6.3.4 Основні проблеми безпеки інформаційних технологій
Проблеми безпеки інформаційних технологій виникли на перетині двох передових у плані використання технічних досягнень напрямів — безпеки технологій та інформатизації. В умовах, коли об'єкт захисту представляє собою інформаційну систему, або коли засоби нападу мають форму інформаційних впливів, необхідно застосовувати цілком нові технології та методи захисту. Можна підійти до систематизації ситуації із забезпеченням безпеки інформаційних технологій наступним чином (рис. 6.11) [33].
Насамперед слід відзначити, що сучасні комп'ютери набули великої обчислювальної потужності, але разом з тим стали набагато простішими в експлуатації. Це означає, означає, що користуватися ними стало набагато легше, завдяки чому все більша кількість нових, як правило, некваліфікованих людей одержали доступ до комп'ютерів, що призводить до зниження середньої кваліфікації користувачів.
Ця тенденція суттєво полегшує завдання порушникам, так як в результаті "персоналізації" засобів обчислювальної техніки більшість користувачів мають особисті комп'ютери та здійснюють їхнє адміністрування самостійно. Більшість з них не можуть постійно під-
240
Розділ 6 Інформаційні системи та технології як об'єкти безпеки
Р
ис.
6.11.Основні
проблеми забезпечення безпеки
інформаційних
технологій
тримувати безпеку цих систем на належному рівні із-за відсутності відповідних знань, навичок, а також часу и засобів.
Широке розповсюдження мережних технологій об'єднало окремі машини в локальні мережі, які спільно використовують загальні ресурси, а застосування технологій клієнт-сервер та кластеризації перетворило такі мережі в розподілені обчислювальні середовища. Безпека мережі визначається захищеністю всіх комп'ютерів та мережаного обладнання, що входить до її складу, і зловмисникові достатньо порушити роботу тільки однієї компоненти, щоб скомпрометувати всю мережу.
241
Частина II Основи безпеки інформаційних технологій
С
учасні
телекомунікаційні технологій об'єднали
локальні комп'ютерні
мережі в глобальне інформаційне
середовище. Це призвело
до появи такого унікального явища як
Internet.
Саме розвиток
Internet
викликав
хвилю інтересу до проблеми інформаційної
безпеки
та поставив питання про обов'язкову
наявність засобів захисту
в систем та мереж, які приєднуються до
Internet,
незалежно до
характеру
інформації, яка оброблюється в них.
Справа в тому, що Internet
забезпечує
широкі можливості зловмисникам для
здійснення
порушень безпеки в глобальному масштабі.
Якщо комп'ютер, який
є об'єктом впливу (атаки), приєднаний до
Internet,
то для
атакуючого не має значення де він
знаходиться — у сусідній кімнаті чи на
іншому континенті.
Інша проблема безпеки інформаційних технологій викликана бурхливим розвитком програмного забезпечення. Практика показує, більшість розповсюджених сучасних програмних засобів, в першу чергу операційних систем, не відповідає навіть мінімальним вимогам безпеки, хоча їхні розробника останнім часом здійснюють певні зусилля у цьому напрямку.
У першу чергу це проявляється у наявності вад у роботі засобів захисту та наявності великої кількості різноманітних "недокументо-ваних" можливостей. Після їхнього виявлення багато вад ліквідовуються за допомогою оновлення версій та додаткових засобів, проте та сталість, з якою виявляються все нові та нові вади, не може не викликати побоювань. На теперішній час можна стверджувати, що більшість систем надають зловмисникам широкі можливості для здійснення порушень.
Розвиток гнучких та мобільних технологій оброблення інформації привів до того, що практично зникає грань між даними, які оброблюються, та програмами, за якими вони оброблюються, за рахунок широкого розповсюдження віртуальних машин та інтерпретаторів.
Тепер будь-який розвинений додаток від текстового процесора до броузера Internet не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальних мов програмування, тобто по суті є окремою машиною з традиційною фон-нейманівською архітектурою, для якої можна створювати засоби нападу, віруси і т.ін. Це збільшує можливості зловмисників із створення засобів впровадженні у чужі системи та утруднює завдання захисту подібних систем, так як наявність таких "вкладених" систем потребує і реалізації захисту для кожного рівня.
Невідповідність бурхливого розвитку засобів оброблення інфор-
242
Розділ 6 Інформаційні системи та технології як об'єкти безпеки
м
ації
та повільного відпрацювання теорії
інформаційної безпеки привели до
появи суттєвого розриву між теоретичними
моделями безпеки,
які оперують абстрактними поняттями
типу об'єкт, суб'єкт і т.ін. та
реальними категоріями сучасних
інформаційних технологій. Крім того,
багато засобів захисту, наприклад,
засоби боротьби з комп'ютерними
вірусами та системи захисту корпоративних
мереж firewall
на
даний час взагалі не мають чіткої
системної наукової бази.
Таке положення є наслідком відсутності загальної теорії захисту інформації, комплексних моделей безпеки оброблення інформація, які би описували механізми дій зловмисників в реальних системах, а також відсутність засобів, які дозволяли би ефективно моделювати адекватність тих чи інших рішень в галузі безпеки. Наслідком цього є те, що практично всі системи захисту засновані на "латанні дір", виявлених у процесі експлуатації, що визначає їхнє відставання від загроз, які динамічно розвиваються.
На практиці відсутність системної та наукової бази інформаційної безпеки проявляється вже в тому, що нема навіть загальноприйнятої термінології, яка би адекватно сприймалася всіма спеціалістами в галузі безпеки. Тома часто теорія і практика діють у різних площинах.
Необхідність створення глобального інформаційного простору та забезпечення безпеки процесів у ньому викликала необхідність розробки міжнародних стандартів, відповідно до яких можна забезпечити необхідний рівень гарантії забезпечення захисту. В сучасних умовах надзвичайно важливими є стандартизація не тільки вимог безпеки, а також методі підтвердження адекватності реалізованих засобів захисту та коректності самої реалізації.
Існуючі національні стандарти робили спроби вирішити цю проблему, проте ці документи не можуть претендувати на те, щоб закласти фундамент безпечних інформаційних технологій. Діючі документи представляють лише скромне наслідування колишнім зарубіжним стандартам. В умовах обвальної інформатизації найважливіших сфер вітчизняної економіки та державного апарату країни вкрай необхідні нові рішення у цій галузі.
Внаслідок сукупної дії всіх перерахованих факторів, що визначають проблеми безпеки інформаційних систем, призначених для оброблення особливо важливої інформації, стоїть цілий ряд завдань, які потребують негайного та ефективного вирішення.
Забезпечення безпеки нових типів інформаційних ресурсів. Оскільки комп'ютерні системи тепер безпосередньо інтегровані
243
Частина II Основи безпеки інформаційних технологій
в
інформаційні структури сучасного
суспільства, засоби захисту повинні
враховувати сучасні форми подання
інформації (гіпертекст, мультимедіа
і т.ін.). Це означає, що системи захисту
повинні забезпечувати безпеку на
рівні інформаційних ресурсів, а не
окремих документів,
файлів або повідомлень.
Організація довіреної взаємодії сторін (взаємної іденти-фікації/автентифікації) в інформаційному просторі. Розвиток мереж та Internet вимагає необхідності здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому необхідно виконати це завдання в глобальному масштабі, незважаючи на те, що учасники цієї взаємодії можуть знаходитися в різних частинах планети, функціонувати на різних платформах і в різних операційних системах.
Захист від автоматичних засобів нападу. Досвід експлуатації існуючих систем показав, що сьогодні від захисту вимагаються нові функції, а саме, механізми, які забезпечували би безпеку системи в умовах можливої взаємодії з нею, або появи всередині неї програм, які здійснюють деструктивні дії — комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів.
Інтеграція захисту інформації в процесі автоматизації її оброблення як обов'язкового елементу. Для того, щоб бути затребуваними сучасним ринком інформаційних систем засоби захисту не повинні вступати в конфлікт з існуючими додатками та з традиційними інформаційними технологіями оброблення інформації, а, навпроти, повинні стати невід'ємною частиною цих засобів і технологій.
Якщо ці завдання не будуть вирішені, то подальше розповсюдження інформаційних технологій у сфері систем, які обробляють важливу інформацію, дуже скоро стане під загрозою. Держава, яка починає інформатизацію практично з "нуля", є полігоном для застосування останніх досягнень інформаційних технологій, тому для неї вирішення завдання створення захищених інформаційних систем є надзвичайно актуальним.
244
Розділ 7
ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ РЕСУРСІВ