Не пора ли нам сменить концепцию защиты?
Часть 2

Виталий Мельников
системный аналитик в области безопасности информации,
замначальника отдела ФГУП "НИИАА", к.т.н.

Предлагаемый концептуальный подход

Вспомним, что решение любой проблемы начинается с поиска уже готовых решений в похожих ситуациях. В нашем случае такое решение известно всем: для защиты какого-либо ценного предмета вокруг него сооружается некая физическая и/или интеллектуальная замкнутая преграда, преодоление которой не по силам потенциальному нарушителю. Этот принцип используется, например, в системах охранной сигнализации вокруг локальной вычислительной сети. Но дальше, в самой вычислительной сети, принцип создания защитной оболочки реализовать пока не удалось по причинам, указанным в первой части статьи (журнал "Информационная безопасность", № 3, 2010, с. 18–19).

Однако такая возможность существует, если изменить концептуальный подход к построению защиты информации в АС.

Данный подход включает в себя решение следующих задач:

1. Введение определенности в постановку задач:

• уточнение предмета защиты – информации как объекта права собственности и ответственности;
• введение классификации типовых АС по виду технической реализации;
• разделение задач защиты информации от случайных и преднамеренных воздействий;
• разработка и применение наиболее опасной модели ожидаемого поведения нарушителя.

2.  Разработка методологии построения защитной оболочки от преднамеренного НСД в АС.

3. Разработка теории и расчетных соотношений для оценки прочности защиты информации в АС от преднамеренного НСД.

4. Построение в АС единого постоянно действующего механизма защиты – системы безопасности информации.

Рассмотрим лишь некоторые важные задачи.

Классификация АС

По виду технической реализации АС можно классифицировать следующим образом:

• АРМ – автоматизированное рабочее место (может быть автономным или входить в состав локальной вычислительной сети комплекса средств автоматизации);
• ИВК – информационный вычислительный комплекс (включает в себя вычислительный комплекс, АРМы, табло и общий принтер), может быть автономным или входить в состав вычислительной сети;
• КСАс – комплекс средств автоматизации с сосредоточенной обработкой данных (включает в себя АРМ, ИВК, табло, общий принтер, размещенные на одной контролируемой владельцем АС территории);
• КСАр – комплекс средств автоматизации с распределенной обработкой данных (включает в себя один или несколько ИВК, АРМ, одну или несколько локальных вычислительных сетей, расположенных на одной контролируемой владельцем АС территории);
• ТВС – глобальная телекоммуникационная вычислительная сеть (включает в себя управляющий КСА, средства коммутации пакетов и аппаратуру передачи данных независимых абонентов сети);
• СОД – система обмена данными (то есть ТВС, абоненты которой являются членами одной организации, владеющей АСУ);
• АСУр региональная (включает в себя несколько КСА, объединенных региональной телекоммуникационной сетью обмена данными);
• АСУф глобальная (объединяющая несколько АСУр);
• АСУв виртуальная на базе сети общего пользования (любая региональная или федеральная АСУ, наложенная на сеть общего пользования; например, использующая КСА, объединенные через сеть Интернет).

Любая вычислительная среда представлена хотя бы одной или несколькими перечисленными видами АС. Для тех, кто считает их использование шагом назад, объясняем, что термины "среда" и "облако" для вычислительной техники – образные выражения. Применение их допустимо лишь до определенного уровня обобщения. В нашем случае их применение дает отрицательный результат – см. выше. Безопасность требует строгого и определенного технического решения.

При построении защиты информации учитывается характер ее обработки в АС: сосредоточенный (АРМ, ИВК, КСАс) и распределенный (КСАр, ТВС, СОД, АСУ).

Модель ожидаемого поведения нарушителя

Преднамеренные действия нарушителя начинаются на "периметре" системы. Под "периметром" АС подразумевается ее внешняя физическая оболочка, элементами которой являются корпуса, крышки, дверцы, свободные внешние соединители технических средств, средства управления, отображения, печати, ввода и вывода, носители информации и кабельные соединения.

Нарушение – это попытка доступа к любой части информации, подлежащей защите. Предсказать время и характер возможных действий нарушителя невозможно. Целесообразно рассмотреть наиболее опасную для системы модель его возможного поведения:

д) нарушителем может быть не только постороннее лицо, но и законный пользователь системы.

Рассмотрим не самую опасную ситуацию, когда нарушитель действует без сообщников, имеющих доступ к данной системе. Защита от организованной группы нарушителей - гораздо более сложная задача: справиться с ней можно, решив вначале более простую. Однако это не означает, что, если первая будет решена, то она не будет работать и против группы не связанных между собой нарушителей. Поэтому дополним:

е) нарушителей может быть несколько, но действия их не согласованы между собой (на неконтролируемых средствах защиты возможные действия организованной группы нарушителей все же будут учтены в расчетных соотношениях).

Модель АС

Обработку информации АС можно рассматривать на глобальном (КСА - каналы связи СПД) и локальном (технические средства - линии связи) уровнях. Тогда фрагмент глобальной АС можно представить в виде модели, приведенной на рис. 1, где КСА по отношению к АСУ в целом является объектом автоматизации с сосредоточенной обработкой данных, совокупность которых с каналами связи представляет собой распределенную систему. На уровне КСА технические средства (АРМ, РС, ВК, серверы, коммутаторы, концентраторы, маршрутизаторы и т.д.) являются средствами с сосредоточенной обработкой данных, совокупность которых с линиями связи представляет собой объект с распределенной обработкой данных (за исключением КСА с топологией типа мейнфрейм, например ИВК).

Концептуальная модель защиты информации в глобальной АС представляет собой совокупность оболочек защиты данных в КСА и кадра кодограммы в каналах связи; в локальных АС - соответственно технических средств и кадра кодограммы в линиях связи.

Под оболочкой понимается физическая или виртуальная конструкция в виде замкнутого слоя, ограничивающего со всех сторон некое пространство. Защитной оболочкой называется оболочка, закрывающая доступ к какому-либо объекту или предмету, помещенному в это пространство.

Применяя известный в математике метод "от противного", перед построением защиты считаем, что защитная оболочка в АС уже есть, но в ней имеются каналы доступа к предмету защиты.

Ввод/вывод, хранение, обработка и передача информации в АС предполагает некоторое количество каналов доступа к ней, предусмотренных документацией (например, штатные устройства ввода/вывода) и не предусмотренных (электрические цепи, устройства памяти, электромагнитные поля и т.п.). При отсутствии защиты эти каналы, включая штатные, могут быть использованы нарушителем.

В АС защитная оболочка образуется виртуально совокупностью средств, физически или логически перекрывающих каналы доступа к информации, подлежащей защите. Предполагается, что полнота перекрытия каналов доступа к информации определяет степень замыкания защитной оболочки вокруг предмета защиты.

Следует, однако, показать, в чем заключается технический и физический смысл перекрытия каналов, и представить его в формальном виде. Он вытекает из нижеследующей стратегии построения защиты.

Защита: стратегия и тактика

Стратегия и тактика защиты информации от преднамеренного НСД заключается в определении в АС возможных каналов НСД к информации и перекрытии их средствами защиты. При этом в состав этих каналов включаются также и штатные каналы доступа к информации, которые должны быть защищены от нарушителя. Такой подход позволяет множество угроз информации свести к конкретным каналам, конечный перечень которых специалистам легко определить. Это позволяет достичь определенности в постановке задачи и выборе последующих решений при построении гарантированной защиты.

Тактика защиты строится на применении средств контроля и предупреждения НСД. Средства контроля и блокировки устанавливаются на каналах НСД, на которых это возможно технически или организационно, а средства предупреждения (превентивные средства) применяются там, где такая возможность отсутствует. Например, вход в систему со стороны клавиатуры терминала может контролироваться специальной программой, а каналы связи территориально распределенной системы – не всегда. Поэтому возможные каналы НСД делятся на технически контролируемые и неконтролируемые. Соответственно перекрывающие их средства защиты образуют оболочки защиты: контролирующую и превентивную.

При расчете прочности средства защиты, выбранного для перекрытия возможного канала НСД к информации АС, путем анализа принципов его построения определяется возможность путей его обхода. Если таковые имеются, то данное средство дорабатывается. Если путь его обхода перекрывается другим средством, переходим к расчету прочности последнего и т.д. до тех пор, пока не будет обеспечено полное перекрытие всех возможных каналов НСД и путей обхода средств защиты в создаваемой системе. В результате в ней будет построена замкнутая оболочка защиты информации. Прочность оболочки защиты будет определяться прочностью входящего в нее средства защиты с наименьшим значением.

Под прочностью средства защиты (преграды) понимается величина вероятности ее непреодоления нарушителем в заданный промежуток времени.

С целью создания единого постоянно действующего механизма защиты указанные средства защиты с помощью специально выделенных средств централизованного контроля и управления объединяются в одну автоматизированную систему безопасности информации, которая путем анализа ее состава и принципов построения проверяется на предмет наличия возможных путей ее обхода. Если таковые обнаруживаются, то и они перекрываются соответствующими средствами, которые также включаются в состав защитной оболочки.

Предлагаемый подход позволяет устранить недостатки действующей концепции (см. 1-ю часть статьи) и приобрести дополнительные важные преимущества, достойные прийти на смену действующей концепции защиты информации в АС.