Главная · Акты · Методы защиты информации в компьютерных системах и сетях. Способы и средства защиты информации

Методы защиты информации в компьютерных системах и сетях. Способы и средства защиты информации

Множество и разнообразие возможных средств защиты информации определяется, прежде всего, возможными способами воздействия на дестабилизирующие факторы или порождающие их причины, причем воздействия в направлении, способствующем повышению значений показателей защищенности или (по крайней мере) сохранению прежних (ранее достигнутых) их значений.

Рассмотрим содержание представленных способов и средств обеспечения безопасности.

Препятствие заключается в создании на пути возникновения или распространения дестабилизирующего фактора некоторого барьера, не позволяющего соответствующему фактору принять опасные размеры. Типичными примерами препятствий являются блокировки, не позволяющие техническому устройству или программе выйти за опасные границы; создание физических препятствий на пути злоумышленников, экранирование помещений и технических средств и т.п.

Управление есть определение на каждом шаге функционирования систем обработки информации таких управляющих воздействий на элементы системы, следствием которых будет решение (или способствование решению) одной или нескольких задач защиты информации. Например, управление доступом на объект включает следующие функции защиты:

    идентификацию лиц, претендующих на доступ, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

    опознавание (установление подлинности) объекта или субъекта по предъявленному идентификатору;

    проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

    регистрацию (протоколирование) обращений к защищаемым ресурсам;

    реагирование (сигнализация, отключение, задержка работ, отказ в процессе) при попытках несанкционированных действий.

Маскировка предполагает такие преобразования информации, вследствие которых она становится недоступной для злоумышленников или такой доступ существенно затрудняется, а также комплекс мероприятий по уменьшению степени распознавания самого объекта. К маскировке относятся криптографические методы преобразования информации, скрытие объекта, дезинформация и легендирование, а также меры по созданию шумовых полей, маскирующих информационные сигналы.

Регламентация как способ защиты информации заключается в разработке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия, при которых существенно затрудняются проявление и воздействие угроз. К регламентации относится разработка таких правил обращения с конфиденциальной информацией и средствами ее обработки, которые позволили бы максимально затруднить получение этой информации злоумышленником.

Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение есть способ защиты информации, при котором пользователи и персонал объекта внутренне (т.е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к соблюдению всех правил обработки информации.

Как отдельный, применяемый при ведении активных действий противоборствующими сторонами, можно выделить такой способ, как нападение . При этом подразумевается как применение информационного оружия при ведении информационной войны, так и непосредственное физическое уничтожение противника (при ведении боевых действий) или его средств разведки.

Рассмотренные способы обеспечения защиты информации реализуются с применением различных методов и средств. При этом различают формальные и неформальные средства. К формальным относятся такие средства, которые выполняются свои функции по защите информации формально, т.е. преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей. Формальные средства делятся на физические, аппаратные и программные.

Физические средства - механические, электрические, электромеханические и т.п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Аппаратные средства - различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

Физические и аппаратные средства объединяются в класс технических средств защиты информации .

Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решении задач защиты информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защиты от вирусов и др.

Неформальные средства делятся на организационные, законодательные и морально-этические.

Организационные средства - специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач защиты информации, осуществляемые в виде целенаправленной деятельности людей.

Законодательные средства - существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации.

Морально-этические нормы - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.

Морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

Интересный подход к формированию множества способов защиты предлагает член-корреспондент Академии криптографии РФ Расторгуев С.П. В основу названной им "абсолютной системы защиты", обладающей всеми возможными способами защиты, положены основные принципы защиты, реализуемые в живой природе. Развивая этот подход, можно выделить следующие основные способы защиты животного мира в сравнении с рассмотренными способами защиты информации:

    Пассивная защита. Перекрывает все возможные каналы воздействия угроз и предполагает "одевание брони" на себя и создание территориальных препятствий. Налицо полное соответствие такому способу защиты информации, как препятствие.

    Изменение местоположения. Желание спрятаться можно соотнести с таким способом, как скрытие.

    Изменение собственной внешности, мимикрия - слияние с ландшафтом и т.п. Цель - представиться объектом неинтересным или незаметным для нападающей стороны. Аналогичную функцию защиты информации реализуют ее маскировкой.

    Нападение с целью уничтожения нападающего. Выше был рассмотрен соответствующий способ защиты информации.

    Воспитание навыков безопасности у потомства, доведение этих навыков до уровня инстинкта. Для систем защиты информации аналогичные навыки у обслуживающего персонала формируются принуждением и побуждением.

    Выработка определенных правил жизнедеятельности, способствующих выживанию и сохранению рода. К таким правилам, выработанным природой, можно отнести мирное существование особей одного вида, жизнь в стаях (стадах) и т.д. Другими словами, природа регламентирует необходимые для безопасности правила жизни.

Таким образом, анализ присущих животному миру защитных свойств, положенный в основу так называемой "абсолютной системы защиты", показывает, что все они соответствует рассмотренным способам защиты информации, что подтверждает полноту их формирования.

Принципы организации защиты (противодействие угрозам безопасности)

Принцип максимальной дружественности - не надо вводить запреты там, где можно без них обойтись (на всякий случай); вводить ограничения нужно с минимальными неудобствами для пользователя. Следует обеспечить совместимость создаваемой СЗИ с используемой ОС, программными и аппаратными средствами АС.

Принцип прозрачности - СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.

Принцип превентивности - последствия реализации угроз безопасности информации могут потребовать значительно больших финансовых, временных и материальных затрат по сравнению с затратами на создание комплексной системы защиты.

Принцип оптимальности - Оптимальный выбор соотношения различных методов и способов парирования угроз безопасности при принятии решения позволит в значительной степени сократить расходы на создание системы защиты и поддержание процесса ее функционирования.

Принцип адекватности - применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости.

Принцип системного подхода - заключается во внесении комплексных мер по защите информации на стадии проектирования ЗАС, включая организационные и инженерно-технические мероприятия. Важность этого принципа состоит в том, что оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС.

Принцип комплексности - в ЗАС должен быть предусмотрен комплекс мер и механизмов защиты - организационных, физических, технических, программно-технических.

Принцип непрерывности защиты - функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности.

Принцип адаптивности - система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности.

Принцип доказательности - При создании системы защиты необходимо пользоваться существующими формальными моделями безопасных систем для доказательства эффективности защиты к атакам некоторых типов, входящих в рамки разработанных формальных моделей. Другим аспектом этого принципа является логическая привязка логического и физического рабочих мести друг к другу, а также применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации (например ЭЦП). К этому же принципу можно отнести необходимость использования сертифицированных СЗИ и сертифицирования ЗАС в целом.

Более детальное и конкретное раскрытие этих принципов можно дать в следующем виде:

    Экономическая эффективность . Стоимость средств, защиты и их эксплуатации должна быть ниже, чем размеры возможного ущерба.

    Минимум привилегий . Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.

    Простота . Система защиты тем более эффективна, чем проще с ней работать.

    Отключаемость защиты . При нормальном функционировании ЗАС система защиты не должна отключаться. Ее может отключить только сотрудник со специальными полномочиями и только в особых случаях.

    Открытость проектирования и функционировании механизмов защиты . Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.

    Всеобщий контроль . Любые исключения из множества контролируемых объектов и субъектов защиты снижают уровень защиты ЗАС.

    Независимость системы защиты от субъектов защиты . Лица, занимавшиеся разработкой системы защиты не должны быть среди тех, кого будет контролировать эта система защиты.

    Отчетность и подконтрольность . Система защиты должна предоставлять доказательства корректности своей работы.

    Ответственность . Подразумевается личная ответственность лиц, занимающихся обеспечением информационной безопасности.

    Изоляция и разделение . Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.

    Полнота и согласованность . Надежная система защиты должна быть полностью специфицирована, протестирована и согласована.

    Параметризация . Защита становится наиболее эффективной и гибкой, если допускает изменение своих параметров со стороны администратора безопасности.

    Принцип враждебного окружения . Система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки как законные пользователи и высокопрофессиональные действия как потенциальные нарушители. Необходимо предполагать, что они обладают достаточной квалификацией, чтобы найти пути обхода система защиты, если таковые будут иметься.

    Привлечение человека . Наиболее важные и критические решения должны приниматься человеком.

    Отсутствие излишней информации о существований механизмов защиты . Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться, но при этом эффективность механизмов защиты должна быть обеспечена и в случае, если пользователи знают о них.

    Осведомленность потенциального противника (нарушителя) . Система защиты должна быть эффективной в случае, когда нарушитель полностью осведомлен о всех используемых механизмах, за исключением паролей и ключевой информации, (сравни с принципом Керхкоффа в криптографии)

Основные методы противодействия угрозам безопасности

Различают четыре основных группы методов обеспечения информационной безопасности АС:

    Организационные

    Инженерно-технические

    Технические

    Программно-аппаратные

Организационные методы - ориентированы на работу с персоналом, рассматривают выбор местоположения и размещения объектов ЗАС, организацию системы физической и пожарной безопасности, осуществление контроля, возложение персональной ответственности за выполнение мер защиты, кадровые вопросы.

Инженерно-технические методы - связаны с построением инженерных сооружений и коммуникаций, учитывающих требования безопасности. Это как правило дорогостоящие решения и они наиболее эффективно реализуются на этапе строительства или реконструкции объекта. Их реализация способствует повышению общей живучести ЗАС и дают высокий эффект против некоторых типов угроз. Реализация техногенных и стихийных угроз наиболее эффективно предотвращается инженерно-техническими методами.

Технические методы - связаны с применением специальных технических средств защиты информации и контроля обстановки; они дают значительный эффект при устранении угроз, связанных с действиями криминогенных элементов по добыванию информации незаконными техническими средствами. Технические методы дают значительный эффект по отношению к техногенным факторам, например резервирование каналов и резервирование архивов данных.

Программно-аппаратные методы - направлены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Без этих методов невозможно построить целостную комплексную ЗАС.

Наибольший эффект дает оптимальное сочетание выше перечисленных методов противодействия реализации угроз, информационной безопасности.

При проектировании системы защиты планируемые меры обеспечения защиты часто подразделяют по способам их реализации на:

    Правовые (законодательные)

    Морально-этические

    Административные

    Физические

    Аппаратно-программные

Такое деление является одним из возможных. Могут применяться более детализованные варианты классификации мер. Способы обеспечения связана с перечисленными выше методами обеспечения информационной безопасности.

Например организационные методы включают организационные правовые морально-этические, административные. Инженерно-технические методы включают физические меры, а технические методы - программно-аппаратные меры. Внутри каждой группы мер и методов можно предложить более детальную градацию.

Рубежи защиты

Перечисленные выше меры по обеспечению безопасности ЗАС могут рассматриваться как последовательность барьеров на пути потенциального нарушителя, стремящегося преодолеть систему защиты. Соответственно этим барьерам выделяются следующие рубежи защиты.

Первый рубеж защиты , встающий на пути человека, пытающегося совершить НСД к информации, является чисто правовым. Нарушитель несет ответственность перед законом. Правовые нормы предусматривают определенную ответственность за компьютерные преступления. С учетом такого рубежа становится понятным, что требуется соблюдение юридических норм при передаче и обработки информации. К правовым мерам защиты информации относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования (доступа) и ответственность за их нарушение. Это является существенным фактором сдерживания для потенциальных нарушителей.

Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. К морально-этическим мерам относится создание таких традиций норм поведения и нравственности, которые способствуют соблюдению правил уважения к чужой информации и нарушение которых приравнивается к несоблюдению правил поведения в обществе. Эти нормы большей частью не являются обязательными и их несоблюдение не карается штрафными санкциями, но их несоблюдение ведет к падению престижа человека, группы лиц или организации в целом. Моральные нормы бывают как неписаными так и оформленными в некий свод правил поведения. "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США" рассматривает как неэтичные действия, которые умышленно или неумышленно:

    Нарушают нормальную работу компьютерных систем

    Вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.)

    Нарушают целостность информации (хранимой или обрабатываемой)

    Нарушают интересы других законных пользователей

Третьим рубежом защиты являются административные меры, которые относятся к организационным мерам и регламентируют

    Процессы функционирования ЗАС

    Использования ресурсов

    Деятельность персонала

    Порядок взаимодействия пользователей с системой

Данные меры направлены на то, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Административные меры включают:

    Разработку правил обработки информации в ЗАС

    Совокупность действий при проектировании и оборудовании вычислительных центров и других объектов ЗАС (учет стихийных угроз и охрана помещений и т.п.)

    Совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, ответственностью за нарушение правил ее обработки и т.п.)

    Организацию надежного пропускного режима

    Организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией

    Распределение реквизитов разграничения доступа (паролей и информации авторизации и т.п.)

    Организацию скрытого контроля за работой пользователей и персонала ЗАС

    Совокупность действий при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка, на удовлетворение требованиям защиты, документальная фиксация всех изменений и т.п.)

До тех пор пока не будут реализованы действенные меры административной защиты остальные меры не будут эффективны.

Четвертый рубеж защиты определяется применением физических мер защиты, к которым относятся разного рода механические, электро- и электронно-механические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам ЗАС и защищаемой информации.

Пятый рубеж защиты определяется применением аппаратно-программных средств защиты - электронным устройствам и программам, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:

    Идентификацию (распознавание) и аутентификацию (поверка подлинности) субъектов (пользователей, процессов) ЗАС

    Разграничение доступа к ресурсам ЗАС

    Контроль целостности данных.

    Обеспечение конфиденциальности данных

    Регистрацию и анализ событий, происходящих в ЗАС

    Резервирование ресурсов и компонентов ЗАС Большинство из этих способов защиты реализуется с использованием криптографических методов.

Альтернативная классификация методов защиты и соответствующие им средства защиты

По характеру реализации методов Обеспечения безопасности их можно классифицировать следующим образом:

Препятствие - метод защиты, заключающийся в создании на пути нарушителя к защищаемой информации некоторого барьера. Типичным примером является блокировка работы программно-аппаратных средств при внештатных ситуациях.

Управление - метод защиты, заключающийся в воздействии на элементы ЗАС, включая элементы системы защиты, с целью изменения режимов их работы в интересах решения одной или нескольких задач защиты информации.

Маскировка - метод защиты, заключающийся в ее криптографическом преобразовании в результате которого она является недоступной для НСД или такой доступ является чрезвычайно трудоемким. (Не путать с понятием маскировки как слабого алгоритма шифрования)

Регламентация - метод защиты, создающий такие условия обработки, хранения и передачи информации, при которых возможность НСД к ней сводилась бы к минимуму.

Принуждение - метод защиты, при котором пользователи вынуждены соблюдать правила и условия обработки, передачи и использования информации под угрозой уголовной, административной или материальной ответственности.

Побуждение - метод защиты, создающий побудительные мотивы не нарушать установленные правила работы и условия обработки, передачи и использования информации за счет сложившихся морально-этических норм.

Эти методы реализуются с применением различных средств, которые разделяют на формальные и неформальные .

К формальным относятся средства, которые выполняют свои функции по защите информации преимущественно без участия человека. Они подразделяются на физические, технические, аппаратно-программные и программные.

К неформальным относятся средства, основу содержания которых составляет целенаправленная деятельность людей Они подразделяются на организационные, законодательные и морально-этические.

Физические средства - устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Аппаратные средства - различные электронные или электронно-механические устройства, схемно встраиваемые в аппаратуру и сопрягаемые с ней специально для решения задач защиты информации.

Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.

Соотношение средств и методов защиты поясняется на следующем рисунке.

При разработке принципов построения системы инженерно-технической защиты информации учитывались рассмотренные принципы, принципы обеспечения безопасности живых существ, используемых природой, и известные пути нейтрализации различ­ных угроз человеком.

Так как информационная безопасность является частью пред­метной области, определяемой общим понятием «безопасность», включающей и безопасность живых существ, то полезную под­сказку по мерам обеспечения информационной безопасности мож­но получить в результате анализа решений этой проблемы приро­дой. Проблема безопасности в живой природе крайне важна, так как от эффективности ее решения зависит сохранение видов живых существ. Способы защиты в живой природе доказали свою эффек­тивность за длительный период эволюции и могут быть полезны­ми для обеспечения информационной безопасности. Они рассмот­рены С. П. Расторгуевым в и приведены на рис. 2.1.

Рис. 2.1. Природные способы защиты живых существ

Для защиты от хищников некоторые живые существа создают механические преграды («броню»), которые надевают на себя (че­репахи, ежи, раки и др.), или в виде своего «дома» (пчелы, осы, нор­ковые животные и др.). Другие, не имеющие такой «брони», име­ют длинные ноги, развитые крылья или плавники и спасаются от врага бегством (изменением местоположения) или обеспечивают сохранение вида интенсивным размножением. Например, многие насекомые и даже растения выживают благодаря своей плодови­тости, которая компенсирует массовую гибель беззащитных осо­бей. Третья группа живых существ снабжена мощными клыками, когтями, рогами и другими средствами защиты, способными отог­нать или уничтожить нападающего. Наконец, четвертая группа, не имеющая указанных средств защиты, выживает путем маскировки себя (мимикрии) под окружающую среду, изменения характерис­тик окружающей среды с целью дезориентации хищника (хамеле­он, осьминог и др.), а также миметизма (отпугивания грозным вне­шним видом). Например, бабочка «вицерой» принимает окраску ядовитой бабочки «монарх», безвредная «змеиная» гусеница ими­тирует движение змеи и т. д.

Против угроз воздействий различных сил человечество за свою 1: историю выработало достаточно эффективные меры в виде раз-| личных естественных и искусственных рубежей защиты. В сред­ние века человек надевал на себя металлические или кожаные до­спехи (сейчас -- бронежилеты), окружал дома и города высокими и мощными стенами и заборами, что продолжает делать и сейчас. Наиболее распространенный способ защиты преступников от ор­ганов правосудия - убегание. Наконец, возможности человека по изменению своего внешнего вида или окружающей среды сущест­венно превосходят все то, на что способна «неразумная» природа. Учитывая, что угрозы воздействия на информацию пред­ставляют собой силы различной физической природы (механичес­кой, электрической, электромагнитной, тепловой и др.), система за­щиты должна создавать вокруг носителей информации с локаль­ными размерами преграды - рубежи защиты от этих сил.


В отличие от сил воздействий, направленных на источники ин­формации, утечка информации происходит при распространении носителей с защищаемой информацией от ее источников. Мерами защиты от утечки являются также преграды, создаваемые вокруг источников информации. Но эти преграды должны задержать не силы воздействий, а носителей информации.

На источник информации как объект защиты могут быть рас­пространены принципы и способы защиты, используемые приро­дой и созданные человеком, в том числе подходы к созданию абсо­лютной системы защиты, рассмотренные в . Под абсолютной системой понимается система, обеспечивающая полную (гаранти­рованную) защиту при любых угрозах. Абсолютная система оп­ределена как система, обладающая всеми возможными способами защиты и способная в любой момент своего существования спро­гнозировать наступление угрожающего события за время, доста­точное для приведения в действия адекватных мер по нейтрализа­ции угроз.

Абсолютная система является гипотетической, идеальной, так как любая реальная система защиты не может в принципе обладать всеми характеристиками и свойствами абсолютной. Механизмы прогнозирования и принятия решений в процессе функционирова­нии допускают ошибки. Кроме того, следует иметь в виду, что ор­ганы разведки и подготовленные злоумышленники хорошо осве­домлены о современных способах защиты и активны в поиске не­типовых вариантов обмана механизма прогнозирования и обхода мер защиты. Однако реализация механизмов абсолютной системы в реальной системе позволит приблизиться к возможностям иде­альной защиты.

Следовательно, система защиты информации должны содер­жать:

Рубежи вокруг источников информации, преграждающих рас­пространение сил воздействия к источникам информации и ее носителей от источников;

Силы и средства достоверного прогнозирования и обнаружения угроз;

Механизм принятия решения о мерах по предотвращению или нейтрализации угроз;

Силы и средства нейтрализации угроз, преодолевших рубежи защиты.

Основу построения такой системы составляют следующие принципы:

Многозональность пространства, контролируемого системой инженерно-технической защиты информации;

Многорубежность системы инженерно-технической защиты ин­формации;

Равнопрочность рубежа контролируемой зоны;

Надежность технических средств системы защиты информации;

Ограниченный контролируемый доступ к элементам системы защиты информации;

Адаптируемость (приспособляемость) системы к новым угро­зам;

Согласованность системы защиты информации с другими системами организации.

Многозональность защиты предусматривает разделение (тер­ритории государства, организации, здания) на отдельные контро­лируемые зоны, в каждой из которых обеспечивается уровень бе­зопасности, соответствующий цене находящейся там информации. На территории Советского Союза создавались зоны, закрытые для иностранцев, приграничные зоны, закрытые города. Уровень безо­пасности в любой зоне должен соответствовать максимальной цене находящейся в ней информации. Если в ней одновременно разме­щены источники информации с меньшей ценой, то для этой инфор­мации уровень безопасности, а следовательно, затраты будут избы­точными. Так как уровень безопасности в каждой зоне определя­ется исходя из цены находящейся в ней информации, то многозо­нальность позволяет уменьшить расходы на инженерно-техничес­кую защиту информации. Чем больше зон, тем более рационально используется ресурс системы, но при этом усложняется организа­ция защиты информации. Зоны могут быть независимыми, пере­секающимися и вложенными (рис. 2.2).

Для независимых зон уровень безопасности информации в одной зоне не зависит от уровня безопасности в другой. Они созда­ются для разделения зданий и помещений, в которых выполняют­ся существенно отличающиеся по содержанию и доступу работы. Например, администрация организации размещается в одном зда­нии, научно-исследовательские лаборатории - в другом, а произ­водственные подразделения - в третьем.

Примером пересекающихся зон является приемная руководи­теля организации, которая, с одной стороны, принадлежит зоне с повышенными требованиями к безопасности информации, источ­никами которой являются руководящий состав организации и со­ответствующие документы в кабинете, а с другой стороны, в при­емную имеют доступ все сотрудники и посетители организации. Требования к безопасности информации в пересекающейся зоне являются промежуточными между требованиями к безопасности в пересекающихся зонах. Например, уровень безопасности в прием­ной должен быть выше, чем в коридоре, но его нельзя практически обеспечить на уровне безопасности информации в кабинете.

Вложенные зоны наиболее распространены, так как позволя­ют экономнее обеспечивать требуемый уровень безопасности ин­формации. Безопасность информации i-й вложенной зоны опре­деляется не только ее уровнем защиты, но и уровнями защиты в предшествующих зонах, которые должен преодолеть злоумышлен­ник для проникновения в i-ю зону.

Каждая зона характеризуется уровнем безопасности находя­щейся в ней информации. Безопасность информации в зоне зави­сит от:

Расстояния от источника информации (сигнала) до злоумышленника или его средства добывания информации;

Количества и уровня защиты рубежей на пути движения зло­умышленника или распространения иного носителя информа­ции (например, поля);

Эффективности способов и средств управления допуском людей и автотранспорта в зону;

Мер по защите информации внутри зоны.

Рис. 2,2. Виды конролируемых зон

Чем больше удаленность источника информации от места на­хождения злоумышленника или его средства добывания и чем больше рубежей защиты, тем большее время движения злоумыш­ленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное распо­ложение зон и рубежей выбираются таким образом, чтобы обеспе­чить требуемый уровень безопасности защищаемой информации как от внешних (находящихся вне территории организации), так и внутренних (проникших на территорию злоумышленников и со­трудников). Чем более ценной является защищаемая информация, тем большим количеством рубежей и зон целесообразно окружать ее источник и тем сложнее злоумышленнику обеспечить разведы­вательный контакт с ее носителями. Вариант классификация зон по условиям доступа приведен в табл. 2.1 .

3.4.1. Основные термины и определения

Современная криптография включает в себя следующие основные разделы:

  • криптосистемы с секретным ключом (классическая криптография);
  • криптосистемы с открытым ключом;
  • криптографические протоколы.

Введем некоторые понятия, необходимые в дальнейшем:

алфавит - конечное множество используемых для шифрования информации знаков;
текст - упорядоченный набор из элементов алфавита;
шифр - совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, заданных алгоритмом криптографического преобразования (криптоалгоритмом);
ключ - сменный элемент шифра, применяемый для закрытия отдельного сообщения, т.е. конкретное секретное состояние параметров криптоалгоритма, обеспечивающее выбор одного варианта преобразования из совокупности возможных; именно ключом определяется в первую очередь безопасность защищаемой информации и поэтому применяемые в надежных шифрах преобразования в большой степени зависят от ключа;
зашифрование - преобразование открытых данных в закрытые (зашифрованные) с помощью определенных правил, содержащихся в шифре;
расшифрование - обратный процесс;
шифрование - процесс зашифрования или расшифрования;
криптосистема - состоит из пространства ключей, пространства открытых текстов, пространства шифротекстов и алгоритмов зашифрования и расшифрования;
дешифрование - процесс преобразования закрытых данных в открытые при неизвестном ключе и (или) неизвестном алгоритме (вскрытие или взлом шифра);
синхропосылка - исходные параметры криптоалгоритма;
раскрытие криптоалгоритма - результат работы криптоаналитика, приводящий к возможности эффективного определения любого зашифрованного с помощью данного алгоритма открытого текста;
стойкость криптоалгоритма - способность шифра противостоять всевозможным попыткам его раскрытия, т.е. атакам на него.

3.4.2. Оценка надежности криптоалгоритмов

Все современные шифры базируются на принципе Кирхгофа, согласно которому секретность шифра обеспечивается секретностью ключа, а не секретностью алгоритма шифрования. В некоторых ситуациях (например, в военных, разведывательных и дипломатических ведомствах) нет никаких причин делать общедоступным описание сути криптосистемы. Сохраняя такую информацию в тайне, можно дополнительно повысить надежность шифра. Однако полагаться на секретность этой информации не следует, так как рано или поздно она будет скомпрометирована. Поэтому анализ надежности таких систем всегда должен проводиться исходя из того, что противник имеет всю информацию о применяемом криптоалгоритме, ему неизвестен только реально использованный ключ . В связи с вышеизложенным можно сформулировать общее правило: при создании или при анализе стойкости криптосистем не следует недооценивать возможностей противника. Их лучше переоценить, чем недооценить.

Стойкость криптосистемы зависит от сложности алгоритмов преобразования, длины ключа, а точнее от объема ключевого пространства, метода реализации: при программной реализации необходимо дополнительно защищаться от разрушающих программных воздействий (вирусов, червей, троянских программ). Хотя понятие стойкости шифра является центральным в криптографии, количественная оценка криптостойкости - проблема до сих пор не решенная.

Методы оценки качества криптоалгоритмов , используемые на практике:

В первом случае многое зависит от квалификации, опыта, интуиции криптоаналитиков и от правильной оценки возможностей противника. Обычно считается, что противник знает шифр, имеет возможность его изучения, знает некоторые характеристики открытых защищаемых данных, например тематику сообщений, их стиль, стандарты, форматы и т.п.

Во втором случае оценку стойкости шифра заменяют оценкой минимальной сложности алгоритма его вскрытия. Однако получение строгих доказуемых оценок нижней границы сложности алгоритмов рассматриваемого типа проблематично. Иными словами, всегда возможна ситуация, когда алгоритм вскрытия шифра, сложность которого анализируется, оказывается вовсе не самым эффективным.

Сложность вычислительных алгоритмов можно оценивать числом выполняемых элементарных операций, при этом необходимо учитывать их стоимость и затраты на их выполнение. В общем случае это число должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютерных систем. Качественный шифр невозможно раскрыть способом более эффективным, нежели полный перебор по всему ключевому пространству, при этом криптограф должен рассчитывать только на то, что у противника не хватит времени и ресурсов, чтобы это сделать.

В третьем случае можно сформулировать следующие необходимые условия стойкости криптосистемы, проверяемые статистическими методами:

  • должна отсутствовать статистическая зависимость между входной и выходной последовательностями;
  • выходная последовательность по своим статистическим свойствам должна быть похожа на истинно случайную последовательность;
  • при неизменной входной информационной последовательности незначительное изменение ключа должно приводить к непредсказуемому изменению выходной последовательности;
  • при неизменном ключе незначительное изменение входной последовательности должно приводить к непредсказуемому изменению выходной последовательности;
  • не должно быть зависимостей между ключами, последовательно используемыми в процессе шифрования.

Существует много различных криптоалгоритмов, при этом нет ни одного, подходящего для всех случаев. В каждой конкретной ситуации выбор криптоалгоритма определяется следующими факторами:

  • особенностью защищаемой информации (документы, исходные тексты программ, графические файлы и т.п.);
  • особенностями среды хранения или передачи информации;
  • ценностью информации, характером защищаемых секретов, временем обеспечения секретности;
  • объемами информации, скоростью ее передачи, степенью оперативности ее предоставления пользователю;
  • возможностями собственников информации, владельцев средств сбора, обработки, хранения и передачи информации по ее защите;
  • характером угроз, возможностями противника.

3.4.3. Классификация методов шифрования информации

Основные объекты изучения классической криптографии показаны на рис. 3.4 , где А и В - законные пользователи, W - противник или криптоаналитик. Учитывая что схема на рис. 3.4 а фактически является частным случаем схемы на рис. 3.4 б при В = А, в дальнейшем будет рассматриваться только она.

Процедуры зашифрования E (encryption) и расшифрования D (decryption) можно представить в следующем виде:

Функции за- и расшифрования взаимно обратные, иначе говоря, для любого текста X справедливо:


Рис. 3.9.

Гаммированием называют процедуру наложения на входную информационную последовательность гаммы шифра, т.е. последовательности с выходов генератора псевдослучайных последовательностей (ПСП) G. Последовательность называется псевдослучайной, если по своим статистическим свойствам она неотличима от истинно случайной последовательности, но в отличие от последней является детерминированной, т.е. знание алгоритма ее формирования дает возможность ее повторения необходимое число раз. Если символы входной информационной последовательности и гаммы представлены в двоичном виде, наложение чаще всего реализуется с помощью операции поразрядного сложения по модулю 2. Надежность шифрования методом гаммирования определяется качеством генератора гаммы.

3.4.5. Генераторы псевдослучайных последовательностей

Качественные ПСП, являясь по своей сути детерминированными, успешно заменяют во многих приложениях (в первую очередь связанных с защитой информации) случайные последовательности, которые чрезвычайно сложно формировать.

Можно выделить следующие задачи, требующие решения при организации защиты информационных систем:

  • обеспечение работоспособности компонентов и системы в целом при наличии случайных и умышленных деструктивных воздействий;
  • обеспечение секретности и конфиденциальности информации или наиболее важной ее части;
  • защита от НСД;
  • обеспечение аутентичности информации (целостности, подлинности и пр.);
  • обеспечение аутентичности участников информационного обмена;
  • обеспечение юридической значимости пересылаемых электронных документов;
  • обеспечение неотслеживаемости информационных потоков в системе;
  • защита прав собственников информации.

Во всех рассмотренных случаях генераторы ПСП применяются либо непосредственно, либо косвенно, когда на их основе строятся генераторы случайных последовательностей, генераторы контрольных кодов и хеш-генераторы. Во всех случаях требуются последовательности с равномерным законом распределения.

Можно выделить следующие функции генераторов ПСП в системах защиты информации:

  • формирование гаммы при шифровании информации в режимах гаммирования и гаммирования с обратной связью;
  • формирование ключей и паролей пользователей;
  • формирование случайных запросов при аутентификации удаленных абонентов;
  • формирование затемняющих множителей при слепом шифровании;
  • формирование контрольных кодов целостности информации;
  • хеширование информации при организации парольных систем, построении протоколов электронной подписи, аутентификации по принципу запрос-ответ и др.

Требования к качественному генератору ПСП:

  • непредсказуемость;
  • определенные статистические свойства;
  • большой период формируемых последовательностей;
  • эффективная реализация.

Непредсказуемость. Данное требование означает, что для противника, имеющего возможность анализировать фрагмент ПСП конечной длины, три задачи вычислительно неразрешимы:

  • предсказание следующего элемента последовательности;
  • определение предыдущего элемента последовательности;
  • определение использованной при генерации ключевой информации.

В первых двух случаях самая эффективная возможная стратегия - бросание жребия, в третьем - полный перебор по всему ключевому пространству.

Определенные статистические свойства. Это требование означает, что ни один из существующих статистических тестов не в состоянии обнаружить на выходе генератора какие-либо закономерности статистических зависимостей между различными последовательностями, формируемыми при инициализации генератора случайными значениями.

Принципы построения генераторов ПСП. Можно выделить два подхода при использовании в составе генераторов ПСП нелинейных функций: это использование нелинейной функции непосредственно в цепи обратной связи и двухступенчатая схема, в которой задача первой ступени (по сути счетчика) заключается всего лишь в обеспечении максимально большого периода при данном числе N элементов памяти Q. Во втором случае нелинейная функция является функцией выхода . На

По совокупности вышеперечисленных требований наиболее приемлемое решение - генераторы ПСП, использующие многораундовые преобразования при построении функций или .

Наиболее обоснованными математически следует признать генераторы с использованием односторонних функций. Непредсказуемость данных генераторов основывается на сложности решения ряда математических задач (например, задачи дискретного логарифмирования или задачи разложения больших чисел на простые множители). Существенным недостатком генераторов этого класса является низкая производительность.

3.4.6. Поточные шифры

Шифр Вернама можно считать исторически первым поточным шифром. Так как поточные шифры в отличие от блочных осуществляют поэлементное шифрование потока данных без задержки в криптосистеме, их важнейшим достоинством является высокая скорость преобразования, соизмеримая со скоростью поступления входной информации. Таким образом обеспечивается шифрование практически в реальном масштабе времени вне зависимости от объема и разрядности потока преобразуемых данных.

В синхронных поточных шифрах (см. рис. 3.9) гамма формируется независимо от входной последовательности, каждый элемент (бит, символ, байт и т.п.) которой таким образом шифруется независимо от других элементов. В синхронных поточных шифрах отсутствует эффект размножения ошибок, т.е. число искаженных элементов в расшифрованной последовательности равно числу искаженных элементов зашифрованной последовательности, пришедшей из канала связи. Вставка или выпадение элемента зашифрованной последовательности недопустимы, так как из-за нарушения синхронизации это приведет к неправильному расшифрованию всех последующих элементов.

В самосинхронизирующихся поточных шифрах осуществляется гаммирование с обратной связью - гамма зависит от открытого текста, иначе говоря, результат шифрования каждого элемента зависит не только от позиции этого элемента (как это происходит в случае синхронного поточного шифрования), но и от значения всех предыдущих элементов открытого текста. Свойство самосинхронизации объясняется отсутствием обратной связи на принимающей стороне, в то время как в случае синхронного поточного шифрования схемы за- и расшифрования абсолютно идентичны.