Содержание к диссертации
Введение
1 Анализ проблемы защиты информации в платежных сетях и тенденции ее решения 13
1.1 Проблемы построения защищенной платежной сети 13
1.2. Угрозы информации вычислительной сети 14
1.3 Политика безопасности эксплуатации вычислительных сетей 15
1.4 Формальные модели безопасности 17
1.4.1 Модели дискреционного доступа 19
1.4.2 Модели мандатного доступа 24
1.4.3 Другие виды моделей защиты конфиденциальности 32
1.4.4 Модели контроля целостности 39
1.4.5 Модели защиты от угроз отказа в обслуживании 41
1.5 Оценка безопасности вычислительной сети и роль стандартов информационной безопасности 44
1.5.1 «Оранжевая книга» 45
1.5.2 Европейские критерии безопасности 45
1.5.3 Руководящие документы Гостехкомиссии Российской Федерации. 45
1.5.4 Федеральные критерии безопасности 46
1.5.5 Канадские критерии безопасности 46
1.5.6 Единые критерии безопасности информационных технологий 47
1.5.7 Стандарт ISO 17799 47
1.6 Подход к созданию модели безопасности ВСЭП 48
1.6.1 Требования к разрабатываемой модели 49
1.6.2 Основные проблемы использования ВСЭП 50
1.7 Распределенные вычислительные сети и постановка задачи разработки методики оптимального построения системы защиты 51
Выводы по первой главе 55
2 Разработка субъекто-объектной модели платежных систем на основе декомпозиции системы защиты 57
2.1 Модель субъектно-объектного взаимодействия 57
2.2 Обозначения сущностей и операций разработанной модели 58
2.3 Декомпозиция объекта, понятие ресурса, владелец ресурса 61
2.4 Декомпозиция системы защиты ВСЭП 63
2.5 Процедура порождения и удаления субъектов и объектов модели 67
2.5.1 Процедура создания пары субъект-объект, наделение субъекта правами и атрибутами 67
2.5.2 Процедура удаления субъекта-объекта 71
2.6 Процедура осуществления платежа на основе предложенной модели... 72
Выводы по второй главе 76
3 Разработка методики построения системы защиты 78
3.1 Основные подсистемы защиты 78
3.1.1 Подсистема канала доступа 78
3.1.2 Реализация средств разграничения доступа 80
3.1.3 Реализация операционной среды в рамках разработанной модели.. 82
3.1.4 Аспекты совместной интеграции подсистем защиты 83
3.1.5 Реализация субъекта ВСЭП субъектно-объектной модели 84
3.1.6 Анализ предотвращения системой защиты, построенной на основе субъектно-объектной модели наиболее критичных угроз информации для платежных сетей 85
3.2 Аспекты функционирования системы защиты, реализованной на основе разработанной субъектно-объектной модели 87
3.2.1 Инициализация системы защиты 88
3.2.2 Завершение операционного дня, подготовка отчетности 90
3.2.3 Завершение работы сети электронных платежей 92
3.3 Применение криптографических и иных средств обеспечения информационной защиты при реализации системы защиты 93
3.3.1 Применение средств шифрования в системе безопасности 93
3.3.2 Применение электронной цифровой подписи 94
3.3.3 Построение защищенного канала 95
3.3.4 Применение межсетевых экранов 96
3.3.5 Применение средств аудита в системе безопасности 96
3.3.6 Применение механизмов аутентификации и идентификации., 97
3.4 Осуществление платежа при использовании «чужого» канала в разработанной модели 97
3.5 Методика построения системы защиты ВСЭП 100
3.5.1 Неформальное описание компонентов сети 102
3.5.2 Формализация описания архитектуры исследуемой сети 103
3.5.3 Формулирование требований к системе безопасности 103
3.5.4 Составление списков существующих средств защиты 104
3.6 Оптимальное построение системы защиты для платежной сети 107
3.7 Особенности проектирования системы защиты информации в вычислительных сетях электронных платежей 112
3.8 Подходы к решению задач оптимизации 119
3.8.1 Выделение области компромиссов 120
3.8.2 Выбор решения внутри области компромиссов 121
Выводы по третьей главе 124
4 Анализ обобщенной платежной сети 126
4.1 Пример практического применения разработанной методики 126
4.1.1 Исходные положения 126
4.1.2 Формализация описания архитектуры 128
4.1.3 Формулирование требований к системе безопасности 129
4.1.4 Составление списков существующих средств защиты 130
4.1.5 Выбор компонентов для реализации системы защиты 132
4.2 Сравнительный анализ применения различных методов построения системы защиты 135
4.2.1 Модели дискреционного доступа 136
4.2.2 Модели мандатного доступа 136
4.2.3 Вероятностные модели 137
4.2.4 Методика, разработанная в диссертации 138
4.2.5 Сравнение различных методов построения системы защиты 139
4.3 Расчет общей стоимости построения системы защиты 141
Выводы по четвертой главе 145
Заключение 146
Список приложений 149
Литература 149
- Модели дискреционного доступа
- Обозначения сущностей и операций разработанной модели
- Анализ предотвращения системой защиты, построенной на основе субъектно-объектной модели наиболее критичных угроз информации для платежных сетей
- Выбор компонентов для реализации системы защиты
Введение к работе
Актуальность проблемы
В настоящее время активно развивается электронный бизнес, для которого в качестве глобальной информационной среды чаще всего используется всемирная вычислительная сеть Интернет. Для поддержки электронной коммерции используются прогрессивные достижения в сфере информационных технологий, передовое место среди них занимают вычислительные сети электронных платежей (ВСЭП).
Потери от нарушения безопасности функционирования подобных систем могут иметь вполне реальное финансовое выражение. В то же время, затраты на проектирование, реализацию и сопровождение системы защиты должны быть экономически оправданы.
Имеющиеся в настоящий момент научные проработки и модели в области построения систем безопасности финансовых систем имеют ряд существенных недостатков, среди которых необходимо выделить следующие:
ни одна из существующих моделей не описывает адекватно и полно информационные процессы, происходящие в распределенных вычислительных сетях;
существующие модели и методы, на основе которых создаются комплексы средств защиты информации, недостаточно поддаются формализации;
к современным стандартам и моделям систем защиты электронных платежных сетей не предъявляется жестких ограничений по времени и стоимости проектирования, в результате чего не предложено алгоритма эффективной минимизации трудоемкости проектирования системы защиты.
Анализ существующих моделей построения систем защиты продемонстрировал, что их реализация связана с решением задач большой
размерности. Проблема решения подобной задачи в короткие сроки обуславливает актуальность разработки эффективной методики поиска оптимальных решений. В проведенных исследованиях решается важная научная задача разработки методики построения системы защиты распределенной платежной сети на основе многокритериальной оптимизации.
Исходные положения для диссертационных исследований:
Объект исследований. Электронная платежная система рассматривается как подкласс распределенных вычислительных сетей, построенной на основе компьютерных систем и компонент классической фон-неймановской архитектуры. Вычислительная сеть электронных платежей (ВСЭП) является замкнутой системой с фиксированным набором составных компонентов.
Безопасность информации в распределенной вычислительной сети (РВС) означает гарантированное выполнение заданной политики безопасности (ПБ). Вычислительная сеть рассматривается в рамках классической декомпозиции на субъекты и объекты.
Диссертация опирается на результаты работ В.А. Герасименко, А.А, Грушо, Д.П. Зегжды, A.M. Ивашко, Ю.Н. Мельникова, Е.Е. Тимониной, АЛО. Щербакова. А также на труды зарубежных ученых: Leonard J. LaPaduIa, D. Elliot Bell, Goguen J.A., Harrison M., Hoffman J., John McLean, Meseguer J., Millen J., Neumann P., Ruzzo W., Ravi S, Sandhu, Shannon C.E., Uhlman J. и других.
Цель исследований:
разработка методики построения системы защиты распределенной вычислительной сети электронных платежей на основе субъектно-объектной модели распределенного взаимодействия компонентов сети, декомпозиции системы защиты и многокритериальной оптимизации.
Основными задачами проводимых исследований являются:
1. Исследование аспектов применения формальных моделей безопасности
вычислительной сети.
2. Анализ и сравнение распространенных формальных моделей
безопасности и стандартов информационной безопасности, выявление ограничений в их применении.
3. Формализация правил политики безопасности при построении систем
информационной защиты.
4. Развитие субъектно-объектной модели описания распределенного
взаимодействия компонентов платежной сети путем использования декомпозиции системы защиты.
5. Разработка методики построения системы защиты распределенной
вычислительной сети электронных платежей на основе
многокритериальной оптимизации.
Объекты исследования: информационные процессы, происходящие в распределенных вычислительных сетях электронных платежей, формальные модели политик безопасности, объектно-субъектная модель взаимодействия компонентов сети; методы и средства обеспечения информационной безопасности.
Методы исследований.
Для решения поставленных задач использовались: методы теории информации, теории вероятности и случайных процессов, методы дискретной математики, формальной логики, математическое моделирование, методы теории, технологии и стандарты вычислительных сетей. Для оценки уровня безопасности, реализуемой механизмами защиты, применялись формальные и неформальные экспертные оценки. Для проектирования системы защиты использовались методы оптимального проектирования, многокритериальная оптимизация.
Научная новизна.
Проведена адаптация субъектно-объектной модели, позволяющая моделировать взаимодействие распределенных компонент платежной сети.
Сформулированы основные положения, описывающие условия выполнения политики безопасности.
Предложен метод количественной оценки уровня защищенности механизмов обеспечения информационной безопасности.
Разработана методика построения системы защиты на основе формализации задачи оптимизации состава комплексов средств защиты при различной глубине декомпозиции системы защиты.
Проведена оценка экономической эффективности применения разработанной методики на практике.
Основным результатом проведенных исследований является решение проблемы создания методики построения систем защиты для распределенных вычислительных сетей электронных платежей.
Достоверность результатов.
Достоверность всех результатов обоснована формальными выводами и заключениями, результаты получены на базе теории дискретной математики, теории информации и вероятности. Сопоставление полученных общих результатов с частными случаями, приведенными другими авторами, также подтверждает достоверность исследований.
Практическая значимость.
Адаптированная субъектно-объектная модель и основанная на ней методика оптимального проектирования защищенных платежных сетей может применяться для эффективного построения платежных сетей с минимизацией затрат на проектирование и реализацию.
Использование предложенной методики позволяет проводить исследования экономической эффективности практического использования средств защиты информации. Разработанная методика применяется для технико-экономического обоснования создания системы защиты информации в распределенных вычислительных сетях.
Разработаны безопасные протоколы взаимодействия распределенных компонент с аутентификацией взаимодействующих сторон, контроля разграничения доступа и установлением защищенного соединения. Представленные в диссертации результаты могут быть использованы для:
описания электронной платежной сети в терминах формальной модели субъектно-объектного взаимодействия;
формализации правил заданной политики безопасности;
формулирования требований, которым должна удовлетворять система безопасности для адекватного выполнения возложенных на нее функций;
проведения технико-экономического обоснования применения средств защиты информации (ЗИ);
оптимального выбора компонент для реализации системы защиты;
оценки эффективности существующей системы защиты ВСЭП;
получения количественных значений параметров защищенности систем защиты для сравнения различных вариантов ее построения.
Основные положения, представляемые к защите:
Методика построения защищенных ВСЭП на основе качественной и количественной оценки параметров средств защиты и применения методов оптимального выбора набора компонент, реализующих требования к комплексной системе безопасности.
Формализация задачи многокритериальной оптимизации состава комплексов средств защиты для системы безопасности, созданной на основе разработанной методики.
3. Методика экспертной оценки оптимального состава комплекса средств защиты» минимизирующая затраты на проектирование и построение системы безопасности.
Реализация результатов исследований.
Основные результаты реализованы в компании «Диасофт 5НТ», «ОКБ «Эланор», ООО «Юридическое агентство «Копирайт», 000 «СПЕЦПРОМСТРОЙ», в учебном процессе МЭИ и МГСУ.
Апробация работы. Основные результаты, полученные в результате диссертационных исследований докладывались:
на XXII конференции молодых ученых механико-математического факультета МГУ, Москва, 17-22 апреля 2000 года;
на всероссийской конференции "Информационная безопасность - юг России", г. Таганрог, 28-30 июня 2000 г;
3) на международной конференции "Информационные средства и
технологии" 17-19 октября 2000 года;
4,5) два доклада на международной конференции "Информационные
средства и технологии" 16-18 октября 2001 года;
6,7) два доклада на международной конференции "Информационные
средства и технологии" 15-17 октября 2002 года;
8) на международной конференции «Рускрипто-2003». Подмосковье,
«Озеро Круглое». 31 января-3февраля. 2003 года.
9,10) два доклада на международной конференции "Информационные
средства и технологии" 14-16 октября 2003 года;
11) на международной конференции «Рускрипто-2004». Подмосковье,
«Озеро Круглое». 30 января-1 февраля. 2004 года.
Публикации. По теме диссертации опубликовано 6 статей, сделано 11 докладов.
Структура и объем диссертации. Диссертация состоит из четырех глав, введения и заключения, списка литературы и 6 приложений.
Проводятся исследования аспектов создания защищенных вычислительных сетей электронных платежей (ВСЭП). Электронная платежная сеть рассматривается как подкласс распределенных вычислительных сетей. ВСЭП является закрытой системой с фиксированным набором составных компонентов.
Технология защиты информации начала развиваться относительно недавно, но уже существует значительное число широко известных теоретических моделей, описывающих свойства и функции систем в аспекте информационной безопасности, К сожалению, существующие формальные модели неадекватно описывают поведение распределенных вычислительных сетей либо описывают его на абстрактном уровне и не специфицируют методику реализации системы защиты с использованием средств обеспечения безопасности. Этим обуславливается актуальность создания методики построения систем защиты для ВСЭП.
Рассматривая вычислительные процессы и информационное взаимодействие с использованием глобальных вычислительных сетей, прежде всего, мы сталкиваемся с технологией распределенных вычислений и с архитектурой распределенной вычислительной сети. При распределенных вычислениях данные и сами вычислительные ресурсы разнесены по вычислительной сети. Данные обрабатываются на различных компьютерах, необходимо решать проблему безопасного обмена данными и безопасного функционирования вычислительных ресурсов.
К вычислительной сети (ВС), процессам обработки данных и информации, циркулирующей в ВС, предъявляется ряд требований, часть которых задается априорно при разработке системы, а другая часть предназначена для обязательного соблюдения в процессе эксплуатации системы. Среди основных свойств ВС необходимо выделить ее безопасное состояние или безопасное функционирование.
Данные между составными частями распределенной вычислительной системы передаются по открытым каналам, которые более уязвимы, чем каналы связи закрытых систем. К открытым каналам связи предъявляются более строгие требования по обеспечению информационной безопасности.
Для создания системы защиты или вычислительной сети в защитном исполнении необходимо использовать определенные средства защиты. На практике свойства средств защиты описываются обычно составом и номенклатурой методов, используемых для защиты от внешних и внутренних угроз [1,2,3,4]. Уровень защищенности часто достаточно трудно описать количественными характеристиками, поэтому во многих случаях уровень защищенности ограничивается качественным описанием свойств средств защиты. Одной из задач, решаемых в диссертации является разработка методики экспертной оценки показателей защищенности для получения количественных мер для возможности сравнения различных средств и систем защиты.
Уровень безопасности, обеспечиваемый системой защиты, определяется наиболее слабым ее звеном. Использование методики позволяет осуществить комплексный подход к выбору средств защиты и получению сбалансированного набора защитных средств, что при тех же затратах позволяет достичь более высокого уровня защищенности с точки зрения системы защиты в целом.
Модели дискреционного доступа
Большое развитие получил подкласс моделей, основанных на разграничении доступа. Политика безопасности подобных систем направлена на то, чтобы информация не стала известной, тому, кому не следует ее знать. Известными представителями моделей разграничения доступа являются модели, построенные по принципу предоставления прав. Среди них можно выделить две группы: а) дискреционные (произвольные, избирательные); б) мандатные (нормативные, полномочные).
Описание математических аспектов построения подобных систем появилось в литературе еще в шестидесятых годах прошлого века. Модели данного типа широко используются в большинстве реальных системах. Требования, на которых основаны данные модели, включены в различные государственные нормативные документы [67]. Хотелось бы отметить, что существуют классические модели и целый набор производных моделей: обобщающих или специализирующих.
Модели дискреционного доступа (избирательное управление доступом, DAC Discretionary Access Control). Типы доступа, используемые в модели: read, write. Обеспечивается хорошее разделение субъектов друг от друга. Все объекты и субъекты системы должны быть идентифицированы, права доступа определяются на основе некоторого внешнего (по отношению к системе) правила (свойство избирательности) [42].
Основная идея подобных систем в том, что система защиты представляется в виде декартового произведения множеств, составными частями которых являются элементы системы защиты. Используется аппарат дискретной математики.
Политика безопасности либо разрешает некоторое действие над объектом защиты, либо запрещает.
Классическая дискреционная модель. Систему определяют множества S - субъектов, О - объектов и R — прав доступа. Права доступа записываются в виде матрицы, определяющей доступ субъекта ,- к объекту Oj. Существуют несколько вариантов задания матрицы доступа: листы возможностей (для каждого субъекта создается список всех объектов, к которому он имеет доступ), листы контроля доступа (для каждого объекта создается список субъектов, имеющих право доступа) [1]. Вершины графа, представляющего систему, разбиваются на классы и доступ в каждом классе определяется своими правилами каждым собственником. Множество неблагоприятных траекторий N для рассматриваемого класса политик определяется наличием неблагоприятных состояний, которые определяются запретами на некоторые дуги [1].
Дискреционное управление доступом входит в требования к классам С1 и С2 «Оранжевой книги» (п. 1.5.1). Одной из первых моделей подобного типа была АДЕПТ-50 [72]. В модели рассматриваются четыре типа объектов: пользователи {и}, задания {/ }, терминалы ft} и файлы {/}. Каждый объект описывается четырехмерным кортежом: компетенция Ал категория С, полномочия F, режим V. Пятгшерная модель Хартсона [72]. Используется пятимерное пространство безопасности для моделирования процессов, установления полномочий и организации доступа: установленные полномочия А, пользователи U, операции Я, ресурсы R, состояния S. Область безопасности представляет собой декартово произведение: A U-E-R-S. Запрос на доступ представляется четырехмерным кортежом: q — (и, е, г, s), где ueU, еєЕ, seS, гєЯ. Запрос на доступ - подпространство четырехмерной проекции пространства безопасности. Запрос получает право на доступ, если он полностью заключен в соответствующее подпространство Был разработан алгоритм процесса организации доступа. К достоинствам моделей дискреционного доступа можно отнести хорошую гранулированность защиты и относительно простую реализацию. Недостатки моделей дискреционного доступа. Статичность модели: модель не учитывает динамику изменений состояния системы, не накладывает ограничения на состояния. Для моделей, построенных на основе дискретной защиты, можно доказать следующую теорему: Не существует алгоритма, который может решить для произвольной системы дискретной защиты, заданная исходная конфигурация безопасной [78], доказательство приведено в [72]. Рассмотрим ситуацию, приводимую Харрисоном, Руззо и Ульманом в [77]. Система защиты состоит из следующих конечных наборов: общие права доступа А, исходные субъекты и объекты So и Оо , команд С, на основе общих прав строится матрица доступа М. Запросы в системе: if CL\ in Mfsi, о J and аг "і М[$2, о J and ... a„ in M[s„, о J then ори op2, ...,op„, Va, єЛ op является одной из примитивных операций: enter г into M[s, о]; delete г from M[s, о]; create subject s; create object o; destroy subject o; destroy object o. Харрисон, Руззо и Ульман показали, что в результате данных операций безопасность, задаваемая классической моделью, будет нарушена. Модель Харрисоиа-Руззо-Ульмана, Данная модель безопасности [73] реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа. Система обработки информации представляется в виде множества субъектов S, объектов О, и прав доступа Я. Пространство состояний образуется декартовым произведением OS-R. Состояние системы Q = (S,0,M), где М - матрица доступа. Поведение системы во времени моделируется переходами между различными состояниями. Переходы осуществляются путем внесения изменений в М с помощью команд, перечисленных выше.
Обозначения сущностей и операций разработанной модели
Модель произвольной ВС в виде конечного множества элементов можно разделить на два подмножества: множество объектов и множество субъектов. Данное разделение основано на свойстве элемента сети быть активным, производить некоторые операции, получать управление. Оно исторически сложилось на основе модели вычислительной машины фон Неймана, согласно которой последовательность исполняемых инструкций (программа, соответствующая понятию "субъект") находится в единой информационной среде с данными (соответствующими понятию "объект"). Данный подход основывается на модели, предложенной в работе А.А. Грушо [I].
Определение. Субъект является активным процессом, который способен выполнять некоторые операции над другими объектами сети, получая управление. Для порождения процесса используется некоторая информация, изначально заключенная в неактивном объекте сети: исходный код, скомпилированный исполняемый файл и т.п. Определение. Объект - пассивная сущность вычислительной сети.
В общем случае вычислительная сеть является распределенной, т.е. представляет из себя комплекс различных вычислительных машин, объединенных каналами передачи данных. Субъекты и объекты такой ВС располагаются на различных ЭВМ и устройствах обработки, входящих в ее состав. Сущности ВС: объекты и субъекты должны однозначно идентифицироваться или быть поименованными.
В ВСЭП для каждого клиента рассматривается по две сущности: субъект — процесс (программа), представляющая клиента или действующего от его имени, а также сам клиент. Вторая сущность — пассивная — объект - счет клиента в банке.
Кроме этого существует набор административных и защитных механизмов, обслуживающих клиентов ВСЭП, поддерживающих среду для выполнения клиентских инструкций. Они представляются отдельными субъектами. Аспекты обеспечения их безопасности, а также поддержка их функционирования не рассматриваются в проводимых исследованиях- это отдельные задачи. Считается, что данные механизмы постоянно и безотказно предоставляют системе защиты ВСЭП необходимые функции. На рисунке 2.1. представлено схематичное изображение структуры вычислительной сети электронных платежей с точки зрения распределения компонент сети на объекты и субъекты.
Для построения субъектно-объектной модели необходимо описать процесс взаимодействия между субъектами и объектами системы, управление информационными потоками в вычислительной среде. Вопросы построения сложных информационных систем с приемлемым уровнем качества и надежности вызывают большой интерес. Им посвящено множество научных работ и публикаций [129-149].
Анализ предотвращения системой защиты, построенной на основе субъектно-объектной модели наиболее критичных угроз информации для платежных сетей
Можно выделить режим конфигурации системы, он будет рассмотрен в рамках инициализации ВСЭП. Конфигурация осуществляется вручную обслуживающим техническим персоналом, ответственным за настройку и функциональную поддержку работы сети. Конфигурация включает в себя различные мероприятия по настройке администраторов ресурсов, их тестированию, обновлению криптографических ключей и паролей, профилактике, как процессов ВСЭП, так и содержимого ее ресурсов. Очень трудно формализовать действия и операции, осуществляемые при конфигурации любой вычислительной сети или системы. Вероятно, это задача для отдельной диссертации.
Выдвигаются различные требования к уровням защищенности ВС. Например, вмешательство в процесс инициализации системы (навязывание ложных субъектов - закладок и вирусов, встраивание объектов и т.п.) могут иметь серьезные последствия в процессе штатной работы ВСЭП: перехват данных, создание информационных потоков, запрещенных ПБ, разрушение информации (объектов и субъектов системы). Злоумышленное воздействие на этапе конфигурации системы может иметь еще более серьезные и трудно устранимые последствия для ВС и информации, в ней обрабатываемой.
Вернемся к процессу инициализации ВСЭП. Необходимо корректно активизировать конечный набор механизмов, необходимых для полноценного выполнения функций платежной сети. Администраторы являются специализированными субъектами ВСЭП, при их порождении в виде активного процесса необходимо контролировать целостность тех объектов, из которых они порождаются. Если будет отсутствовать контроль целостности, это может привести к неконтролируемому появлению небезопасных субъектов системы, что не может гарантировать защищенной инициализации. Отсюда следует, что механизмы контроля целостности должны начинать работать до момента активизации первого субъекта системы. Также целесообразна проверка целостности административных процессов в течение штатного функционирования сети.
Для проведения безопасной инициализации предлагается ввести специальный субъект системы: Администратор инициализации. Определение. Администратор инициализации (АИ) посылает команды на создание субъектов-администраторов, а также выполняет контроль целостности запускаемых процессов-администраторов. Инициализация ВСЭП: 1. АИ посылает команду, подписанную собственной ЭЦП, на создание администратора канала доступа (АКД). Проверяется целостность порожденного субъекта, например, операция сравнения контрольной суммы, со значением, хранящимся в эталонной БД. 2. АИ посылают команду на порождение администратора безопасности (АБ). Данную команду подписывает своей подписью АКД. В функции АБ входит процедура проверки подписи от АКД, таким образом, в процессе порождения он проверяет данную подпись под командой, которая привела к его появлению, если подпись некорректна, то он прерывает функционирование системы, сообщая о неудачной попытке инициализации. 3. Инициализация администратора операционного дня (АОД) происходит аналогично порождению АБ. Команду на создание АОД посылает АИ, подписывает АБ. В случае корректного результата проверки цифровой подписи под командой, администраторы ВСЭП считаются инициализированными, в противном случае фиксируется неудачная попытка инициализации платежной сети. 4. После порождения всех администраторов ресурсов сети наличие администратора инициализации пропадает и его можно завершить или отключить от ВСЭП. 5. Для проверки корректности инициализации ВСЭП необходимо провести проверочную операцию тестового субъекта над тестовым объектом. Тестовый субъект посылает подписанную команду на осуществление некоторой операции над тестовым объектом. Данная операция должна иметь положительный результат при корректном функционировании ВСЭП В соответствии с процедурой, приведенной в разделе 2.4., в осуществлении операции принимают участие все администраторы системы, таким образом, при неудачном выполнении этой тестовой операции констатируется некорректная инициализация одного из администраторов. Определяется корректность или некорректность инициализации администраторов ВСЭП. На практике в различных платежных сетях в качестве администратора инициализации может использоваться специализированный процесс, также его функции могут выполняться вручную персоналом сети, что является вполне реализуемым, вследствие ограниченного числа администраторов ресурсов сети, требующих подобной инициализации. На рисунке 3.1. приведена схема процедуры инициализации. 3.2.2 Завершение операционного дня, подготовка отчетности В соответствии с законодательством РФ любые организации, предоставляющие услуги по проведению платежей, должны в обязательном порядке сдавать отчетность в соответствующие контролирующие и налоговые органы. Необходимо вести бухгалтерские записи и в заданные сроки подавать предписанные отчеты за определенный период деятельности. ВСЭП должна обеспечивать такую важную функцию как закрытие дня и проверка баланса.
Выбор компонентов для реализации системы защиты
В результате обзора распространенных моделей безопасности был сделан сравнительный анализ, выявлены недостатки и ограничения применения существующих моделей при построении систем безопасности электронных платежных сетей. Практически все рассмотренные модели описывают поведение ВС на абстрактном уровне и не специфицируют методику реализации системы защиты с использованием средств обеспечения безопасности. Для моделирования распределенных вычислительных сетей используются модифицированные модели, из-за чего получается ограниченное и не полностью адекватное описание реальных ВСЭП. Таким образом для построения систем защиты распределенных платежных сетей модели защиты в существующем виде — неприменимы.
Перед диссертационными исследованиями поставлена следующая цель: разработать методику оптимального построения системы защиты, которая учитывает специфику распределенного удаленного взаимодействия компонентов ВСЭП и многокритериальность поиска решений выбора комплекса средств обеспечения безопасности.
В результате исследований формальных моделей безопасности, сделан основной вывод: субъектно-объектная модель распределенного взаимодействия позволяет формализовать положения правил ПБ и конструктивно описать свойства ВСЭП, а также распределить функции управления операциями над объектами между различными уровнями системы безопасности. Для описания платежных сетей используется адаптированная субъектно-объектная модель, предложенная Грушо [I]. С помощью введенных формальных операций можно описать поведение платежной сети в соответствии с разработанной политикой безопасности эксплуатации подобной сети. Таким образом использование предложенной модели позволяет осуществить переход от формализованных правил к требованиям практической реализации.
Адаптированная модель закладывает основы для разработки методики проектирования системы обеспечения информационной безопасности ВСЭП. Использование разработанной методики позволяет на основе неформального описания системы и правил политики безопасности создать формальную модель процессов, протекающих в исследуемой платежной системе. Показана необходимость применения криптографических средств при реализации системы защиты на основе предложенной модели.
Выбор механизмов, которые реализуют необходимые функции безопасности, осуществляется с использованием методов оптимального проектирования. Подобное решение задачи позволяет экономически эффективно построить систему защиты определенного уровня, отвечающую заданным ограничениям. Постановка задачи многокритериального поиска позволяет обоснованно выбрать, т.е. отдать предпочтение какому-либо механизму защиты, по сравнению с другими, ответить на вопрос о целесообразности его использования для достижения определенного уровня защиты по некоторому показателю (или предложить использовать более дешевый вариант для достижения приемлемого уровня защищенности). Таким образом использование методики позволяет проинтерпретировать зависимость достигаемого уровня защищенности относительно затрат на систему защиту, кроме этого она предоставляет возможность учесть различные ограничения, вводимые разработчиком или заказчиком системы.
Для сокращения размерности задачи оптимизации и упрощения формализации политики безопасности предлагается рассматривать систему защиты в виде совокупности взаимодействующих подсистем. Декомпозиция системы защиты производится с целью распределения различных слабосвязанных функций защиты по различным подсистемам. Подобное построение позволяет комплексно использовать различные средства и методы защиты, повысить общую эффективность системы в целом при снижении затрат на проектирование и реализацию, а также сократить размерности задачи оптимизации и упростить формализацию правил функционирования подсистем защиты. Каждая подсистема в свою очередь может делиться на вложенные подуровни защиты. Сравнение результатов расчета, по предложенной методики, различных вариантов декомпозиции позволяет выбрать оптимальный вариант декомпозиции для заданных исходных параметров, что минимизирует затраты на проектирование и построение системы защиты на несколько порядков, по сравнению с существующими методиками. Для реализации информационного взаимодействия декомпозированных подсистем необходимо внедрение механизмов аутентификации на основе ЭЦП.
Была рассмотрена обобщенная ВСЭП, структура и выполняемые функции которой, наиболее распространены в настоящее время. Проанализированы аспекты практического применения разработанной методики для построения системы защиты подобной сети.
Таким образом была разработана методика построения системы обеспечения информационной безопасности электронной платежной сети на основе многокритериальной оптимизации и декомпозиции, что позволяет достичь минимизации затрат при проектировании и построении системы и достичь максимума показателей защищенности системы в целом.
