей.
417