Необходимо отметить, что хотя опыт создания этой, а также которых других узко специализированных систем и продемонстрировал специфическую применимость указанного подхода, он, с другой стороны, «пиний раз подтвердил чрезмерную громоздкость и неэффективность существующих методов разработки доказательно корректного программного обеспечения, что препятствует созданию этим способом функционально полных, универсальных безопасных операционных систем.
Возвращаясь к системам разграничения доступа для традиционных неструктурированных (т. е. не имеющих ядра безопасности) ОС, необходимо отметить, что, как показывает практика, для них оказывается) невозможным надежно удостовериться в отсутствии (или наличии) скрытых каналов доступа к информационным объектам со стороны программ, нарушающих системные соглашения. Более того, в таких ОС невозможно гарантировать отсутствие путей для несанкционированного переход; пользовательских процессов в привилегированное состояние. Последа тем более опасно, так как если прикладной программе удастся результате преднамеренных действий получить привилегированный статус то в принципе она сможет вообще отключить все средства защиты обеспечить себе доступ к любым хранящимся в вычислительной системе данным.
Причины такого положения кроются в децентрализованности механизмов доступа к разнородным объектам, а также в отсутствии эффективных средств изоляции программ и данных в пределах общего адресного пространства основной памяти. В этих условиях попытка верификации ограниченного подмножества программ, совокупно реализующих функции распределенного диспетчера доступа, приводит к необходимости анализа почти всех программных модулей ОС, что существующими методами сделать не удается ввиду чрезвычайно большого суммарного объема программ современных ОС'.
Вследствие невозможности количественной оценки защищенности неструктурированных универсальных ОС, создание средств многоуровневого разграничения доступа для них становится нецелесообразным.
Действительно, даже реализовав в распределенном диспетчере доступа! многоуровневую модель защиты, разработчики системы не смогут гарантировать отсутствие "проколов" в операционной системе, а также количественно подтвердить преимущества такой многоуровневой СРД перед простейшей матричной СРД, что естественно обесценит усилия, затраченные на ее создание. Поэтому, как уже указывалось, для большинства ОС коммерческие системы разграничения доступа реализуются на базе матричных моделей защиты.
Указанные трудности в обеспечении защиты вычислительных систем, приводят к необходимости применения дополнительных объектовых мер организационной защиты. В особо ответственных применениях разработчики вынуждены прибегать к проведению трудоемкого инженерного анализа ПО, а также существенно ограничивать функциональные возможности применяемых ОС, порою "вычеркивая " из них целые компоненты. Применение подобных мер приводит к I существенному росту расходов на разработку, эксплуатацию и сопровождение систем, препятствует нормальному процессу их эволюционного развития.
Использование криптографических методов открывает новые, уникальные возможности защиты данных в вычислительных сетях, недостижимые при использовании традиционных методов разграничения доступа, действующих на уровне контроля обращений к элементам структур данных.
Лекция 10
Математические модели обеспечения безопасности информации
Учебные вопросы:
1. Назначение математических моделей обеспечения безопасности информации в АСУ.
2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации.
Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ
Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с учетом возможности нарушения этих планов как внутренними, так и внешними дестабилизирующими факторами. Нарушение планов возможно при целенаправленном оздействии нарушителя на элементы АСУ с целью искажения или уничтожения циркулирующей информации, а также в случае изменения технологических циклов управления при раскрытии нарушителем конфиденциальной информации, что привело к необходимости принятия срочных мер по компенсации возможного ущерба. Следовательно, непосредственное выполнение целевых функций АСУ во времени сопряжено с объективной необходимостью оперативной оценки состояния АСУ в целом, распределения и перераспределения ресурсов системы обеспечения безопасности информации (СОБИ), которая решает задачу защиты информации в процессе функционирования АСУ. В общем случае? СОБИ включает в себя организационные, технические и программные средства защиты.
Организационные средства защиты представляют собой специальные организационно-технические и организационно-правовые мероприятия, акты и правила, осуществляемые в процессе создания и эксплуатации АСУ. Данный класс средств защиты хоть и направлен на некоторое упорядочивание процесса функционирования АСУ, однако практически не поддается формализации из-за непосредственного участия большего числа людей в их применении. Что же касается функционирования технических и программных средств защиты, то их работу можно представить в виде формальной модели, которая называется моделью обеспечения безопасности. Под моделью безопасности понимается математически точное описание механизмов процедур) реализации функций защиты информации во всех режимах работы АСУ.
Необходимо заметить, что целесообразность разработки математических моделей формализации процессов защиты информации не всегда очевидна. Однако существующие сложности и противоречия, которые возникают при обосновании, создании и применении СОБИ в составе АСУ, подтверждают актуальность проблемы разработки математических моделей данного класса и необходимость создания для решения этой проблемы соответствующего методического обеспечения.
Во-первых, вновь создаваемая АСУ требует технико-экономического обоснования всех сторон функционирования, в том числе и принципов обеспечения безопасности информации. При этом обоснование должно основываться на разработке и исследовании математических моделей обеспечения безопасности, а результаты этих исследований должны служить доказательством безопасности информации в реальной системе при точном соблюдении всех принципов защиты, заложенных в формальной модели. Однако противоречие заключается в том, что целенаправленное исследование модели может быть проведено только при полной информации о функционировании АСУ в целом, что возможно далеко не всегда, особенно для сложных распределенных систем. В некоторых случаях используется информация о функционировании отдельных элементов или подсистем АСУ, а на ее основе делаются выводы о всей системе в целом. Следовательно, необходимо создавать модели обеспечения безопасности для отдельных процессов в АСУ и методы их интеграции, обеспечивающие безусловное выполнение всех требований по защите информации.
Во-вторых, на разработку АСУ всегда выделяются конечные ресурсы, которые разработчик распределяет на все технологические этапы – от обоснования облика будущей АСУ до проведения испытаний ее компонентов и внедрения. Данный фактор порождает противоречие, связанное с желанием разработчика минимизировать затраты на предварительные модельные исследования при явной необходимости выявления на ранних этапах проектирования всех возможных каналов утечки. Происходит субъективное противопоставление необходимости проведения модельных исследований разработке объектов реальной системы. В этом случае система создается без предварительного изучения всего комплекса протекающих в ней процессов при их взаимосвязи с технологическими особенностями защиты информации. В предельном случае игнорирование предварительных исследований на моделях может привести к полной незащищенности системы даже при включении в состав программно-аппаратных средств АСУ большого числа дорогих и ресурсоемких средств защиты. Следовательно, формализация процессов обеспечения безопасности информации не должна быть для разработчика сложной и трудоемкой задачей, что возможно лишь при наличии научно обоснованных типовых моделей и хорошо отработанного методического обеспечения их применения.
В-третьих, технические и программные средства, образующие СОБИ и посредством которых в АСУ решаются задачи защиты информации, требуют резервирования некоторой части ресурсов АСУ. Например, управление процессами защиты требует наличия специальной службы, рассылка ключевой информации – дополнительной пропускной способности каналов связи, контроль доступа к ресурсам – затрат времени и т. д. В этом случае возникает противоречие между задачами АСУ как системы, максимально улучшающей характеристики процессов управления за счет более полного использования собственных ресурсов, и задачами СОБИ, использующей ресурсы АСУ для достижения целей, не всегда совпадающих с главными целями АСУ. Это противоречие усугубляется тем, что несмотря на техническую и технологическую возможность совмещения решения некоторых задач в рамках вычислительных средств одного объекта АСУ, с точки зрения защиты информации такое совмещение просто недопустимо вследствие различного назначения и различных грифов секретности обрабатываемой информации. Следовательно, возникает задача планирования загрузки ресурсов АСУ для их оптимального использования с учетом требований безопасности информации, что возможно лишь на основе формальной модели обеспечения безопасности.
