Конспект по дисциплине Теоретические основы компьютерной безопасности


КОНСПЕКТ ЛЕКЦИЙ
по дисциплине
«Теоретические основы компьютерной безопасности»
Тема лекции №1. Введение в дисциплину. Организация информационного обмена в компьютерных системах (сетях).
Учебные вопросы:
Актуальность проблем обеспечения информационной безопасности (ИБ). Структура информационных ресурсов.
Глобальные информационные сети. Правовые аспекты информационного обмена в сети Internet.
Обеспечение совместимости в компьютерных сетях. Протоколы совместимости.
Вопрос №1.
По мере возрастания ценности информации, развития и усложнения средств её обработки безопасность общества всё в большей степени зависит от безопасности используемых информационных технологий. Факты свидетельствуют о том, что способы злоупотребления информацией, циркулирующей в системах, совершенствуются не менее интенсивно, нежели меры защиты от них.
Объекты компьютерных преступлений (слайды):
- информационные ресурсы;
- персональные компьютеры;
- программное обеспечение;
- телекоммуникационное оборудование;
- линии связи.
158623095250Руководство предприятия
(цели)
Руководство предприятия
(цели)
4646930488315угрозы
угрозы
323858947154718050894715414718589471571818589471541008303232154558665323215900430226631590043032321590106532321527292301695450272859555181510153651123950Информационная система
Информационная система
11296652038350Объект управления
Объект управления

-132080161290угрозы
угрозы

Рис. 1. SEQ Рисунок \* ARABIC 1. ИС как объект воздействия злоумышленников.
На информационную безопасность РФ значительное влияние оказали происходящие в последние годы преобразования. Возникли новые факторы, которые необходимо учитывать при оценке состояния информационной безопасности и определении ключевых проблем в этой области. Всю совокупность факторов можно разделить на политические, экономические и организационно-технические.
Факторы, обуславливающие решение проблем обеспечения ИБ представлены на слайде.
Цели и задачи изучения данной дисциплины определены в программе и предполагают ознакомление и закрепление базовых положений по защите информации в процессе её передачи, обработки и хранения на всех этапах функционирования компьютерных систем объектов информатизации; формирование у студентов научного мировоззрения и развитие системного мышления; обучение студентов принципам и методам защиты информации, комплексного проектирования, построения, обслуживания и анализа защищённых автоматизированных систем (АС).
Дисциплина относится к вариативной части профессионального цикла основной образовательной программы подготовки специалистов по специальности 090303 «Информационная безопасность автоматизированных систем».
Информационная безопасность в современных условиях становится важнейшим элементом национальной безопасности государства и рассматривается в качестве одной из приоритетных задач (слайды).
Понятие компьютерной безопасности является видовым по отношению к более широкому (родовому) понятию "информационная безопасность", под которой понимается состояние защищенности информационной сферы (предприятия, организации, общества, государства) от внутренних и внешних угроз.
Методологический анализ родового понятия "информационная безопасность" показывает, что ключевыми является следующие аспекты – информационная сфера (объект), угрозы (внутренние и внешние) и состояние защищенности (предмет объекта).
В этой логике сфера понятия "компьютерная безопасность" (слайды) сужается до объекта, именуемого "компьютерной системой", под которой будем понимать человеко-машинную систему, представляющую совокупность электронно-программируемых технических средств обработки, хранения и представления данных, программного обеспечения (ПО), реализующего информационные технологии осуществления каких-либо функций, и информации (данных).
Состав компьютерной системы:
Средства вычислительной техники;
Программное обеспечение;
Каналы связи;
Информация на различных носителях;
Персонал и пользователи системы.
В развитии этой логики, под компьютерной безопасностью понимается состояние защищенности (безопасность) информации (данных) в компьютерных системах и безотказность (надежность) функционирования компьютерных систем.
В результате составляющими компьютерной безопасности выступают:
Безопасность информации (данных), накапливаемых, обрабатываемых в компьютерной системе (КС);
Безопасность (безотказность, надежность) функций КС.
Содержательный анализ самого понятия "информация" (сведения, сообщения, данные) независимо от формы их представления), особенностей процессов и технологий ее сбора, обработки, хранения, представления и выдачи показывает, что безотносительно к функционально-содержательной стороне работы с информацией (данными) понятие "безопасность информации" включает три составляющих: - обеспечение конфиденциальности;
- обеспечение целостности;
- обеспечение доступности.
В практической деятельности ИБ рассматривается как единство трех основополагающих свойств защищаемой информации (слайд):
конфиденциальность – когда доступ открыт только легальным пользователям;
целостность – обеспечивающая защиту информации, которая может быть изменена только законными пользователями и внутреннюю непротиворечивость;
доступность – гарантирующая беспрепятственный доступ к защищаемой информации для законных пользователей.
На основе анализа теоретических и практических аспектов обеспечения компьютерной безопасности можно выделить ряд общих принципов (слайд) создания и эксплуатации защищённых компьютерных систем (в которых обеспечивается безопасность информации):
разумной достаточности;
целенаправленности;
системности;
комплексности;
непрерывности;
управляемости;
сочетания унификации и оригинальности.
Организационно-технологический и человеко-машинный характер природы КС определяют обширный набор методов и механизмов обеспечения информационной безопасности (слайд).
В первую очередь, можно выделить ряд методов и механизмов, непосредственно обеспечивающих конфиденциальность, целостность и доступность данных, такие как разграничение доступа к данным, контроль и управление информационной структурой данных, контроль и обеспечение ограничений целостности данных, механизмы криптографического скрытия данных (шифрования), механизмы ЭЦП, обеспечивающие целостность данных в процессах их передачи и хранения, а также механизмы контроля и удаления остаточной информации на носителях данных после завершения их обработки и в освобождаемых областях оперативной памяти.
Также важнейшее значение для обеспечения компьютерной безопасности имеют методы и механизмы общесистемного характера, которые можно разделить на общеархитектурные и инфраструктурные с точки зрения программно-технической структуры современных КС.
Основополагающими среди общеархитектурных являются механизмы идентификации и аутентификации, обеспечивающие исходный и обязательный рубеж безопасности в КС, методы и механизмы управления памятью, изоляции процессов и управления транзакциями в клиент-серверных системах.
Не менее важное значение имеют методы и механизмы инфраструктурного характера, в особенности для обеспечения информационной безопасности в распределенных КС – контроль и управление программно-технической конфигурацией КС, управление сеансами работы пользователей, управление доступом пользователей с рабочих станций КС, управление (контроль) сетевыми соединениями в КС, управление инфраструктурой сертификатов криптоключей, обеспечивающих механизмы шифрования данных и электронно-цифровой подписи.
Обязательными для обеспечения информационной безопасности КС, находящими отражение в стандартах защищённости, имеют методы и механизмы обеспечивающего (профилактирующего) характера, среди которых, в первую очередь следует отметить методы протоколирования и аудита событий, методы и механизмы резервирования и архивирования, журнализации процессов изменения данных.
Анализ определений и понятий “информация» и «информационный ресурс», приведенный в различных источниках, показывает, что в настоящее время отсутствует их единое общепринятое определение.
В Федеральном Законе от 27 июля 2006 года № 149-ФЗ информация определяется как сведения (сообщения, данные) независимо от формы их представления. В соответствии с этим законом, вся информация делится на общедоступную и ограниченного доступа.
Структура информационных ресурсов представлена на слайде.
Анализ научно-технической литературы в области ИБ, в том числе законодательных актов РФ, а также отечественных и зарубежных стандартов, показывает, что в области терминологии не существует пока полного единства трактовок одних и тех же понятий. Изучение материала дисциплины требует обеспечения однозначного толкования терминов и определений, относящихся к защите информации.
В связи с этим необходимо отметить, что основополагающими источниками в данной области являются Федеральные законы РФ, Указы Президента и Постановления правительства РФ, Государственные (национальные) стандарты информационной безопасности. Устанавливаются термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, которые обязательны для применения во всех видах документации. Для каждого понятия установлен один термин. Применение синонимов термина не допускается. Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.
Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения.» устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.
Вопрос №2.
Основное отличие компьютерных сетей от отдельных компьютеров состоит в наличии обмена информацией между сетевыми узлами, связанными между собой каналами передачи данных.
Интеграция автономных компьютеров в сети позволяет повысить эффективность функционирования системы в целом за счет, во-первых, возможности обмена информацией между компьютерами сети и, во-вторых, использования на каждом отдельном компьютере общих сетевых ресурсов (информации, внешней памяти, приложений, внешних устройств).
Использование глобальных связей для объединения локальных сетей (филиалов предприятий и фирм) и компьютеров удаленных пользователей с центральной локальной сетью позволяет создавать корпоративные сети.
В настоящее время интенсивно развиваются беспроводные компьютерные сети, как, например – беспроводная локальная сеть WLAN (Wireless Local Area Network).
Функционирование и развитие сетевых ИС возможно при строгом соблюдении принципов стандартизации аппаратного и программного обеспечения.
Возникновение Internet явилось следствием стандартизации стека коммуникационных протоколов TCP/IP.
Internet – совокупность соединенных между собой компьютерных сетей, использующих единые согласованные правила обмена данными между компьютерами.
Развитие глобальной сети Internet способствовало использованию менее дорогостоящей и более доступной структуры обмена информацией.
Корпоративные сети при использовании возможностей Internet стали широко внедрять – Intranet, при котором способ доставки и обработки информации, переносятся в корпоративную сеть.
Возможности сети Internet для построения корпоративных сетей
- использование дешевых и доступных каналов обмена информацией;
- универсальность;
- широкий доступ к информационным ресурсам глобальной сети;
- относительная простота использования.
Построение корпоративных сетевых ИС с применением технологии интрасетей означает использование стека TCP/IP для передачи данных и технологии Web для их представления и отображения.
Отношения субъектов информационного обмена в сети Internet можно представить в виде схемы (слайд 1):
4724400100330Пользователь
00Пользователь
4381500306070003124200100330Информационный ресурс
00Информационный ресурс
2781300315595001638300119380Владелец
00Владелец
129540031559500152400119380Автор
00Автор

В рамках одной организации информационный ресурс и субъекты находятся под юрисдикцией одного государства и корпоративной нормативно-правовой базы. В этом случае государство регулирует все отношения в рамках единой законодательной базы для всех участников информационного обмена (слайд 2,3,4).
При рассмотрении глобального информационного пространства субъекты и информационные ресурсы могут находиться в разном правовом поле.
В настоящее время единые международные правовые акты, регулирующие отношения, связанные с использованием сети Internet, отсутствуют, а существующая законодательная база разных государств во многом противоречива.
В такой ситуации возможны три варианта правового регулирования:
по законодательству страны проживания пользователя;
по законодательству страны проживания собственника ресурса;
по законодательству страны проживания владельца.
Следует также учитывать и то, что в глобальных информационных процессах присутствуют также телекоммуникационные отношения: государство и его органы, операторы связи, пользователи услуг (абоненты).
Государство в лице соответствующих органов осуществляет разработку законодательной базы в области авторских прав, а также лицензирование и контроль деятельности в сфере телекоммуникаций.
Помимо информационных отношений в сети Internet возникают еще и телекоммуникационные отношения, в которых задействованы операторы связи и провайдеры услуг Internet. Причем, телекоммуникационные отношения возникают при создании, развитии и использовании всей телекоммуникационной инфраструктуры, а также при оказании телекоммуникационных услуг.
Отношения субъектов информационных процессов в сети Internet можно отобразить в виде следующей схемы (слайд 5):
960120255905Автор
00Автор
2103120255905Владелец
00Владелец
4046220104140Государство и его органы
00Государство и его органы

1874520800100030175207048500256984527559000
9880609525Информационный ресурс
00Информационный ресурс
32537401720850015144751746250020777206350Провайдер 1
00Провайдер 1

2057400245745Оператор связи 1
00Оператор связи 1
25641302286000
323469011303000
323659523622000204660556515Оператор связи 2
00Оператор связи 2

25920707302500
3234690176530002054860-2540Провайдер 2
00Провайдер 2

2045335260985Пользователь
00Пользователь
26015951206500
147383510541000323659511112500
При постановке и исследовании вопроса о правовом регулировании сети Internet возникают проблемы юрисдикции сети, правосубъектности лиц, представляющих, распространяющих и потребляющих информацию сети, а также проблему определения времени и места действия сети Internet.
Использование сети Internet регламентируется целым рядом нормативно-правовых актов, основными из которых являются (слайд 6):
- Указ Президента от 12 мая 2004 года № 611 «О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена» (с изм., внесенными Указом Президента РФ от 22.03.05 года № 329, от 03.03.06 года № 175);
- Постановление Правительства РФ от 3 июня 1998 года № 564 «Об утверждении Положения о лицензировании деятельности по международному информационному обмену» (в ред. Постановления Правительства РФ от 03.10.02 № 731);
- Постановление Правительства РФ от 27 августа 2005 года № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
- Постановление Правительства РФ от 23 января 2006 года № 32 «Об утверждении правил оказания услуг связи по передаче данных»;
- Постановление Правительства РФ от 10 марта 2007 года № 147 «Об утверждении Положения о пользовании официальными сайтами в сети Internet для размещения информации о заказах на поставки товаров, выполнение работ, оказании услуг для государственных и муниципальных нужд и о требованиях к технологическим программным, лингвистическим, правовым и организационным средствам обеспечения пользования указанными сайтами».
Существует также отраслевые нормативные документы.
Одним из последних государственных документов, касающихся проблем использования глобального информационного пространства, явилась принятая 25 июля 2007 года Советом Безопасности РФ «Стратегия развития информационного общества в России». В стратегии отмечена необходимость обеспечения безопасности функционирования российских информационных и коммуникационных систем в составе глобальной информационной инфраструктуры.
Главная задача, решаемая при создании компьютерных ИС (КИС) – задача стандартизации. Она заключается в обеспечении совместимости оборудования по электрическим и механическим характеристикам, а также информационного обеспечения (ИО) (программ и данных) по системам кодирования и формату данных. Методологической основой решения задачи стандартизации в КИС является многоуровневый подход к разработке средств сетевого взаимодействия. На основе данного подхода и технических предложений Международной организации стандартов ISO (International Standards Organization) была разработана стандартная модель взаимодействия открытых систем OSI (Open Systems Interconnection).
Модель OSI определяет различные уровни взаимодействия систем и указывает, какие функции должен выполнять каждый уровень (слайд 7).
В модели OSI средства взаимодействия делятся на семь уровней:
- прикладной (Application);
- представительный (Presentation);
- сеансовый (Session);
- транспортный (Transport);
- сетевой (Network);
- канальный (Data Link);
- физический (Phisical).
На самом верхнем уровне (прикладном) пользователь взаимодействует с приложениями. Самый нижний уровень (физический) обеспечивает обмен сигналами между устройствами.
Для обеспечения необходимой совместимости на каждом из уровней архитектуры компьютерной сети действуют специальные стандартные протоколы, представляющие собой формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах сети.
Иерархически организованный набор протоколов, достаточный для организации взаимодействия узлов и сети, называется стеком коммуникационных протоколов.
Различают модель ISO/OSI и стек протоколов ISO/OSI. Модель ISO/OSI представляет собой концептуальную схему взаимодействия открытых систем, а стек протоколов ISO/OSI – набор конкретных спецификаций протоколов для семи уровней взаимодействия, которые определены в модели ISO/OSI.
Коммуникационные протоколы могут быть реализованы как программно, так и аппаратно.
Модули, реализующие протоколы соседних уровней и находящиеся в одном узле сети, взаимодействуют друг с другом с помощью стандартизованных форматов сообщений по правилам, называемым межуровневым интерфейсом. Протокол и интерфейс – родственные понятия, но традиционно в сетях за ними закреплены разные области действия.
Протоколы определяют правила взаимодействия одного уровня, а интерфейсы – правила взаимодействия модулей соседних уровней в одном узле.
Стек протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) является промышленным стандартом стека коммуникационных протоколов, разработанным для глобальных сетей. Стандарты TCP/IP опубликованы в серии документов, названных Request for Comment (RFC). Документы RFC описывают внутреннюю работу сети Internet.
Стек TCP/IP объединяет набор взаимодействующих между собой протоколов. Самым важным из них являются протокол IP, отвечающий за поиск маршрута (или маршрутов) в сети Internet от одного ПК к другому через множество промежуточных сетей, шлюзов и маршрутизаторов и передачу пакетов данных по этим маршрутам, и протокол TCP, обеспечивающий надежную доставку, безошибочность и правильный порядок приема передаваемых данных.
Стек TCP/IP является самым распространенным средством организации составных компьютерных сетей по следующим причинам:
- это наиболее завершенный стандартный стек сетевых протоколов;
- протокол TCP/IP используется практически всеми крупными сетями:
- все современные ОС поддерживают стек TCP/IP.
В отношении безопасности протоколов TCP/IP, безопасности передачи данных в сети Internet в целом, пользователи должны учитывать, что в отсутствии специальных мер, все данные передаются протоколами TCP/IP в открытом виде. Это означает, что любой узел (и соответственно его оператор), находящийся на пути следования данных от отправителя к получателю, может скопировать себе все передаваемые данные и использовать их в дальнейшем в своих целях. В равной мере данные могут быть искажены или уничтожены.
Вопрос №3.
Организационная структура стека протоколов TCP/IP (слайд 8).
Стек TCP/IP разрабатывался до появления модели OSI. Структура протоколов TCP/IP приведена на слайде. Стек протоколов TCP/IP имеет 4 уровня:
прикладной (application);
транспортный (transport);
уровень межсетевого взаимодействия (internet);
уровень сетевых интерфейсов (network).
Соответствие уровней стека TCP/IP уровням модели OSI условно.
Прикладной уровень (application) включает множество протоколов и сервисов. К ним относятся: протоколы копирования файлов FTP; протокол эмуляции терминала Telnet; почтовый протокол SMPT, используемый в электронной почте сети Internet; гипертекстовые сервисы доступа к удалённой информации WWW и другие.
Протокол пересылки файлов FTP (File Transfer Protocol) реализует удалённый доступ к файлу. Для обеспечения надёжной передачи, FTP в качестве транспорта использует протокол с установлением соединений TCP. Кроме пересылки файлов, протокол FTP предлагает возможность интерактивной работы с удалённой машиной – распечатать содержимое её каталогов; выполняет аутентификацию пользователей. Для получения доступа к файлу пользователи, в соответствии с этим протоколом, должны сообщить имя и пароль. Для доступа к публичным каталогам FTP-архивов Internet не требуется парольной аутентификации, и её можно обойти, используя предопределённое имя пользователя Anonymous.
Протокол Telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удалённого компьютера. При использовании сервиса Telnet пользователю предоставляется возможность управлять удалённым компьютером так же, как и локальному пользователю. Такой вид доступа требует хорошей защиты. Серверы Telnet всегда используют, как минимум, аутентификацию по паролю, а иногда и более мощные средства защиты, например систему Kerberos.
Протокол SNMP (Simple Network Management Protocol) используется для организации сетевого управления Изначально этот протокол использовался для удалённого контроля и управления маршрутизаторами Internet. С ростом популярности его стали применять для управления разным коммуникационным оборудованием – концентраторами, мостами, сетевыми адаптерами. В стандарте SNMP определена спецификация информационной базы данных управления сетью, известная как база данных MIB (Management Information Base). Она определяет те элементы данных и допустимые операции над ними, которые управляемое устройство должно сохранять.
На транспортном уровне (transport) стека TCP/IP, называемом основным уровнем, функционируют протоколы TCP и UDP.
Протокол управления передачей TCP (Transport Control Protocol) решает задачу обеспечения надёжной информационной связи между двумя конечными узлами и носит название «с установлением соединения». Это означает, что два узла, связывающиеся с его помощью, «договариваются» об обмене потоком данных и принимают на себя некоторые соглашения об управлении этим потоком. Согласно этому протоколу, отправляемые данные нарезаются на небольшие стандартные пакеты, после чего каждый пакет маркируется таким образом, чтобы в нём были данные для правильной сборки документа на компьютере получателя.
Протокол дейтаграмм пользователя UDP (User Datagram Protocol) обеспечивает передачу прикладных пакетов дейтаграммным способом, т.е. каждый блок передаваемой информации (пакет) обрабатывается и распространяется от узла к узлу как независимая единица информации – дейтаграмма. Протокол UDP здесь выполняет функции связующего звена между сетевым протоколом и многочисленными прикладными процессами. Протокол UDP умеет различать приложения и доставляет информацию от одного приложения к другому.
Уровень межсетевого взаимодействия (Internet) осуществляет концепцию коммутации пакетов без установления соединений. Основным протоколом этого уровня является адресный протокол IP. Этот протокол проектировался как протокол передачи пакетов в составных сетях, состоящих из большого числа локальных сетей, объединённых всесторонними связями.
Протокол IP означает, что у каждого пользователя Internet должен быть свой уникальный адрес (IP-адрес). Без этого точная доставка TCP-пакетов в нужное рабочее место будет невозможна. Адрес выражается 4-мя байтами, например 165.52.48.26. Структура IP-адреса организована так, что каждый компьютер, через который проходит какой-либо пакет TCP-пакет, может по этим четырём числам определить, кому из ближайших «соседей» надо отправить пакет, чтобы он оказался «ближе» получателю. В результате конечного числа перебросок TCP-пакет достигает адресата. При этом, оценивается не географическая «близость», а условия связи и пропускная способность линии. Два компьютера, находящиеся на значительном удалении, но связанные высокопроизводительной линией космической связи, считаются более близкими друг другу, чем два компьютера, расположенные сравнительно недалеко один от другого. Решением задачи, что «ближе», а что «дальше» занимаются специальные средства, называемые маршрутизаторами. Роль маршрутизатора в сети может выполнять как специализированный компьютер, так и специализированная программа, работающая на узловом сервере сети.
К уровню межсетевого взаимодействия относятся и протоколы, связанные с составлением и модификацией таблиц маршрутизации протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом – источником пакета.
Уровень сетевого интерфейса (Network) соответствует физическому и канальному уровням модели OSI. Этот уровень в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, для глобальных сетей – протоколы соединений «точка-точка» SLIP и PPP, протоколы территориальных сетей с коммутацией пакетов X.25, frame relay. Разработана спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня.
Разделённые на уровни протоколы стека TCP/IP спроектированы таким образом, что конкретный уровень хоста назначения получает именно тот объект, который был отправлен эквивалентным уровнем хоста источника. Каждый уровень стека одного хоста образует логическое соединение с одноимённым уровнем стека другого хоста. При реализации физического соединения уровень передаёт свои данные интерфейсу уровня, расположенного выше или ниже в том же хосте (слайд 9). Вертикальные стрелки указывают физическое соединение в пределах одного хоста, а горизонтальные показывают логическое соединение между одноимёнными уровнями в различных хостах.
Приложение передает транспортному уровню сообщение (message), которое имеет соответствующее данному приложению размер и семантику. Транспортный уровень разделяет это сообщение (если оно достаточно велико) на пакеты (packets), которые передаются уровню межсетевого взаимодействия (протоколу IP). Протокол IP формирует свои IP-пакеты (дейтаграммы) и затем упаковывает их в формат, приемлемый для данной физической среды передачи информации. Эти аппаратно-зависимые пакеты называются кадрами (frame).
При передаче от прикладного уровня к транспортному, а затем уровню межсетевого взаимодействия и далее через уровень сетевого интерфейса в сеть, каждый протокол выполняет соответствующую обработку и инкапсулирует результат этой обработки, присоединяя спереди свой заголовок (слайд 10).
В системе, принимающей данный поток информации, эти заголовки последовательно удаляются по мере обработки данных и передачи их вверх по стеку. Это обеспечивает необходимую гибкость в обработке передаваемых данных, поскольку верхним уровням не требуется касаться технологии, используемой в нижних уровнях. Например, если шифруются данные на уровне IP, уровень TCP и прикладной уровень остаются неизменными.
Контрольные вопросы
Почему проблемы обеспечения информационной безопасности приобрели особую актуальность?
Перечислите основные объекты компьютерных преступлений.
Назовите возможные каналы утечки информации.
Что собой представляет компьютерная система?
Назовите составляющие компьютерной безопасности.
Перечислите общие принципы создания и эксплуатации защищенных компьютерных систем (в которых обеспечивается безопасность информации).
В каких основных нормативных правовых документах изложены ключевые положения по защите информации?
Тема лекции №2. Угрозы компьютерной безопасности и основные виды атак на компьютерные системы.
Учебные вопросы:

Проблемы безопасности компьютерных систем (сетей). Понятие угрозы. Причины возникновения угроз безопасности информации.
Факторы, воздействующие на защищаемую информацию. Классификация угроз.
3. Основные направления и методы реализации угроз.
4. Основные виды атак на АС.
Вопрос №1.
Проблемы обеспечения ИБ в корпоративных компьютерных системах (сетях) обусловлены угрозами безопасности для локальных рабочих станций, локальных сетей и атаками на корпоративные сети, имеющими выход в общедоступные сети передачи данных.
Целями нарушителей, осуществляющих атаки, являются (слайд):
- нарушение конфиденциальности передаваемой информации;
- нарушение целостности и достоверности передаваемой информации;
- нарушение работоспособности всей системы или отдельных ее частей.
Распределенные системы подвержены прежде всего удаленным атакам, поскольку компоненты распределенных систем обычно используют открытые каналы передачи данных, и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и модифицировать передаваемый трафик (активное воздействие).
Трудность выявления факта удаленной атаки выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.
Безопасность локальной сети отличается от безопасности межсетевого взаимодействия тем, что на первое по значимости место выходят нарушения зарегистрированных пользователей, поскольку в этом случае каналы передачи данных локальной сети находятся на контролируемой территории и защита от несанкционированного подключения к которым, реализуется административными методами (слайды).
Угроза – потенциальная возможность нарушения защиты.
Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или непреднамеренными и/или несанкционированными воздействиями на неё.
Виды угроз:
угрозы конституционным правам и свободам человека и гражданина;
угрозы информационному обеспечению государственной политики РФ;
угрозы развитию отечественной индустрии информации;
угрозы безопасности ИТКС.
Информационные сферы РФ (слайд)
- внутренняя политика;
- внешняя политика;
- правопорядок и суды;
- наука и техника;
- чрезвычайная ситуация;
- ЕСЭ;
- оборона;
- ИТКС;
- экономика.
Причинами возникновения угроз безопасности информации являются (слайд):
утечка информации;
несанкционированное воздействие;
непреднамеренное воздействие.
Вопрос №2 (слайды).
Факторы, воздействующие на защищаемую информацию – явления, действия или процессы, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации и блокирование доступа к ней (ГОСТ Р 51275-99) (слайд).
Угрозы ИБ и их классификация представлены на слайде.
Вопрос №3.
Основные направления и методы реализации угроз показаны на слайдах.
Вопрос №4.
I. Информация, обрабатываемая в корпоративных компьютерных системах (сетях), является особенно уязвимой, чему способствуют:
- увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
- сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
- расширение доступа круга пользователей к информации, хранящейся в БД, и к ресурсам вычислительной сети;
- увеличение числа удаленных рабочих мест;
- широкое использование глобальной сети Интернет и различных каналов связи;
- автоматизация обмена информацией между компьютерами пользователей.

Проблемы обеспечения информационной безопасности в проводных КС (слайд) связаны с:
- угрозами безопасности локальных рабочих станций;
- угрозами ЛВС;
- с угрозами корпоративных сетей.
На практике компьютерные системы (сети) уязвимы для многих способов несанкционированного вторжения в процесс обмена данными. По мере развития компьютерных и сетевых технологий (с появлением мобильных Java-приложений и элементов ActiveX) список возможных типов угроз (сетевых атак) на компьютерные системы (сети) постоянно расширяется.
Наиболее распространёнными являются следующие виды угроз (атак) (слайд):
подслушивание (sniffing)
В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что создает возможность подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов – представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.
В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Поскольку некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (имена пользователей и пароли).
Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания, которую называют password sniffing. Перехват имен и паролей таит большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.
Предотвратить угрозу сниффинга пакетов можно с помощью применения для аутентификации однократных паролей, установки аппаратных и программных средств, распознающих снифферы, применения криптографической защиты каналов связи.
изменение данных
При прочтении данных со стороны злоумышленника существует возможность их изменения. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.
анализ сетевого трафика.
Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (паролей пользователей, номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.
подмена доверенного субъекта
Подмена IP-адреса отправителя другим называют фальсификацией адреса (IP-spoofing). Имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя. Он может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Могут быть использованы специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети.
Атаки IP-спуфинга порождают атаки типа «отказ в обслуживании» (DoS), которые начинаются с чужого адреса, скрывающего истинную личность хакера.
Угрозу спуфинга можно ослабить (но не устранить) с помощью правильной настройки управления доступом из внешней сети, пресечения попыток спуфинга чужих сетей пользователями своей сети.
Атаки IP-спуфинга можно предотвратить путем введения дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии).
посредничество
Атака подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. При взаимодействии компьютеров на низких сетевых уровнях, не всегда можно определить, адресата, с которым производится обмен данными.
посредничество в обмене незашифрованными ключами
(атака man-in-the-middle)
Для проведения этой атаки необходим доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.
Атаки данного вида проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Самый эффективный способ борьбы с такими атаками – использование криптографии. Для противодействия атакам данного типа используется инфраструктура управления открытыми ключами (PKI)(Public Key Infrastructure).
перехват сеанса
По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например, с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда на разрыв соединения. В результате «собеседник» законного пользователя оказывается незаметно подмененным.
После получения доступа к сети атакующий злоумышленник может:
- отправлять некорректные данные приложениям и сетевым службам, что приводит к аварийному завершению сеансов или неправильному функционированию системы;
- наполнить компьютер или всю сеть трафиком, пока не произойдет перегрузка и остановка системы;
- блокировать трафик, что приведет к потере доступа авторизованных пользователей к сетевым ресурсам.
отказ в обслуживании (Denial of Service, DoS)
Основное отличие этого вида атаки от других заключается в том, что она не нацелена на обеспечение доступа в сеть или на получение из сети какой-либо информации. В результате DoS-атаки сеть предприятия становится недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, ОС или приложения. Данный вид атаки лишает обычных пользователей доступа к информационным ресурсам или компьютерам сети организации.
Большинство DoS-атак опирается на общие изъяны системной архитектуры. В случае использования некоторых серверных приложений (web-сервер или FTP-сервер) DoS-атаки могут занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе DoS-атак могут использоваться обычные Internet-протоколы – TCP и ICMP (Internet Control Message Protocol).
DoS-атаки трудно предотвратить, поскольку требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть из-за загруженности полосы пропускания, это сделать уже не удастся.
Когда DoS-атака проводится одновременно через множество устройств, то говорят о распределенной атаке отказа в обслуживании DDoS (distributed DoS).
Атаки на уровне приложений
Могут проводиться несколькими способами. Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP,web-сервера).Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям.
Полностью исключить атаки на уровне приложений невозможно. В Интернете хакерами постоянно публикуются сведения об уязвимых местах прикладных программ.
Для снижения уязвимости от атак этого типа, необходимо хорошее системное администрирование, в частности:
- проводить анализ log-файлов ОС и сетевые log-файлы с помощью специальных аналитических приложений;
- отслеживать данные CERT (служба реагирования на компьютерные инциденты) о слабых местах прикладных программ;
- пользоваться самыми свежими версиями ОС и приложений и самыми последними коррекционными модулями (патчами);
- использовать системы распознавания атак IDS (Intrusion Detection Systems).
Сетевая разведка
Это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-нибудь сети хакер, как правило, пытается получить о ней как можно больше информации.
Проводится в форме запросов Domen Name Services (Доменная служба сервисов), эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS, помогают выяснить владельца домена и присвоенные ему адреса. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты в данной среде работают. Получив список хостов, использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате появляется доступ к информации, которую можно использовать для взлома.
Злоупотребление доверием
Данный тип действий представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером этого служит ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP, и HTTP. Поскольку все они принадлежат одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.
Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны систем, защищенных межсетевым экраном.
Отношения доверия должны ограничиваться определенными протоколами и аутентифицироваться не только по IP-адресам, но и по другим параметрам.
Парольные атаки
Целью парольных атак является завладение паролем и логином законного пользователя. Данный вид атак проводится с использованием следующих методов:
- подмена IP-адреса (IP-спуфинг);
- подслушивание (сниффинг);
- простой перебор.
IP-спуфинг и сниффинг позволяют завладеть паролем и логином пользователя, когда они передаются открытым текстом по незащищенному каналу.
Метод подбора пароля и логина с использованием многочисленных попыток доступа называется атакой полного перебора (brute force attack). Данный вид атаки использует программу, которая пытается получить доступ к ресурсу общего пользования (к серверу). Если удается подобрать пароль, то доступ к сетевым ресурсам осуществляется на правах обычного пользователя.
Парольные атаки можно предотвратить, если не пользоваться паролями в текстовой форме. А использование одноразовых паролей и криптографической аутентификации обеспечит надежную защиту от таких атак. Необходимо учитывать, что не все приложения, хосты и устройства поддерживают указанные методы аутентификации.
При использовании обычных паролей следует придумать такой пароль, который было бы трудно подобрать. Минимальная его длина должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#,$,&,%).Угадывание ключа
Криптографический ключ представляет собой код или число, предназначенное для расшифровки необходимой информации. Для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называют скомпромитированным. Атакующий использует скомпромитированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровать и изменять данные.
Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные компьютерные системы (сети), показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС – внутренние источники, так и вне ее – внешние источники. Такое деление вполне оправдано, поскольку для одной и той же угрозы методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.
Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибки в программе, вызвавшие остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (ошибки администрирования).
По данным Национального института стандартов и технологий США (NIST), 55% случаев нарушения безопасности ИС – следствие непреднамеренных ошибок. Работа в глобальной ИС делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно.
На слайде приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.
На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаях виновниками оказывались штатные сотрудники организаций, хорошо знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.
Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10% всех возможных нарушений. Почти каждый Интернет-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения ИБ, которые могут активно использоваться для получения НСД. Случаи удаленного доступа к информационным структурам рассматриваются отдельно.
До построения политики безопасности необходимо оценить риски, которым подвержена компьютерная среда организации и предпринять соответствующие шаги.
Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.
II. Принцип действия беспроводной сети приводит к возникновению большого числа уязвимостей для атак и проникновений (слайд).
Оборудование беспроводных локальных сетей WLAN включает точки беспроводного доступа и рабочие станции для каждого абонента.
Точки доступа AP (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернет. Каждая точка доступа может обслуживать несколько абонентов. Несколько близкорасположенных точек доступа образуют зону доступа Wi-Fi, в пределах которой все абоненты, снабжённые беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, библиотеках, магазинах, бизнес-центрах и т.д.
У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID – это 32-битная строка, используемая в качестве имени беспроводной сети, с которой связаны все узлы. SSID необходим для подключения рабочей станции к сети. Для связи рабочей станции с точкой доступа обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.
Главное отличие между проводными и беспроводными сетями – наличие неконтролируемой зоны между конечными точками беспроводной сети. Это создает возможность для проведения атак.
При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают.
Возможными уязвимостями и угрозами беспроводных сетей являются:
Вещание радиомаяка. Точка доступа включает с определённой частотой широковещательный радиомаяк, чтобы оповещать окрестные беспроводные узлы о своём присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая SSID, и приглашают беспроводные узлы зарегистрироваться в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть.
Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, между тем, посылается при подключении, поэтому всё равно существует небольшое окно уязвимости.
Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется утилита NetStumber совместно со спутниковым навигатором системы GPS. Эта утилита идентифицирует SSID сети WLAN и определяет наличие системы шифрования WEP (Wired Equivalent Privacy). Применение внешней антенны на портативном компьютере даёт возможность обнаруживать сеть WLAN во время обхода нужного района или поездки по городу. Надёжным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.
Подслушивание. Осуществляется для сбора информации о сети, которую предполагается атаковать впоследствии. Злоумышленник может использовать добытые данные для получения доступа к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть аналогично тому, что используется для обычного доступа к этой сети. По своей природе беспроводные сети позволяют соединять компьютеры с физической сетью, находящиеся на расстоянии от неё. Возможно подключение к беспроводной сети, располагающейся в здании из машины, находящейся на стоянке вблизи этого здания. Атаку посредством пассивного прослушивания обнаружить практически невозможно.
Ложные точки доступа в сеть. Опытный злоумышленник может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои реквизиты (аутентификационную информацию). Этот тип атак иногда применяют в сочетании с прямым «глушением» истинной точки доступа в сеть.
Отказ в обслуживании. Атака типа DoS может вызвать полную парализацию сети. Её цель состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети – абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр рабочих частот помехами и нелегальным трафиком. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети практически недоказуем.
Атаки типа «человек-в-середине». Атаки этого типа выполняются в беспроводной сети гораздо проще. Этот вид атак используется для разрушения конфиденциальности и целостности сеанса связи. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов, используя возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для спуфинга IP-адресов, изменения MAC-адреса для имитирования другого хоста.
Анонимный доступ в Интернет. Незащищённые беспроводные ЛВС обеспечивают хакерам наилучший анонимный доступ для атак через Интернет, не оставляя, при этом, хакерами никаких следов. Организация с незащищённой ЛВС становится источником атакующего трафика, нацеленного на другую компьютерную систему.
Контрольные вопросы
Назовите основные цели нарушителей, осуществляющих угрозы (атаки) на ИС.
Что подразумевает угроза безопасности информации?
Перечислите основные направления реализации угроз.
Назовите основные факторы, воздействующие на защищаемую информацию.
С чем связаны проблемы обеспечения информационной безопасности в проводных компьютерных сетях?
Что такое «сетевая разведка»?
Какие угрозы и уязвимости существуют в беспроводных сетях?
Тема лекции № 3. Построение системы защиты от угрозы нарушения конфиденциальности информации.
Учебные вопросы:
Фрагментарный и комплексный подходы к созданию систем защиты. Модель системы защиты от угроз нарушения конфиденциальности информации.
Организационно-режимные меры защиты. Защита носителей информации.
Идентификация и аутентификация. Особенности построение парольных систем.
Вопрос №1.
Существует два подхода к проблеме обеспечения безопасности компьютерных систем и сетей (АС): фрагментарный и комплексный.
«Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.
Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенный недостаток — отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
«Комплексный» подход ориентирован на создание защищенной среды обработки информации в АС, объединяющей в единый комплекс разнородные меры противодействия угрозам.
Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности АС, что является несомненным достоинством комплексного подхода.
К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Политика безопасности регламентирует эффективную работу средств защиты АС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности.
Политики безопасности подробно рассматриваются нами в дальнейших разделах курса.
Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней (слайды):
законодательного (стандарты, законы, нормативные акты и т.п.);
административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
программно-технического (конкретные технические меры).
Модель комплексной системы защиты
Схема традиционно выстраиваемой эшелонированной защиты приведена на слайде.

Рис. 3.1. Структура системы защиты от угроз нарушения конфиденциальности информации.
Во всех случаях параллельно должен быть развёрнут комплекс инженерно-технических средств защиты информации, перекрывающих возможность утечки по техническим каналам.
Вопрос №2.
Организационные меры и механизмы обеспечения безопасности предусматривают:
развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.
создание службы охраны и физической безопасности.
организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, проксимити-карт и т.д.);
разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;
регламентацию порядка работы с носителями, содержащими конфиденциальную информацию.
Не затрагивая логики функционирования АС, данные меры при корректной и адекватной их реализации являются крайне эффективным механизмом защиты и жизненно необходимы для обеспечения безопасности любой реальной системы.
Защиты носителей информации в АС
Проблема защиты машинных носителей информации (МНИ) в АС решается в основном за счет организационно-режимных мер, делающих невозможным или существенно ограничивающим доступ злоумышленников к МНИ и документальным материалам АС.
В связи с этим одним из наиболее надежных подходов к защите МНИ является их физическая защита.
Задача получения злоумышленником доступа к информации на машинном носителе может быть представлена как последовательность следующих подзадач:
выбор соответствующего заданному носителю привода - наиболеезначимого для обеспечения доступа элемента;
запуск соответствующего приводу комплекта программ (операционная система, драйверы привода и т.п.);
обеспечение порядка использования программ и привода для считывания в память компьютерной системы содержимого носителя информации.
Злоумышленник не может получить доступ к информации на машинном носителе в двух случаях:
когда злоумышленнику недоступен сам носитель;
когда злоумышленнику доступен носитель, но отсутствуют соответствующие средства взаимодействия с носителем.
Основными задачами обеспечения информационной безопасности АС от угрозы раскрытия конфиденциальности на уровне МНИ являются:
исключение прохождения носителей по технологическим участкам, не обусловленным производственной необходимостью;
предупреждение непосредственного доступа к носителям персонала, не отвечающего за операции с носителями (минимизация доступа), предупреждение утраты или хищения носителей информации.
Первая задача решается за счет рациональной организации производственного процесса движения носителей информации, обеспечивающего целенаправленное распределение носителей по технологическим участкам, вторая - за счет четкой и обоснованной регламентации порядка обращения с носителями.
Вопрос №3.
Рассмотрим подробнее такие взаимосвязанные методы защиты от НСД, как идентификация, аутентификация и используемое при их реализации криптографическое преобразование информации.
Идентификация - это присвоение пользователям идентификаторов (понятие идентификатора будет определено ниже) и проверка предъявляемых идентификаторов по списку присвоенных.
Аутентификация - это проверка принадлежности пользователю предъявленного им идентификатора. Часто аутентификацию также называют подтверждением или проверкой подлинности.
Под безопасностью (стойкостью) системы идентификации и аутентификации будем понимать степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя. В этом смысле, чем выше стойкость системы аутентификации, тем сложнее злоумышленнику решить указанную задачу.
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы (рис.3.2).

Рис. 3.2. Блок-схема идентификации и аутентификации.
Приведённая схема учитывает возможные ошибки оператора при проведении процедуры аутентификации: если аутентификация не выполнена, но допустимое число попыток не превышено, пользователю предлагается пройти процедуру идентификации и аутентификации еще раз.
Тем самым, задача идентификации – ответить на вопрос «кто это?», а аутентификации - «а он ли это на самом деле?».
Всё множество использующих в настоящее время методов аутентификации можно разделить на 4 большие группы:
1. Методы, основанные на знании некоторой секретной информации (парольная защита).
2. Методы, основанные на использовании уникального предмета (использование смарт-карт, токенов, электронных ключей и т.д.).
3. Методы, основанные на использовании биометрических характеристик человека (сканеры отпечатков пальцев и рисунков сетчатки и радужной оболочки глаза).
4. Методы, основанные на информации, ассоциированной с пользователем (координаты пользователя, определяемые при помощи GPS).
Широко распространена практика совместного использования нескольких из перечисленных выше механизмов – в таких случаях говорят о многофакторной аутентификации.
Контрольные вопросы
Назовите основные подходы к проблеме обеспечения безопасности компьютерных систем и сетей (АС).
За счёт чего осуществляется первичная защита от угроз нарушения конфиденциальности информации?
Чем определяется специфика защиты МНИ?
Какие способы существуют для доступа к данным в МНИ?
Что понимается под многофакторной аутентификацией?
Тема лекции № 4. Формальные модели информационной безопасности. Основные положения формальной теории защиты информации.
Учебные вопросы:
Аксиомы и определения доступа субъектов к объектам.
Разграничение доступа. Методы разграничения доступа.
Монитор безопасности обращений (МБО) субъектов к объектам. Свойства МБО.
Вопрос №1.
Примем некоторые обозначения. Пусть А – конечный алфавит, А* - множество слов конечной длины в алфавите А,L ⊂ А* - язык, т.е. множество слов, выделенных по определённым правилам из А*.
Аксиома 1. Любая информация в автоматизированной системе представляется словом в некотором языке L.
Под объектом относительно языка L будем понимать произвольное конечное множество слов языка L. Очевидно, что в качестве объектов можно рассматривать многие элементы, входящие в состав АС. Например, текстовый файл представляет собой объект, поскольку в произвольный момент времени в него может быть записана некая последовательность символов, которая в общем случае будет представлять собой одно из конечного множества слов L над некоторым алфавитом А. Аналогично может быть составлен язык, описывающий клавиатуру и её состояние в произвольный момент времени. Языком описания клавиатуры можно считать множество возможных её состояний.
Преобразованием информации назовём отображение, заданное на множестве слов языка L. Иначе говоря, преобразование отображает слово, описывающее исходные данные, в другое слово. Само описание преобразования при этом также является словом. Примером преобразования служит программа, написанная на некотором языке программирования.
Программа может либо выполняться, либо просто храниться в файле на некотором носителе. Аналогично, преобразование может:
храниться – в этом случае описание преобразования хранится в некотором объекте и ничем не отличается т других данных;
действовать – преобразование может взаимодействовать с некоторыми ресурсами АС.
Ресурсы системы, выделенные для действия преобразования, называют доменом. Чтобы инициировать действие преобразования, ему надо передать управление. Преобразование, которому передано управление, называется процессом. Объект, описывающий преобразование, которому выделен домен и передано управление, называется субъектом.
Субъект для реализации преобразования использует информацию, содержащуюся в объекте, т.е. осуществляет доступ к объекту. Существует два основных вида доступа:
чтение – если субъект S получает доступ к объекту О на чтение, то это означает, что производится перенос информации от объекта О к субъекту S – или, возникает информационный поток от О к S (рис.9.1).

4319905251460S
0S
1158240251460О

275844080010r00r
19107151873250

Рис.9.1. Информационный поток от О к S.
запись – если субъект S получает доступ к объекту О на запись, то производится перенос информации от субъекта S к объекту О, т.е. возникает информационный поток от S к О (рис.9.2).
285369057150w00w4319905247650S
0S
1110615238125О


191071588265
Рис.9.2. Информационный поток от S к О.
Оба эти вида доступа являются базовыми. Существуют и более сложные варианты: например, активизация процесса, когда субъект S получает доступ к объекту О на активизацию процесса, записанного в О в виде данных. В этом случае для преобразования, описанного в О, формируется домен и этому преобразованию передаётся управление.
Любой субъект сам является объектом относительно некоторого языка. Поэтому, если S – множество всех субъектов в системе, а О – множество всех объектов, то S⊆О.
Аксиома 2. Все вопросы безопасности информации описываются доступами субъектов к объектам.
Данный подход сужает применимость формальной теории, поскольку ограничивается исключительно вопросами архитектуры систем безопасности, не рассматривая специфику их реализации.
Вопрос №2.
Под разграничением доступа принято понимать установление полномочий субъектов для последующего контроля санкционированного использования ресурсов, доступных в системе. Принято выделять два основных метода разграничения доступа:
дискреционное и мандатное.
Дискреционным называется разграничение доступа между поименованными субъектами и поименованными объектами.
На практике дискреционное разграничение доступа может быть реализовано, например, с использованием матрицы доступа.


Рис. 9.3. Схема матрицы доступа.
Как видно из рисунка, матрица доступа определяет права доступа для каждого пользователя по отношению к каждому ресурсу.
Очевидно, что вместо матрицы доступа можно использовать списки полномочий: например, каждому пользователю может быть сопоставлен список доступных ему ресурсов с соответствующими правами, или же каждому ресурсу может быть сопоставлен список пользователей с указанием их прав на доступ к данному ресурсу.
Мандатное разграничение доступа обычно реализуется как разграничение доступа по уровням секретности.
Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. При этом все ресурсы АС должны быть классифицированы по уровням секретности.
Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем: если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне, и владелец ресурса не может оказать на них влияния. Сам термин «мандатное» является неудачным переводом слова mandatory – «обязательный».
Тем самым, мандатное разграничение доступа следует понимать как принудительное.
Вопрос №3.
Монитор безопасности обращений
Концепция монитора безопасности обращений является естественной формализацией некоторого механизма, реализующего разграничение доступа в системе. Монитор безопасности обращений (МБО) представляет собой фильтр, который разрешает или запрещает доступ, основываясь на установленных в системе правилах разграничения доступа (рис.9.4).
3749040186690Доступ разрешён длдддддододоступ00Доступ разрешён длдддддододоступ843915167640Запрос на доступ длдддддододоступ00Запрос на доступ длдддддододоступ226314091440
37490402286000521589085724О
00О
7581902286000253365142875S
00S

3691890328930Доступ запрещён длдддддододоступ00Доступ запрещён длдддддододоступ5215890414655343471561468000281559089090522625051748155База правил
0База правил
215773018624550МБО
Рис.9.4. Монитор безопасности обращений.
Получив запрос на доступ от субъекта S к объекту О, МБО анализирует базу правил, соответствующую установленной в системе политике безопасности, и либо разрешает, либо запрещает доступ.
МБО удовлетворяет следующим свойствам:
ни один запрос на доступ субъекта к объекту не должен выполняться в обход МБО;
работа МБО должна быть защищена от постороннего вмешательства;
представление МБО должно быть достаточно простым для возможности верификации корректности его работы.
Концепция МБО и его свойства справедливы и для программных и аппаратных модулей, реализующих функции монитора обращений в реальных системах.
Контрольные вопросы
Что называется объектом?
Дайте определение преобразования информации.
Что понимают под разграничением доступа к информации?
Какие существуют методы разграничения доступа?
Что собой представляет монитор безопасности обращений? Назовите его свойства.
Что такое матрица доступа?
Тема лекции № 5. Обеспечение информационной безопасности компьютерных сетей.
Учебные вопросы:
Основные подходы к проблеме обеспечения безопасности компьютерных систем и сетей. Средства безопасности IPSec.
Методы управления средствами сетевой безопасности.
Вопрос №1.
Основой обеспечения безопасности компьютерных сетей является создание системы защиты не для отдельных классов приложений, а для сети в целом. Применительно к IP- сетям это означает, что системы защиты должны действовать на сетевом уровне модели OSI. Преимущество такого подхода состоит в том, что в IP- сетях именно сетевой уровень отличается наибольшей однородностью: независимо от вышележащих протоколов, физической среды передачи и технологии канального уровня транспортировки данных по сети не может быть произведена в обход протокола IP. Поэтому реализация защиты сети на третьем уровне автоматически гарантирует как минимум такую же степень защиты всех сетевых приложений, причём без какой-либо модификации последней.
На сетевом уровне существует возможность достаточно полной реализации функций защиты трафика и управления ключами, так как именно на сетевом уровне выполняется маршрутизация пакетов сообщений.
Стек протоколов IPSec используется для аутентификации участников обмена, туннелирования трафика и шифрования IP-пакетов. Основное назначение протокола – обеспечение безопасной передачи данных по IP- сетям. Этот протокол построен на базе стандартизованных криптографических технологий и представляет собой систему открытых стандартов, которая имеет чётко очерченное ядро, позволяющая дополнять её новыми протоколами, алгоритмами и функциями.
Основными задачами установления и поддержания защищённого канала являются следующие (слайд):
аутентификация пользователей или компьютеров при инициализации защищённого канала;
шифрование и аутентификация передаваемых данных между конечными точками защищённого канала;
обеспечение конечных точек канала секретными ключами, для работы протоколов аутентификации и шифрования данных.
Для решения перечисленных задач система IPSec использует комплекс средств безопасности информационного обмена.
Большинство реализаций протокола IPSec имеют следующие компоненты.
Основной протокол IPSec, который реализует протоколы ESP и AH. Протокол IPSec тесно взаимодействует с транспортным и сетевым уровнями стека протоколов TCP/IP, обрабатывает заголовки, взаимодействует с БД SPD и SAD для определения политики безопасности, применяемой к пакету.
AH (Authentication header) – протокол аутентифицирующего заголовка обеспечивает аутентификацию источника данных, проверку их целостности и подлинности после приёма, а также защиту от навязывания повторных сообщений.
ESP (Encapsulating Security Payload) – протокол инкапсулирующей защиты содержимого. Обеспечивает криптографическое закрытие, аутентификацию и целостность передаваемых данных, а также защиту от навязывания повторных сообщений.
Протокол управления обменом ключевой информации IKE (Internet Key Exchange). Представляется в качестве процесса пользовательского уровня, за исключением реализаций, встроенных в ОС. Определяет способ инициализации защищённого канала, включая согласование используемых алгоритмов криптозащиты, а также процедуры обмена и управления секретными ключами в рамках защищённого соединения.
Протокол базы данных политик безопасности SPD (Security Policy Database). Определяет политику безопасности, применяемую к пакету. При обработке входящих и исходящих пакетов используется основным протоколом IPSec.
Протокол базы данных безопасных ассоциаций SAD (Security Association Database). БД SAD хранит список безопасных ассоциаций для обработки входящей и исходящей информации. Заполняется вручную или с помощью протокола управления ключами IKE.
Управление политикой безопасности и безопасными ассоциациями SA. Это приложения, управляющие политикой безопасности.
Особенности реализации SPD и SAD зависят от требований производительности и совместимости системы.
Все протоколы, входящие в IPSec делятся на 2 группы:
протоколы, непосредственно производящие обработку передаваемых данных (для обеспечения их защиты);
протоколы, позволяющие автоматически согласовать параметры защищённых соединений, необходимых для протоколов 1-й группы.
Архитектура средств безопасности IPSec представлена на рис. 5.1.

Рис.5.1. Архитектура стека протоколов IPSecВопрос №2.
Основными функциями системы информационной безопасности корпоративной сетью являются:
централизованное и оперативное осуществление управляющих воздействий на средства сетевой безопасности;
регулярный аудит и мониторинг, предоставляющие объективную информацию о состоянии ИБ для принятия оперативных решений.
Определим основные задачи управления системой сетевой безопасности предприятия. Главными из них являются следующие (слайд):
управление глобальной политикой безопасности (ГПБ) в рамках сети предприятия, формирование локальных политик безопасности (ЛПБ) отдельных элементов;
управление конфигурацией объектов и субъектов доступа;
предоставление сервисов защиты распределенным прикладным системам и регистрацию защищенных приложений и их ресурсов;
управление криптосредствами, ключевое управление (ключевая инфраструктура) в системообразующих службах;
событийное протоколирование;
аудит безопасности ИС, получение и оценка объективных данных о текущем состоянии защищенности ИС;
мониторинг безопасности системы, обеспечение получения необходимой информации;
обеспечение работы специальных защищенных приложений;
обеспечение работы проектно-инвентаризационной группы приложений (определение точек установки средств защиты в сети предприятия, учет применяемых средств защиты, контроль модульного состава и состояния средств защиты).
Существует проблема комплексирования и организации взаимодействия традиционных систем управления сетями и систем управления средствами защиты информации в сети. Для решения этой проблемы применяются два основных подхода:
интеграция средств сетевого или системного управления с механизмами управления защиты, т.е. средства сетевого и системного управления ориентированы на управление сетью или ИС, на поддержание традиционных действий и услуг;
использование средств, предназначенных для решения только задачи управления безопасностью.
Архитектура управления ССБ
Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещаются непосредственно в корпоративной сети. Доступ к корпоративным ресурсам контролируют МЭ. Обеспечение конфиденциальной передачи данных через открытые глобальные сети осуществляют шлюзы виртуальных частных сетей (VPN). Для создания надежной эшелонированной защиты в настоящее время применяются: система обнаружения вторжений (IDS), средства контроля доступа по содержанию информации, антивирусные системы и др.
Большинство КИС построены на основе программных и аппаратных средств, поставляемых различными производителями. Каждое из этих средств требует тщательного и специфического конфигурирования, отражающего взаимосвязи между пользователями и доступными им ресурсами.
Чем разнороднее ИС, тем сложнее обеспечить управление ее безопасностью.
Концепция глобального управления безопасностью (GSM)
Концепция позволяет построить эффективную систему иерархического управления безопасностью гетерогенной сети компании. Она разработана компанией TrustWorks Systems.
В основе централизованного управления безопасностью КИС лежит концепция GSM. На основе этой концепции строится комплексная система управления и защиты информационных ресурсов предприятия (КСУЗИРП), обладающая рядом важных свойств.
Свойства КСУЗИРП (слайд)
управление всеми существующими средствами защиты на базе политики безопасности;
определение всех ИР предприятия через единый (распределенный) каталог среды предприятия;
централизованное управление локальными средствами защиты информации;
строгая аутентификация объектов политики в среде предприятия с использованием специальных токенов и инфраструктуры открытых ключей;
расширенные возможности администрирования доступа к определенным в каталоге ресурсам предприятия или частям всего каталога;
обеспечение подотчетности аудита, мониторинга безопасности, тревожной сигнализации;
интеграция с системами общего управления, инфраструктурными системами безопасности (PKI, LAS, IDS).
Согласно данной концепции управление, основанное на политике безопасности – PBM, определяется как реализация набора правил управления, сформулированных для бизнес-объектов предприятия.
Система управления GSM должна удовлетворять следующим требованиям:
ПБП представляет собой логически и семантически связанную, формируемую, редактируемую и анализируемую как единое целое структуру данных;
ПБП определяется в едином контексте для всех уровней защиты как единое целое сетевой ПБ и ПБ информационных ресурсов предприятия;
для облегчения администрирования ресурсов и ПБП число параметров политики минимизируется.
Система управления GSM обеспечивает разнообразные механизмы анализа ПБ за счет средств многокритериальной проверки соответствия ПБ формальным моделям концепции безопасности предприятия.
Политики безопасности
Глобальная политика безопасности (ГПБ) корпоративной сети представляет собой конечное множество правил безопасности, которые описывают параметры взаимодействия объектов корпоративной сети в рамках ИБ:
необходимый для соединения сервис безопасности (правила обработки, защиты и фильтрации трафика);
направление предоставления сервиса безопасности;
правила аутентификации объектов;
правила обмена ключами;
правила записи результатов событий безопасности в системный журнал;
правила сигнализации о тревожных событиях и др.
Объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые включают в себя целые структурные подразделения компании или даже отдельные компании, входящие в холдинг.
Задачи защиты бизнес-объектов распределенной корпоративной системы можно сформулировать в виде блоков правил, поскольку сетевое взаимодействие можно представить как простую передачу информации между субъектом Subj и объектом Obj доступа на основе некоторого сетевого сервиса защиты SecSrv, настроенного при помощи параметров P. В результате ГПБ предприятия представляется как набор правил вида:
(Subj, Obj, SecSrv, P).
При этом отсутствие правила для объекта Obj означает запрет любого доступа к данному Obj.
Для простоты определения целей безопасности предприятия в GSM предусмотрено два типа объектов, выступающих в качестве Subj и Obj. Таковыми являются: пользователь (U) и ресурс (R).
Ресурс может быть информационным (IR) или сетевым (NR).
Пользователь и ресурс могут выступать в любой из форм агрегации, поддерживаемых в системе: группы, домены, роли, департаменты, разделы каталога).
Предположим, что существует правило (U, IR, S1), т.е. правило защиты S1, обеспечиваемое при доступе пользователя U к информационному ресурсу IR. Правило (IR1, IR2, S2) означает разрешение сетевого взаимодействия двух информационных модулей (программ) с необходимостью обеспечения свойств защиты S2.
Политика по умолчанию для доступа к любому защищаемому объекту корпоративной системы представляет собой запретительное правило: «ВСЕ, ЧТО НЕ РАЗРЕШЕНО ЯВНО – ЗАПРЕЩЕНО». Такое правило обеспечивает полноту защиты информации в сети предприятия и априорное отсутствие «дыр» в безопасности.
Для обеспечения взаимодействия устройств в сети, для них создается и доставляется стартовая конфигурация, содержащая необходимые правила настройки устройств только для их централизованного управления – стартовая политика безопасности устройства.
Правила ГПБ могут быть распространены как на сетевые взаимодействия, так и на функции контроля и управления самой системы.
Функционально правила ГПБ делятся на группы:
правила VPN (реализуются при помощи протоколов IPSec) – (IP1, IP2, VPNRule);
правила пакетной фильтрации (stateless и stateful) - (IP1, IP2, PacketRule);
proxy-правила, включая антивирусную защиту «на лету» (отвечают за фильтрацию трафика, передаваемого под управлением заданных прикладных протоколов;
правила аутентифицированного/авторизованного доступа, включая правила Single Sign-On, которые обеспечивают данному пользователю работу на едином пароле или другой аутентификационной информации (могут комбинированно исполняться агентами различного уровня);
правила, отвечающие за сигнализацию и событийное протоколирование (исполнителями правила являются все компоненты системы).
Набор правил ГПБ является логически целостным и семантически полным описанием ПБ в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных подсистем (устройств).
Локальная политика безопасности (ЛПБ) необходима любому средству защиты, реализующему какой-либо сервис ИБ. ЛПБ – точное описание настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и т.д.
После формирования ГПБ Центр управления на основе интерпретации ГПБ автоматически вычисляет и, при необходимости, корректирует отдельные ЛПБ для каждого средства защиты и автоматически загружает нужные настройки в управляющие модули соответствующих средств защиты.
В целом, ЛПБ сетевого устройства включает в себя полный набор правил разрешенных соединений данного устройства, исполняемых для обеспечения какой-либо информационной услуги с требуемыми свойствами защиты информации.
Различие между правилами, реализующими ГПБ в сети, и правилами, реализующими ЛПБ конкретного устройства, заключается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пределах сети, а правила группы ЛПБ, включая субъекты и объекты ЛПБ, предназначены и доступны только в пределах пространства одного из сетевых устройств.
Структурные элементы системы управления средствами сетевой безопасности
Структурными элементами системы управления средствами безопасности TrustWorks являются: Агенты безопасности (Trusted Agent), Центр управления (Trusted GSM Server) и Консоль управления (Trusted GSM Console) (слайд).
Агент безопасности (Trust Agent), который устанавлен на ПК, ориентирован на защиту индивидуального пользователя, выступающего клиентом в приложениях «клиент-сервер».
Агент безопасности, установленный на сервере приложений, ориентирован на обеспечение защиты серверных компонентов распределенных приложений.
Агент безопасности, установленный на шлюзовом компьютере, обеспечивает развязку сегментов сети внутри предприятия или между предприятиями.
Центр управления (Trusted GSM Server) обеспечивает описание и хранение глобальной политики в масштабах сети, трансляцию глобальной политики в локальные политики безопасности устройств защиты, загрузку устройств защиты и контроль состояний всех агентов системы. Для организации распределенной схемы управления безопасности предприятия в системе GSM предусматривается установка нескольких (до 65535) серверов GSM.
Консоль управления (Trusted GSM Console) предназначена для организации рабочего места администратора системы. Для каждого из серверов GSM может быть установлено несколько консолей, каждая из которых настраивается согласно определенным правам каждого из администраторов системы GSM.
Локальный агент безопасности (Trusted Agent) представляет собой программу, размещаемую на оконечном устройстве (клиенте, сервере, шлюзе) и выполняющую следующие основные функции защиты:
аутентификацию объектов ПБ;
определение пользователя в системе и событий, связанных с ним;
обеспечение централизованного управления средствами безопасности и контроля доступа;
управление ресурсами в интересах приложений, поддержку управления доступом к ресурсам прикладного уровня;
защиту и аутентификацию трафика;
фильтрацию трафика;
событийное протоколирование, мониторинг, тревожную сигнализацию.
Локальный агент безопасности может выполнять также и ряд дополнительных функций, связанных с методами криптографической защиты.
Центральным элементом локального агента является процессор ЛПБ (LSP processor), интерпретирующий ЛПБ и распределяющий вызовы между остальными компонентами.
Контрольные вопросы
Для чего используется стек протоколов IPSec?
Из каких компонентов состоит стек протоколов IPSec?
В чём суть концепции глобального управления безопасностью (GSM)?
Каким требованиям должна удовлетворять система управления GSM?
Какие элементы входят в состав системы управления средствами сетевой безопасности?
Тема лекции № 6. Методология проектирования систем защиты информации (СЗИ).
Учебные вопросы:

Общие сведения о проектировании СЗИ. Стадии проектирования и основные подходы к встраиванию СЗИ.
Принципы и методы построения защищённых АС.
Место и роль спецификации при проектировании СЗИ.
Теория безопасных систем (ТСВ).
Вопрос №1.
Проектирование системы защиты информации заключается в разработке на основе выработанной политики безопасности технических требований по системе защиты информации и архитектуре автоматизированной системы, а также разработке проектной документации системы защиты информации.
Основной целью работ по проектированию системы защиты информации является разработка оптимальной комплексной системы, как по используемым технологиям, так и по наилучшему соотношению цены к получаемой степени безопасности. Высокая эффективность комплексной системы защиты информации может быть достигнута, если все ее компоненты представлены качественными решениями, функционируют как единый комплекс и имеют централизованное управление (слайд).
Состав система защиты информации включает следующие подсистемы (слайд):
защиты от несанкционированного доступа;
управления учетными записями и правами доступа;
комплексной антивирусной защиты;
межсетевого экранирования;
обнаружения вторжений, контроля и анализа защищенности;
криптографической защиты;
управления средствами защиты информации;
обеспечения безопасности коммутируемой инфраструктуры и беспроводных сетей;
контроля использования информационных ресурсов;
управления событиями и инцидентами ИБ;
контроля эффективности защиты информации;
обеспечения непрерывности функционирования средств защиты.
Имеется опыт проектирования сколь угодно сложных систем обеспечения информационной безопасности с составлением всей необходимой эксплуатационной и организационной документации.
Проектирование включает следующие шаги (слайд):
•  разработку решений по архитектуре системы защиты информации (ЗИ);•  разработку средств ЗИ и контроля;
•  разработка технического проекта СЗИ;
•  разработку рабочей документации СЗИ;
•  подготовку и оформление технической документации на поставку технических и программных средств для СЗИ;
•  проектирование помещений АС с учетом требований нормативных   документов по защите информации;
•  разработку порядка сопровождения СЗИ в АС;
•  разработку порядка и этапов внедрения СЗИ, консультирование  Заказчика при внедрении СЗИ.
Существуют возможности по реализации отдельных подсистем, которые требуются для достижения каких-либо конкретных целей. Отдельные подсистемы защиты информации реализуются на основе: Cisco Systems, Oracle, Check Point Software Techologies Ltd, Microsoft, CryptoPro, S-Terra, НИП «Информзащита», Лаборатория Касперского, WatchGuard, GFI и т.д.
Помимо использования наложенных средств защиты информации, возможно использование встроенных механизмов обеспечения информационной безопасности в операционные системы, базы данных, сетевое оборудование.
Результатом проектирования является рабочий технический проект СЗИ, включающий описание выбранных технических решений, средств защиты информации, обоснование их выбора, а также спецификации необходимого оборудования и ПО.
Существуют два основных подхода к практической реализации ЗАС (защищенных автоматизированных систем) (слайд).
Первый подход состоит в разработке и внедрению новых информационно-вычислительных систем (АС), в рамках которых решается весь комплекс проблем информационной безопасности. Этот подход является наиболее перспективным. Однако в процессе функционирования уже созданных ЗАС может понадобиться встраивание новых элементов защиты, что уже относится ко второму подходу.
Второй подход состоит в разработке подсистем защиты информации, объединении их в единую систему защиты, налагаемую на уже созданную АС, в которой изначально не предусматривался полный комплекс защитных механизмов. На практике данный подход до настоящего времени является достаточно распространенным, поскольку большое число широко используемых ОС, СУБД и других информационных систем изначально были созданы без должного отношения к проблеме защиты информации.
Вопрос №2.
Построение системы защиты информации заключается в том, чтобы для заданного объекта (или его проекта) создать оптимальные механизмы обеспечения защиты информации и механизмы управления ими. При этом оптимальность систем защиты понимается в общепринятом смысле: или достижение заданного уровня защищенности информации при минимальных затратах, или достижение максимально возможного уровня защищённости при заданном уровне затрат на защиту. Выбор той или иной постановки задачи зависит, прежде всего, от характера защищаемой информации, вернее - от характера тайны, содержащейся в защищаемой информации.
Рассмотрим методы построения защищённых АС. Эти методы условно можно разделить на две группы (слайд):
- относящиеся к произвольному по АС:
• иерархический метод;
• исследование корректности и верификация.
- специфичные только для систем защиты (теория безопасных систем).
В соответствии с принципом абстракции при проектировании АС разработчики могут идти, по меньшей мере, двумя путями: от аппаратуры "вверх" - к виртуальной машине, представляющей АС, или от виртуальной машины "вниз" - к реальному оборудованию. Это и есть два основных метода проектирования - метод снизу вверх и метод сверху вниз. Остальные методы по своей сути сводятся к этим двум или являются их сочетанием.
Метод «снизу вверх» предполагает начало проектирования с основного аппаратного оборудования системы. При проектировании модули разбиваются на ряд слоев, причём нулевой слой виртуальной системы образует аппаратура. Слои, реализующие одно или несколько необходимых свойств, добавляются последовательно, пока не будет получена желаемая виртуальная машина.
К недостаткам метода «снизу вверх» относят:
• необходимость с самого начала принимать решение о выборе способа реализации компонентов АС - с помощью аппаратуры, микропрограмм или программ, что сделать очень трудно;
• возможность проектирования АС только после разработки аппаратуры;
• расхождение между реальной АС и определённой в ТЗ.
При использовании метода «сверху вниз» (иерархический метод) исходят от виртуальной машины, представляющей АС, с требуемыми свойствами и последовательно разрабатывают слои виртуальной системы вплоть до аппаратуры. В этом случае проектирование происходит в следующей последовательности. Определяется уровень абстракции описания компонентов АС высшего слоя. Далее систематически проводится анализ, достаточно ли определены компоненты, чтобы можно их было реализовать, используя некоторые примитивные понятия. Если нет, то каждая функция каждого компонента представляется функциями компонентов следующего слоя, которому соответствует более низкий уровень абстракции, и снова проводится анализ на возможность их реализации. В иерархическом методе целесообразно использовать структурный принцип и принцип модульного проектирования.
Структурный принцип имеет фундаментальное значение и составляет основу большинства реализации. Согласно этому принципу, для проектирования требуются только три основные конструкции (слайд):
• функциональный блок;
• конструкция обобщенного цикла;
• конструкция принятия двоичного решения.
Функциональный блок можно представить как отдельный вычислительный оператор или как любую другую реальную последовательность вычислений с единственным входом и единственным выходом, как в подпрограмме. Организация цикла в литературе часто упоминается как элемент DO-WHILE.
Конструкция принятия двоичного решения называется IF-THEN-ELSE.
Заметим, что эти конструкции могут сами рассматриваться как функциональные блоки, поскольку они обладают только одним входом и одним выходом. Таким образом, можно ввести преобразование операции цикла в функциональный блок и в последующем рассматривать всякий такой оператор цикла эквивалентом (несколько более сложного) функционального блока. Аналогично можно ввести преобразование конструкции принятия решения к функциональному блоку. Наконец, можно привести любую последовательность функциональных элементов к одному функциональному элементу. В то же время обратная последовательность преобразований может быть использована в процессе проектирования программы по нисходящей схеме, т.е. исходя из единственного функционального блока, который постепенно раскладывается в сложную структуру основных элементов.
Принцип модульного проектирования (слайд) заключается в разделении программ на функционально самостоятельные части (модули), обеспечивающие заменяемость, кодификацию, удаление и дополнение составных частей.
Преимущества использования модульного принципа состоят в следующем:
• упрощается отладка программ, так как ограниченный доступ к модулю и однозначность его внешнего проявления исключают влияние ошибок в других, связанных с ним, модулях на его функционирование;
• обеспечивается возможность организации совместной работы больших коллективов разработчиков, так как каждый программист имеет дело с независимой от других частью программы;
• повышается качество программы, так как относительно малый размер модулей и, как следствие, небольшая сложность их позволяют провести более полную проверку программы.
Вопрос №3.
Понятие корректности или правильности подразумевает соответствие проверяемого объекта некоторому эталонному объекту или совокупности формализованных эталонных характеристик и правил.
Корректность при разработке наиболее полно определяется степенью соответствия предъявляемым к ней формализованным требованиям спецификации. В спецификациях отражается совокупность эталонных характеристик, свойств и условий, которым должно соответствовать проектируемое изделие. Основную часть спецификации составляют функциональные критерии и характеристики. Исходной спецификацией, которой должно соответствовать изделие, является ТЗ.
При отсутствии полностью формализованной, спецификации требований в качестве ТЗ, которому должна соответствовать АС и результаты ее функционирования, иногда используются неформализованные представления разработчика, пользователя или заказчика проектируемого изделия. Однако понятие корректности по отношению к запросам пользователя или заказчика сопряжено с неопределённостью самого эталона, которому должна соответствовать АС. Для сложных изделий всегда существует риск обнаружить их некорректность (по мнению пользователя или заказчика) при формальной корректности относительно спецификаций вследствие неточности самих спецификаций.
Традиционный взгляд на спецификацию требований заключается в том, что она представляет собой документ на естественном языке, который является интерфейсом между заказчиком и изготовителем. Хотя подготовке документа может предшествовать некоторое взаимодействие, именно этот документ в значительной степени выступает как "отправная точка" для изготовителя.
Таким образом, можно сделать вывод о том, что создание совокупности взаимоувязанных непротиворечивых спецификаций является необходимой базой для обеспечения корректности проектируемого изделия. При этом спецификации должны:
быть формальными;
позволять проверять непротиворечивость и полноту требований заказчика;
служить основой для дальнейшего формализованного проектирования.
Существует несколько подходов к определению спецификаций требований (слайд).
Спецификация как описание. Заказчик выдает спецификацию, чтобы изготовители могли снабдить его тем изделием, которое он желает, поэтому заказчик видит этот документ главным образом как описание системы, которую он желал бы иметь. В принципе, в описании должно быть указано, что должна и что не должна делать система. На практике обычно по умолчанию предполагается, что система должна делать то, что уточняется в спецификации, и не должна делать ничего более. В этом состоит главная проблема с описательной стороной спецификации. Предполагается, что заказчик всегда точно знает всё, что система должна и не должна делать. Более того, в дальнейшем предполагается, что заказчик полностью перенёс это знание в специфицированный документ.
Спецификация как предписание. Изготовитель смотрит на специфицированный документ как на набор составных частей, подлежащих сборке, чтобы разрешить проблему заказчика. Такой предписывающий взгляд обуславливается не только трудностями создания описательного документа (как указывалось выше), но и сведениями, которые умышленно или неумышленно расширяют или ограничивают свободу изготовителя.
Договорная методология. В рамках "описание заказчика - предписание изготовителю" спецификация рассматривается как формальное разделение между сторонами. Что касается заказчика, то он оговаривает минимально приемлемое, тогда как изготовитель - максимально требуемое. Договор предлагается и принимается при зарождении системы и заканчивается после завершения системы, когда заказчик принимает систему как отвечающую его минимальным требованиям. Во время изготовления системы в принципе не предполагается никаких взаимодействий, даже если изготовитель подозревает, что предписываемое не совсем соответствует тому, что заказчик желает видеть в действительности.
Спецификация как модель. Современные более строгие представления о спецификации трактуют ее как модель системы. При условии, что лежащая в основе модели семантика в достаточной мере обоснована, такая спецификация обеспечивает чёткую формулировку требований.
Соответствующие модели подходят также для автоматизированного контроля целостности и другого прогнозного анализа, который, в частности, обеспечит прекращение разработки системы, в принципе не способной удовлетворить требованиям.
Модели как описание системы имеют следующие отличительные черты по сравнению с другими способами формального описания (слайд):
• хорошее сочетание нисходящего и восходящего подходов к их разработке с возможностью выбора абстрактного описания;
• возможность описания параллельной, распределенной и циклической работы;
• возможность выбора различных формализованных аппаратов для описания систем.
Основное преимущество использования формальной модели заключается в возможности исследования с ее помощью особенностей моделируемой системы. Основывая формальный метод разработки на математической модели и затем исследуя модель, можно выявить такие грани поведения системы, которые в противном случае не были бы очевидны до более поздних стадий.
Так как целевым объектом проектирования является АС, то модель может описывать либо саму АС, либо ее поведение, т.е. внешние проявления функционирования АС. Модель, описывающая поведение АС по сравнению с моделью АС, обладает одним важным преимуществом - она может быть проверена и оценена как исполнителями, так и заказчиками, поскольку заказчики не знают, как должна работать АС, но зато они представляют, что она должна делать. В результате такого моделирования может быть проверена корректность спецификаций относительно исходной постановки задачи, т.е. ТЗ. Кроме того, критерии правильности считаются достаточными при условии, что спецификация представляет собой исчерпывающее описание "внешнего" поведения объекта при всех возможных (или запланированных) ситуациях его использования.
Как было отмечено выше, при разработке АС, особенно ее компонентов, представляющих систему защиты информации, для обеспечения высоких гарантий отсутствия неисправностей и последующего доказательства того, что система функционирует согласно требованиям ТЗ, используются формальные подходы к ее проектированию.
Формальное проектирование алгоритмов базируется, в основном, на языках алгоритмических логик, которые включают высказывание вида (слайд):
Q {S} R,
читающееся следующим образом: "если до исполнения оператора S было выполнено условие Q, то после него будет R". Здесь Q называется предусловием, а R-постусловием. Эти языки были изобретены практически одновременно Р.У. Флойдом (1967 г.), С.А. Р. Хоаром (1969 г.) и учеными польской логической школы (А. Сальвицкий и др., 1970 г.). Как предусловие. так и постусловие являются предикатами.
Рассмотрение программ в качестве некоего "преобразователя предикатов" позволяет прямо определить связь между начальными и конечными состояниями без каких-либо ссылок на промежуточные состояния, которые могут возникнуть во время выполнения программы.
Преимущество представления алгоритма в виде преобразователя предикатов состоит в том, что оно дает возможность (слайд):
• анализировать алгоритмы как математические объекты;
• дать формальное описание алгоритма, позволяющее интеллектуально охватить алгоритм;
• синтезировать алгоритмы по представленным спецификациям;
• провести формальное верифицирование алгоритма, т.е. доказать корректность его реализации.
Методология формальной разработки и доказательства корректности алгоритмов в настоящее время хорошо разработана и изложена в целом ряде работ. Вкратце суть этих методов сводится к следующему (слайд):
• разработка алгоритма проводится методом последовательной декомпозиции, с разбивкой общей задачи, решаемой алгоритмом, на ряд более мелких подзадач;
• критерием детализации подзадач является возможность их реализации с помощью одной конструкции ветвления или цикла;
• разбиение общей задачи на подзадачи предусматривает формулирование пред- и постусловий для каждой подзадачи с целью их корректного проектирования и дальнейшей верификации.
Для доказательства корректности алгоритма (верификация) формулируется математическая теорема Q{S}R, которая затем доказывается. Доказательство теоремы о корректности принято разбивать на две части. Одна часть служит для доказательства того, что рассматриваемый алгоритм вообще может завершить работу (проводится анализ всех циклов). В другой части доказывается корректность постусловия в предположении, что алгоритм завершает работу.
Вопрос №4.
Понятие "доверенная вычислительная среда" (trusted computing base-ТСВ) появилось в зарубежной практике обеспечения информационной безопасности достаточно давно. Смысл характеристики "доверенная" можно пояснить следующим образом.
Дискретная природа характеристики "безопасный" (в том смысле, что либо нечто является безопасным, полностью удовлетворяя ряду предъявляемых требований, либо не является, если одно или несколько требований не выполнены) в сочетании с утверждением "ничто не бывает безопасным на сто процентов" подталкивают к тому, чтобы вести более гибкий термин, позволяющий оценивать то, в какой степени разработанная защищенная АС соответствует ожиданиям заказчиков. В этом отношении характеристика "доверенный" более адекватно отражает ситуацию, где оценка, выраженная этой характеристикой (безопасный или доверенный), основана не на мнении разработчиков, а на совокупности факторов, включая мнение независимой экспертизы, опыт предыдущего сотрудничества с разработчиками, и в конечном итоге, является прерогативой заказчика, а не разработчика.
Доверенная вычислительная среда (ТСВ) включает все компоненты и механизмы защищенной автоматизированной системы, отвечающие за реализацию политики безопасности. Все остальные части АС, а также ее заказчик полагаются на то, что ТСВ корректно реализует заданную политику безопасности даже в том случае, если отдельные модули или подсистемы АС разработаны высококвалифицированными злоумышленниками с тем, чтобы вмешаться в функционирование ТСВ и нарушить поддерживаемую ею политику безопасности.
Минимальный набор компонентов, составляющий доверенную вычислительную среду, обеспечивает следующие функциональные возможности (слайд):
•взаимодействие с аппаратным обеспечением АС;
•защиту памяти;
•функции файлового ввода-вывода;
•управление процессами.
Некоторые из перечисленных компонентов были рассмотрены в данном разделе.
Дополнение и модернизация существующих компонентов АС с учетом требований безопасности могут привести к усложнению процессов сопровождения и документирования. С другой стороны, реализация всех перечисленных функциональных возможностей в рамках централизованной доверенной вычислительной среды в полном объеме может вызвать разрастание размеров ТСВ и, как следствие, усложнение доказательства корректности реализации политики безопасности. Так, операции с файлами могут быть реализованы в ТСВ в некотором ограниченном объеме, достаточном для поддержания политики безопасности, а расширенный ввод-вывод в таком случае реализуется в той части АС, которая находится за пределами ТСВ. Кроме того, необходимость внедрения связанных с безопасностью функций во многие компоненты АС, реализуемые в различных модулях АС, приводит к тому, что защитные функции распределяются по всей АС, вызывая аналогичную проблему.
Представляется оправданной реализация доверенной вычислительной среды в виде небольшого и эффективного (в терминах исполняемого кода) ядра безопасности, где сосредоточены все механизмы обеспечения безопасности. В связи с перечисленными выше соображениями, а также с учетом определенной аналогии между данными понятиями такой подход предполагает изначальное проектирование АС с учетом требований безопасности. При этом в рамках излагаемой теории определены следующие этапы разработки защищенной АС (слайд):
• определение политики безопасности;
• проектирование модели АС;
• разработка кода АС;
• обеспечение гарантий соответствия реализации заданной политике безопасности.
Процесс создания автоматизированных систем в защищенном исполнении (АСЗИ) заключается в выполнении совокупности мероприятий, направленных на разработку и/или практическое применение информационной технологии, реализующей функции по ЗИ, установленные в соответствии с требованиями стандартов и/или НД по ЗИ как во вновь создаваемых, так и в действующих АС.
Таким стандартом является ГОСТ Р 51583—2000 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении».
Общие положения распространяется на АСЗИ, используемые в различных видах деятельности (исследование, управление, проектирование и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.
Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 “Информационная технология. Комплекс стандартов на автоматизированные системы” в части порядка создания и применения автоматизированных систем в защищенном исполнении.
Стандарт даёт определение основных терминов и понятий в области защиты в информации и создания автоматизированных систем в защищённом исполнении.
Гост определяет, что целью создания АСЗИ является исключение или существенное затруднение получения злоумышленником защищаемой информации, обрабатываемой в АС, а также исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую информацию и ее носители.
Защита информации в АСЗИ является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах государственной власти и на предприятиях (организациях), располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайне [2J.
Разработка и внедрение вновь создаваемой АС производится в соответствии с ТЗ на АС, которое является основным документом, определяющим требования, предъявляемые к АС, порядок создания АС и приемку АС при вводе в действие.
Для вновь создаваемых AC T3 разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы. Дополнительно могут быть разработаны ЧТЗ на части и подсистемы АС. Поэтому требования по ЗИ при создании АСЗИ должны включаться разделом в общее ТЗ на АС или могут быть изложены в виде частного ЧТЗ или дополнения к основному ТЗ на АС.
Порядок утверждения и согласования ЧТЗ (дополнения к основному ТЗ на АС) не должен отличаться от установленного порядка утверждения и согласования ТЗ на АС по ГОСТ 34.602.
Для АСЗИ, создаваемой на базе действующей АС, разрабатывают ТЗ (ЧТЗ) или дополнение к основному ТЗ на АС, в которые включают требования по ЗИ только в части создаваемой системы (подсистемы) защиты обрабатываемой информации в АС.
Утверждение и согласование ТЗ (ЧТЗ) или дополнения к основному ТЗ на АС производится в порядке, установленном ГОСТ 34.602.
Реализация мероприятий по защите информации в АСЗИ должна осуществляться непрерывно на всех стадиях и этапах создания АСЗИ во взаимосвязи с мерами по обеспечению установленного режима секретности проводимых работ.
Основные принципы и положения по созданию и функционированию АСЗИ должны соответствовать требованиям ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739, ГОСТ Р 51275, ГОСТ РВ 50797 др. нормативных документов.
 Вычислительную сеть или АС можно считать безопасной в смысле обработки информации, если в ней предусмотрена централизованная система управляемых и взаимосвязанных преград, перекрывающих с гарантированной прочностью заданное в соответствии с моделью потенциального нарушителя количество возможных каналов НСД и угроз, направленных на утрату или модификацию информации, а так же несанкционированное ознакомление с нею посторонних лиц.
Контрольные вопросы
В чём состоит построение системы защиты информации?
Назовите недостатки метода «снизу вверх».
Какие принципы проектирования используют в иерархическом методе?
В чём состоит принцип модульного проектирования?
Что такое спецификация требований программного обеспечения?
Что такое доверенная вычислительная среда?
Тема лекции № 7. Оценка эффективности проектируемой системы защиты информации в компьютерных системах.
Учебные вопросы:
Понятие оценки эффективности системы. Критерии эффективности системы.
Оптимизация проектируемой системы. Метод оценки эффективности – стоимости.
Объективный и субъективный методы перехода от векторного к скалярному показателю качества.
Вопрос №1.
Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности проектируемой системы защиты информации (далее – система) должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы, а её характеристики (ГОСТ Р 50922-96) должны иметь вероятностный характер. Факторы, влияющие на уровень защиты информации, систематизированы в ГОСТ Р 51275-99. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные показатели эффективности системы, обеспечит интересы как заказчиков, так и проектировщиков. В соответствии с целевым предназначением информационной системы особую важность приобретает обоснование оптимальных значений показателей эффективности.
Под оценкой эффективности системы понимают оценку качества выполнения системой её целевого назначения. Для того, чтобы оценить эффективность системы необходимо знать количественные характеристики.
В соответствии с современной теорией оценки эффективности систем, качество любого объекта (системы) проявляется лишь в процессе его использования по назначению (целевое функционирование), поэтому наиболее объективным является оценивание по эффективности применения.
Проектирование, организация и применение системы фактически связаны с неизвестными событиями в будущем и поэтому всегда содержат элементы неопределённости. По мере реализации проекта уровень неопределённости снижается, но никогда эффективность системы не может быть адекватно выражена и описана детерминированными показателями. Процедуры испытаний, сертификации или лицензирования не устраняют полностью неопределённость свойств системы или её отдельных элементов и не учитывают случайный характер атак. Поэтому объективной характеристикой качества системы – степенью её приспособленности к достижению требуемого уровня безопасности в условиях реального воздействия случайных факторов, может служить только вероятность, характеризующая степень возможностей конкретной системы при заданном комплексе условий. В общей теории систем такая характеристика называется вероятностью достижения цели операции или вероятностью выполнения задачи системой. Данная вероятность должна быть положена в основу комплекса показателей и критериев оценки эффективности системы. При этом критериями оценки служат понятия пригодности и оптимальности. Пригодность означает выполнение всех установленных к системе требований, а оптимальность – достижение одной из характеристик экстремального значения при соблюдении ограничений и условий на другие свойства системы. При выборе конкретного критерия необходимо его согласование с целью, возлагаемой на систему.
Обычно при синтезе системы возникает проблема решения задачи с многокритериальным показателем. Можно рассматривать показатели эффективности, которые предназначены при решении задачи сравнения различных структур системы. В то же время часто предлагается использовать показатели эффективности вероятностно-временного характера, имеющие смысл функций распределения. В частности, к таким показателям относится вероятность преодоления системы за некоторое время.
Схема, характеризующая общий подход к оценке эффективности системы представлена на рис. 7.1.
4577715133985среда
00среда
4320540406398058154063980581440640
138684044450S00S432054040640
211074086360S
0S
96774017018000334899084455121539084455
8724902921000
254889010922035680653492500
805814104140
211074052070S
0S
12147558890R
00R
35013908890L
00L

299656514605158686514605
Рис. 7.1. Схема общего подхода к оценке эффективности системы
L – целевая функция, характеризующая достигаемые системой цели;
R – ресурсы (затраты) на достижение требуемой цели.
В общем случае при оценке эффективности системы используют следующие показатели:
Сц – стоимость цели;
СR – стоимость затрат.
Рассматривают соотношения этих показателей:
g=СцСR ,при этом, если:
g>1 – обогащение;
g=1 – стабильность;
g<1 – убыток (невоспроизводимый расход ресурсов (кризис)).
Чаще вводят другой показатель:
α=СRСц- расход ресурсов на единицу продукции.
Основные трудности связаны с выбором соответствующих показателей оцениваемой системы и с построением формализованной математической модели.
Система является эффективной в том случае, если она выполняет свою функциональную задачу с заданным качеством и при разумном расходовании ресурсов, т.е. является оптимальной или наилучшей.
Вопрос №2.
Оптимизация любой проектируемой системы тесно связана с участием в этом процессе заинтересованных сторон (ведомств, организаций, групп лиц). Таковыми являются:
заказчики – разрабатывают требования к системе;
разработчики – проектируют систему, создают опытные образцы;
производители – промышленные предприятия – изготовители системы;
эксплуатационщики – обеспечивают хранение и сбережение системы;
пользователи.
Все вышеуказанные категории могут иметь различные подходы и интересы при определении того, является ли система оптимальной.
Важнейшим вопросом при оценке эффективности системы является задача, связанная с разработкой требований к системе, которые необходимо ещё и формализовать.
Различают четыре вида формализованных требований (слайд):
условия;
ограничения;
показатели качества;
ограничения на показатели качества.
Математически это можно записать следующим образом:
G=Y;О;K;Оk.Необходимо отметить, что внешние характеристики, от которых качество системы не зависит, либо эта зависимость носит экстремальный характер, не могут использоваться в качестве показателя качества. Эти характеристики могут использоваться в качестве варьируемых переменных.
Часто показатели качества нормируют:
Ki норм=KiKi max; 0<Ki норм<1.Задача технической оптимизации системы не имеет однозначного решения. Как правило, в процессе испытаний системе выставляются новые требования, по которым ведётся отбор.
В тех случаях, когда показатели качества содержат всего одну значащую компоненту, задача оптимизации по внешним параметрам оказывается однозначной и единственной. Оптимальное решение Xopt находится регулярными методами математики.
Когда система описывается набором частных показателей качества Ki, то в целом качество системы определяется вектором:
K=k1;k2;k3;…;ki;…;kp,где p – размерность вектора.
Будем считать, что все ki приведены к стандартной форме. Часто ограничения на показатели качества записываются в виде:
Ok=Ki<Ki max.Если показателей качества множество, то стремятся найти способы, позволяющие уменьшить их число. В большинстве своём показатели качества подразделяются на две категории:
I-я категория – показатели полезного эффекта системы (её эффективности);
II-я категория – показатели стоимости системы (расход ресурсов).
Рассмотрим ситуацию, в которой фигурируют два показателя качества (метод оценки эффективности – стоимости):
K=k1,k2, p=2.Показатель качества k1 представляет собой среднеквадратичное отклонение σ (СКО) и определяет точность измерения параметров, а показатель качества k2 характеризует общую стоимость разработки системы C.
Изобразим систему координат, где выбранные показатели качества являются осями координат (рис.7.2).
527055080K1(σ)00K1(σ)65341562230
3368040107950Sдоп00Sдоп
30822909461512344409461500
571639370K1max00K1max
31775405715015011405778466294057785150113957785374840558420Sстр. доп00Sстр. доп1558290121285II
00II
2710815121285III
00III
233934054610
318706512128595821583185A00A24155403175S'00S'205105155575K1i00K1i
1186815161290022917151612900
28130590805K1'00K1'155829043180I
00I
273939043180IV
00IV
201549013843066293933655
1844040134620052705132715K1min00K1min
66294016510188912573660
31775405397515011404445065341544450150050544450155575041275S''00S''
2491740136524B00B2291715660400
662939222250
173863096520K2'00K2'2863215115570K2max00K2max1233805104140K2min00K2min2119630106045K2i00K2i405764106045O00O3977640106045K2(C)00K2(C)
Рис. 7.2. Схема поиска оптимальной системы
Квадрант III содержит абсолютно худшие системы по сравнению с S'. В квадранте I находятся абсолютно лучшие системы.
В квадрантах II и IV лежат несравнимые по отношению к S'системы. Эти системы считаются лучше по одному показателю и хуже по другому показателю.
Поиск оптимальной системы следует производить, двигаясь в I квадранте до тех пор, пока не произойдёт достижение границ строго допустимых систем.
Рассматривая точки A и B можно говорить о гранях, образующих области нехудших систем. Поиск оптимальных систем необходимо осуществлять среди нехудших систем. Такие системы называются Парето-оптимальными системами.
Если показатель качества имеет векторный характер, то задача не имеет единственного решения.
Особенности скалярной оптимизации
Поскольку векторное решение не может быть доведено до однозначного решения без перехода к скалярному решению, рассмотрим скалярною оптимизацию системы.
Предположим, что известны:
G=Y;О;K;Оk;K=k1;k2;k3;…;ki;…;kp→ γ=Fx1,x2,…,xm=F1y1,y2,…,yn,требуется найти minX γ (задача внешнего проектирования) или minY γ (задача внутреннего проектирования – в интересах промышленности).Обе эти задачи – задачи на поиск экстремума при выполнении условий G.
Сосредоточимся на поиске условного минимума. Если никаких дополнительных условий нет, то поиск min заданной целевой функции может быть осуществлён с помощью стандартных методов анализа, сводящийся к удовлетворению необходимых условий существования экстремума и достаточных условий существования min.
Необходимое условие сводится к тому, что заданная на всём множестве X непрерывная функция имеет первую производную, равную нулю:
dγdx=0; dγdxi=0; ∇γ=0.462915149860γ(x)00γ(x)

1910715139706343651098550103441514605
261556584455
118681523495
6629406352301240133985
882015168275
68199075565
36252155080x00x
Для того, чтобы отобрать из этих точек min, необходимо, чтобы выполнялось достаточное условие. В случае с одной переменной – это положительность второй производной:
d2γdx2=0.462915-64770γ(x)00γ(x)
96774050800
132969017780
1882140142875
1443990104140x000x0308229095250x00x96774094615
39624085725γ'(x)00γ'(x)967740138430
1024890812800
1882140143510x000x03082290154305x00x96774067945
Для случая многих переменных имеем:
∂2γ∂xi∂xj>0.Если функция имеет сложный характер (множество min), то необходимо искать глобальный min, то есть - minmin.
Если заданы дополнительные условия, то поиск экстремума усложняется. Выполнение необходимого и достаточного условий существования экстремума не гарантирует нахождение min, поскольку min может лежать на границе области определения. В этом случае для него вышеуказанные условия не работают.
Если ограничения задают области существования X, то физический смысл имеют только те значения γ, которые соответствуют указанной области X, поэтому при анализе на экстремум следует проверять только те значения γ, которые соответствуют области определения X. Минимальное значение γ может соответствовать некоторой граничной точке, лежащей на контуре области существования величин γ.
Таким образом, задача поиска экстремума разбивается на две задачи:
поиск min значения на контуре;
поиск min внутри области существования γ.Среди решений обеих задач необходимо выбирать минимальное значение.
Вопрос №3.
С помощью векторного показателя качества (ПК) можно найти множество нехудших систем. Это множество не позволяет однозначно выбрать систему. Однозначное решение возможно при скалярной постановке задачи, то есть необходим переход от векторного ПК к скалярному. В одних случаях удаётся найти объективный путь перехода к скалярному ПК, в других случаях переход носит субъективный характер.
Объективный метод перехода к скалярному показателю качества
Пусть имеется система S, которая входит в состав системы более высокого порядка S⊂SS. Ставится задача оптимизации системы S. Система S характеризуется некоторым векторным ПК:
KS=kS1;kS2;kS3;…;kSi;…;kSp .Проектировщик находит систему строго допустимых характеристик:
S∈Sсд .В том случае, когда проектировщик затрудняется в выборе системы, он должен обратиться к системе более высокого порядка:
KSS=kSS1;kSS2;kSS3;…;kSSi;…;kSSp .Может оказаться, что число ПК системы более высокого порядка намного меньше числа ПК системы более низкого порядка: r≪p.
Часто у системы более высокого порядка существует только один показатель качества, который имеет решающее значение:
γ=kS1; minvarXkS1G=Y;О;K;ОkS2;ОkS3.Существует два варианта поиска minkS1. При первом варианте варьируются внешние характеристики X и находится γmin. Такая задача называется задачей внешнего проектирования. Обычно не удаётся решить задачу варьирования без привлечения внутренних характеристик системы. Поэтому варьируются все внутренние характеристики. Эта задача – задача внутреннего проектирования.
409194095250γmin=γ.00γmin=γ.3415665228600Xopt- задача внешнего проектирования;
Yopt- задача внутреннего проектирования;
Иногда существуют явные физические соотношения, связывающие между собой частные показатели качества системы. Такая связь имеет явную форму и представляет собой:
γ=FkS1;kS2;kS3;…;kSi;…;kSp.Субъективный метод перехода к скалярному показателю качества
Таким методом может являться метод конструирования показателя качества в виде сумм и произведений:
γ=i=1pCiki; (7.1) γ=i=1pki; (7.2)ki- частные показатели качества;
Ci- весовые коэффициенты.
Главная трудность состоит в использовании взвешенных сумм выражения (7.1), в выборе весовых коэффициентов. Для того, чтобы (7.1) имело удобную форму вместо ki обычно используют нормированные коэффициенты:
γ=C1ki+C2k2н+…+Cpkpн,kiн=kikimax .Нормированные ПК необходимы для исключения размерности частных ПК. Весовые коэффициенты обычно выбираются безразмерными:
i=1pCi=1.Весовые коэффициенты выбираются так, чтобы наиболее важным параметрам соответствовали большие по величине весовые коэффициенты. Они нацеливают внимание проектировщика на наиболее важные ПК системы.
C=C1;C2;C3;…;Ci;…;Cp- вектор пожеланий заказчика;
k=k1;k2;k3;…;ki;…;kp- вектор пожеланий заказчика;
γ=Ck=i=1pCiki⇒min, когда C и k- ортогональны.
Очевидно, что в общем случае ортогонализация невозможна, она имеет место в том случае, когда векторная постановка переходит в скалярную.
Может случится, что найденная таким образом система (в результате взвешенной суммы) окажется худшей системой, не относящейся к области Парето.
Для того, чтобы она относилась к области Парето, необходимо налагать дополнительные условия.
Для нахождения весовых коэффициентов часто используют метод экспертных оценок. Выбирается группа экспертов, которые независимого от кого-либо предлагают свои значения весовых коэффициентов. Затем, некоторые (крайние) значения отбрасываются, а остальные усредняют.
После вычисления экспертных оценок находят среднеквадратическое отклонение (СКО). Если оно мало, т.е. оценки хорошо группируются, то весовые коэффициенты признаются достоверными. Если СКО оценок велико, то их считают малодостоверными и рекомендуют повторить с другим составом экспертов.
Экспертная оценка вводит некоторый объект в процесс выбора весовых коэффициентов, но решающее значение имеет состав экспертной группы.
Иногда рекомендуется пользоваться соотношением (5.2), поскольку там отсутствуют весовые коэффициенты:
γ'=ln=i=1plnkiн.Этот способ задания аналогичен взвешенным суммам с весовыми коэффициентами, равными единице.
Контрольные вопросы
Что необходимо знать, чтобы оценить эффективность системы?
Сформулируйте общий подход к оценке эффективности системы.
В чём состоит задача оптимизации любой проектируемой технической системы?
Назовите основные формализованные требования к системе.
Какие системы называются Парето-оптимальными системами? Почему?
Какие показатели качества могут использоваться при оценке эффективности системы?
ЛИТЕРАТУРА
ОСНОВНАЯ:
Федеральный закон «Об информации, информационных технологиях и защите информации» №149-ФЗ от 27.07.2006 г.
Федеральный закон «О безопасности» №15-ФЗ от 7.03.2005 г.
Васильков А.В. Информационные системы и их безопасность. Учебное пособие. – М.: «Форум», 2010.
Литвинская О.С. Основы теории передачи информации. Учебное пособие. – М.: «КНОРУС», 2010.
Грушо А.А. и др. Теоретические основы компьютерной информации - М.: Академия – 2009.
Масановец В.В. и др. Методы комплексного контроля безопасности информации на объектах телекоммуникационных систем органов государственного управления: Монография/–М.: Управление делами Президента Российской Федерации, 2009.
Цирлов В.Л. Основы информационной безопасности: краткий курс, Ростов-на-Дону, «Феникс», 2008.
Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. – М.: «Форум-Инфра-М». 2008.
ДОПОЛНИТЕЛЬНАЯ:
Родичев Ю. Информационная безопасность: нормативно-правовые аспекты. Учебное пособие. – СПб.: «Питер», 2008.
Партыка Т.Л. и др. Информационная безопасность. Учебное пособие. – М.: «ФОРУМ – ИНФРА-М», 2007.
Сердюк В. А. Новое в защите от взлома корпоративных систем. Учебное пособие. – М.: «ТЕХНОСФЕРА». 2007.
Мельников В.П. и др. Информационная безопасность и защита информации. Учебное пособие. – М.: «Академия», 2007.
Куприянов А. И. и другие. Основы защиты информации. Учебное пособие для вузов.- М.: «ACADEMA», 2006.

Приложенные файлы

  • docx 5293966
    Размер файла: 588 kB Загрузок: 3

Добавить комментарий