Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности
5c8b6e8c

Формирование политики безопасности


Одним из ключевых элементов уже на этапе проектирования любого объекта1 -- продукта или системы информационных технологий (в нотации, принятой, например, в общеизвестных критериях [1,2,3,4]), который затем трансформируется в требования к моделям и сценариям его защиты, а также сервисам и механизмам их реализации в аппаратуре или программном обеспечении, является политика безопасности этого объекта. Здесь и далее под политикой безопасности (ПБ) будем понимать только аспекты, связанные с политикой информационной безопасности или защитой информационных ресурсов и поддерживающей их сетевой инфраструктуры, принимая справедливость тезиса "компьютер -- это сеть", впрочем, также как и тезиса "сеть -- это компьютер".

Формирование ПБ объекта происходит поэтапно, как минимум на двух взаимообуславливающих друг друга уровнях. На верхнем уровне она связана положениями, затрагивающими отношение к объекту организации, ведомства или корпорации, которым этот объект принадлежит (которая его разрабатывает или эксплуатирует). Эти положения носят общий характер, отражая цели деятельности, отношение к потенциальным угрозам, включают анализ рисков, способы и формы работы с информацией, административные акты и программу ИБ, регламентирующие деятельность персонала на этом направлении, а также ряд других аспектов.

На нижнем уровне формируется собственно ПБ объекта, как набор норм, правил и практических приемов, которые регулируют управление объектом (информацией), обеспечивая его защиту от потенциальных (внешних, внутренних, злоумышленных или других) угроз. Это может быть, например, набор правил управления доступом к объекту, практическая реализация которых осуществляется как на операционном (например, отдельные комнаты со средствами доступа к сетевым ресурсам и прямым контролем за действиями пользователя) или программно-техническом (с учетом идентификации и аутентификации пользователя, авторизации, квотирования ресурсов и т. п.) уровне. Управление доступом к ресурсам современных систем должно эффективно сочетать преимущества произвольного (на основе учета личности субъекта или группы) и принудительного (на основе меток безопасности) начал, а также их совместимость с элементами обеспечения безопасности повторного использования объектов.


Следует отметить, что на практике, особенно для стратегически важных современных объектов, формирование ПБ -- сложный, многофакторный процесс. С появлением глобального транснационального информационного пространства на базе Интернет(иногда именуемого киберпространством) эта, без того непростая задача, стала намного сложнее. Сегодня ошибки в формулировании ПБ объекта оборачиваются созданием "дорогостоящей" (ресурсоемкой по затратам) системы, которая на практике не способна в полной мере выполнять своих функций. В более "жесткой" постановке [5] системы, обеспечивающие стратегически важные функции по поддержанию системообразующих сфер национальной экономики (например, авиационный или железнодорожный транспорт, энергетический или сырьевой комплексы) могут оказаться под угрозой.

Анализ положений доктрины информационной безопасности (ИБ) России [6] позволяет утверждать, что создание целостной системы ИБ (в первую очередь, -- государственной) на российском сегменте Интернет является одной из самых неотложных задач. Она очень трудна для решения в связи с масштабами государства, многоукладностью экономики и объективно существующей в этой связи спецификой требований отдельных составляющих ее отраслей, интересов разных хозяйствующих субъектов, корпораций и ведомств. Эффективное решение задачи национального масштаба возможно только на пути формирования подходов к созданию систем ИБ на основе ПБ, учитывающих эту специфику. Например, и это очевидно, что положения ПБ объектов, принадлежащих организациям из так называемых "силовых структур" должны отличаться от соответствующих положений для объектов корпораций, работающих в банковской сфере или занимающихся добычей и сбытом природных ресурсов. Однако и для организаций упомянутых сфер деятельности, также как и для других, которые объединяет Интернет, разработка политики безопасности очень важная задача. Нельзя эффективно защищать свое в "общем котле", не обозначив заранее принципов и правил, на которых такая защита осуществляется.


В этом проявление специфики Интернет, как объединения сетей разных субъектов-собственников, уровней и протокольной базы, из разных регионов и даже стран. Таким образом, становится очевидным, что формирование ПБ для ведомств и корпораций, занимающихся родственной деятельностью была бы первым эффективным шагом в направлении создания целостной системы ИБ на российском сегменте Интернет.

Методические основы (предпосылки) в виде критериальной базы для практических действий на этом направлении существуют. К их числу можно отнести, хотя и не в полной мере отвечающие потребностям сегодняшнего дня "Руководящие документы Гостехкомиссии при Президенте РФ по защите от несанкционированного доступа" [7,8,9,10,11], положения других зарубежных Критериев, в том числе "Общих Критериев" (ISO 15408) [1,2,3,4].

Детальный анализ и формально строгий учет факторов (структура ценностей и уровни доступа, анализ рисков, каналы утечки информации и пр.), влияющих на информационную безопасность объекта на этапе формулирования или синтеза для него политики безопасности, а затем на этапе анализа эффективности ее реализации, оценки уровня гарантированной защищенности -- важнейшие задачи. Успешное и строгое решение этих задач возможно только на основе формализации и переноса основных положений ПБ на математические модели. В соответствии с уровнем сложности объекта, для которого разрабатывается ПБ, возможна его декомпозиция на отдельные составляющие и, соответственно, построение системы взаимосвязанных моделей. Такими, например, могут быть модели ИБ для операционных систем, используемых при построении разных сегментов крупных корпоративного масштаба информационных комплексов, а также модели ИБ отдельных объектов -- подсистем (БД, серверов, обеспечивающих функциональные сервисы или Web-ресурсы). В качестве составляющих могут рассматриваться модели ПБ управляющих сегментов отдельных сетей в составе крупной корпоративной сети. В общей постановке это очень сложная задача и эффективного ее решения пока не найдено.



Если рассматривать ПБ с точки зрения набора правил управления доступом к ресурсам компьютерных систем (см., например, [12]), то сегодня, как правило, применяется модель дискреционного доступа, механизмы реализации которой имеются почти во всех операционных системах (ОС) и позволяют оперативно и гибко настраиваться на требуемую функциональность. Однако эта модель не имеет строгой доказательной базы, гарантирующей защищенность системы, не обеспечивает контроля распространения прав доступа и плохо защищает от скрытых средств разрушающего воздействия ("троянские кони", вирусы). В последние годы все большее распространение стала получать лишенная этих недостатков, менее вариативная функционально, но более жесткая в выполнении правил разграничения доступа многоуровневая модель ПБ, которая реализуется через мандатный, принудительный контроль доступа, основанный на решетке ценностей (соотношение ценностей объектов и уровней доступа отдельных субъектов). Ориентированные изначально на сохранение секретности информации положения этой модели, модифицированные с учетом предложений Biba [13], формируют модель, способную с успехом решать проблемы защиты от угроз нарушения целостности.



В настоящее время совершенствуется и находит все большее практическое применение ролевая [12] (адаптирующаяся к изменениям в полномочиях доступа к информации), а также ряд других моделей, использующих положительные и оправдавшие себя на практике подходы. Ролевой подход, сочетающий преимущества дискреционного и мандатного принципов разграничения доступа, создает предпосылки и закладывает механизмы для расширения возможностей традиционных моделей применительно к современным системам, с учетом новых степеней свободы и дополнительных факторов, привносимых распределенной сетевой средой и Интернет.

При всем многообразии существующих традиционных подходов к построению моделей ИБ, использование их для составления моделей информационной безопасности больших распределенных в Интернет систем связано с необходимостью учитывать ряд дополнительных факторов.


К их числу относятся:

  • изменяющееся (иногда перманентно, как в системах типа GRID) количество составляющих компонент, и, как следствие, во много раз возрастающее число возможных состояний системы;
  • сложности фиксации периметра безопасности даже для корпоративных систем, не говоря уже о системах, имеющих выход в Интернет (что необходимо по объективным причинам);
  • неподконтрольность состояния каналов связи между компонентами системы, высокий уровень опасности утечки информации, в том числе через скрытые каналы и т. п.;
  • объективно ограниченные скорости обмена данными между компонентами, что создает сложности для организации монитора обращений для системы в целом;
  • к числу традиционных угроз секретности и целостности информации добавляется менее традиционная для "моносистем" угроза доступности -- потеря возможности авторизованному пользователю получить доступ к информации.


    • Строгая формализация ПБ для больших распределенных систем с учетом изложенных факторов -- очень трудная задача. Унифицированного, а тем более, эффективного с практической точки зрения подхода к ее решению пока не предложено. Именно это обстоятельство главным образом стимулировало появление и поддерживает развитие критериального подхода к оценке степени надежности средств защиты сложных объектов. Однако, и это хотелось бы подчеркнуть, возможности математически строгих подходов к построению моделей реализации ПБ для распределенных систем в Интернет далеко не исчерпаны. Новые идеи должны быть основаны на более глубоком осмыслении изложенных выше факторов, характеризующих распределенные системы в Интернет, подходов к составлению политик их безопасности, которые прошли теоретическую или практическую апробацию. Необходимо учитывать разные требования к использованию и, соответственно, защите ресурсов в различных сегментах сети, например, ее управляющего ядра, где обеспечиваются основные инфраструктурные и функциональные сервисы, реализуются технологии среднего уровня (middleware) и периферийных сегментов, где, как правило, размещаются прикладные сервисы.


    Разнятся требования к использованию ресурсов различных сегментов, так называемых "виртуальных организаций" в системах типа GRID, где высший межсегментный уровень, аккумулирующий данные о всех ресурсах системы и механизмы работы с ними, должен быть организован и защищен иначе, чем нижележащий уровень линейных сегментов. В основу политики безопасности, учитывающей отмеченные особенности использования ресурсов разных сегментов сети может быть положен, например, подход, основанный на так называемой зональной модели разграничения доступа [15]. Подобный подход способен обеспечить сочетание (совмещение преимуществ) традиционных дискреционной и мандатной модели разграничения доступа на уровне отдельных сегментов (зон) с межсегментной (общей, или межзональной) политикой.

    Конечно, отмеченный подход лишь один из возможных. С учетом изложенных обстоятельств необходим поиск новых способов к формализации ПБ. К их числу можно отнести следующие.

  • Разработку новых или эффективное использование уже существующих языков моделирования, позволяющих на концептуальном уровне построения модели ПБ отобразить семантику проблемной области. Такие модельно-языковые средства способны обеспечить более адекватное (полное и математически строгое) описание моделей систем, реализующих заданную ПБ и, как следствие, доказательную базу ее гарантированной защищенности.
  • Создание моделей ПБ, учитывающих специфику распределенных систем на гетерогенной среде Интернет, использующих в качестве базовых графовые и автоматные, статистические, детерминированные и другие, как традиционные так и нетрадиционные способы их формализации. Учет факторов, характеризующих описанные выше особенности больших распределенных систем, будет также способствовать совершенствованию доказательной базы их гарантированной защищенности.
  • Разработка подходов к построению моделей ПБ на основе совершенствования традиционных -- произвольного (дискреционная модель), принудительного (мандатный контроль), ролевого доступа и их комбинации для различных структурных элементов (компонентов), сервисов и приложений больших распределенных систем.


    Рациональное использование различных моделей в составе больших систем способно повысить уровень их защищенности, сократить время и обеспечить экономию вычислительных ресурсов на реализацию мер, предусмотренных ПБ.


    • Вместе с тем, объективный анализ положения дел показывает, что практических шагов на этом направлении в России пока очень мало. Об этом свидетельствуют, например, результаты и оценки, приведенные в [16]. К причинам такого положения дел, в первую очередь, следует отнести отсутствие:


    • должной популяризации задачи, подходов и способов ее решения среди широких слоев населения, действий просветительского и образовательного плана;
    • стимулов со стороны государственных структур и побудительных мотивов для соответствующих ведомств и корпораций к практическим действиям на этом направлении.


    Некоторые действия на этих направлениях все-таки предпринимаются. С позиций популяризации и просветительства следует отметить несколько книг российских авторов, освещающих проблемы и подходы к решению задач на этом направлении. К числу наиболее значимых можно отнести "Теоретические основы защиты информации" А. А. Грушо и Е. Е. Тимониной (1996 г.) [12], "Информационная безопасность. Практический подход" (1998 г.) [17], "Основы информационной безопасности" В. А. Галатенко (2003 г.) [18], "Основы безопасности информационных систем" П. Д. Зегжды и А. М. Ивашко (2000 г.) [19], "Введение в теорию и практику компьютерной безопасности" А. Ю. Щербакова (2001 г.) [20]. Все книги анализируют положение дел в области ИБ на основе систематизации подходов к построению защищенных объектов с позиций, изложенных в зарубежных критериях оценки надежных систем и Руководства Гостехкомиссии РФ. Рассматриваются проблемы, связанные с построением строгих моделей ИБ, математических методов и оценки гарантированной защищенности систем. Есть и другие публикации на эту тему, в том числе в виде книг по смежной тематике, научных и научно-популярных статей, информационного сайта cryptography.ru, который также затрагивает эти проблемы.


    Однако практика показывает, что этого мало для того, чтобы сдвинуть дело с "мертвой точки".

    Рассматривая образовательную составляющую проблемы в целом, следует отметить, что в вузах России (гражданского профиля), особенно в последние годы (с выходом в свет Доктрины ИБ России) [6] и усилением внимания к этой проблеме со стороны государственных структур (Совета Безопасности РФ -- в первую очередь), появились лаборатории, кафедры и даже факультеты ИБ, не говоря уже о специальных курсах в учебных планах. Однако, эти кафедры, как правило, достаточно узко специализированы на отдельные направления ИБ, ориентированы на проблемы "заказчиков" (банковское дело, потребности "силовых ведомств" и т. п.). Знания, получаемые в аудиториях, не подкрепляются практикой, а тем более исследованиями на сетевых полигонах с использованием современных технологий. У выпускников не формируется "широкий" взгляд на проблему и пути ее разрешения. Такое положение дел не способствует формированию слоя специалистов-исследователей в области ИБ, способных активно распространять свое влияние на деятельность корпораций, ведомств, формировать общественное мнение, способствуя тем самым решению задач в свете положение Доктрины ИБ России.

    >


    Содержание раздела