Содержание к диссертации
Введение
Глава 1. Анализ состояния теории защиты электронной информации 28
1.1. Информационный обмен в электронной среде 28
1.2. Модели защиты электронной информации 48
1.3. Выводы 85
Глава 2. Вербальная модель электронного документа 87
2.1. Аналоговая и электронная среда существования документа 90
2.2. «Информация» в электронной среде 115
2.3. Системные особенности электронного документа 122
2.4. Выводы 170
Глава 3. Концептуальная модель аппаратной защиты технологии электронного обмена информацией 171
3.1. Об аппаратной защите электронного обмена информацией 171
3.2. Мультипликативная парадигма защиты электронного обмена информацией 185
3.4. Особенности резидентного компонента безопасности 207
3.6. Принципы аппаратной реализации механизмов аутентификации в электронной среде 230
3.7. Выводы 257
Глава 4. Реализация и применение аппаратных средств защиты информации 260
4.1. Интерфейсные средства электронного обмена информацией 260
4.2. Техническая реализация аппаратных средств защиты информации 273
4.2.1. Архитектура семейства технических устройств аппаратной защиты информации 275
4.2.2. Аппаратный модуль доверенной загрузки «Аккорд-АМДЗ» 280
4.2.3. Сопроцессор безопасности «Аккорд-СБ» 285
4.3. Использование аппаратных средств защиты 287
4.3.1. Применение кодов аутентификации в контрольно-кассовых машинах 288
4.3.2. Система контроля целостности и подтверждения достоверности электронных документов 301
4.3.3. Применение кодов аутентификации в подсистемах технологической защиты информации 307
4.4. Эффективность аппаратных средств защиты 324
4.5. Выводы 333
Заключение 335
Литература 337
- Модели защиты электронной информации
- Системные особенности электронного документа
- Принципы аппаратной реализации механизмов аутентификации в электронной среде
- Архитектура семейства технических устройств аппаратной защиты информации
Введение к работе
Деятельность любого предприятия, организации, ведомства обеспечивается документооборотом как одним из видов информационного взаимодействия. Ожидаемым результатом информационного взаимодействия выступает взаимное осведомление участников взаимодействия. Это достигается обменом документами, каждый из которых рассматривается как совокупность сведений. В информационном взаимодействии различают три типа систем — искусственные (технические), смешанные и естественные (живые) [140].
Наиболее известен документооборот в естественных системах — в качестве такового можно рассматривать документооборот в различных предприятиях, корпорациях, государствах, а также между ними. Для естественных систем участниками информационного взаимодействия выступают люди. Успешным информационное взаимодействие будет в том случае, когда обеспечивается не только передача сообщения, но и условия, при которых адресат сумеет полученное сообщение адекватно воспринять.
Достигается это наличием доступной участникам согласованной априорной информации, достаточной для выделения полученного сообщения из множества сигналов и его усвоения. Техническими средствами, участвующими в документообороте такого типа, можно пренебречь: авторучка, пишущая машинка, лазерный принтер являются лишь пассивными средствами изготовления документа. Правила изготовления документов исполняются людьми, документооборот в естественных системах осуществляется по схеме «человек - человек», или, как мы будем говорить далее, «Субъект - Субъект (С-С)».
На сигнальном уровне информационное взаимодействие описывается энтропийным подходом [226], на лингвистическом — алгоритмическим [85] и алгебраическим (комбинаторным) [47] подходами. Необходимо отметить подход, применяемый при описании ситуаций «управляющий объект -управляемый объект» [26, 27], требующий рассмотрения целей управления.
Важнейшим моментом последнего является то, что энергетические характеристики полученного приемником сигнала играют вспомогательную роль. Гораздо более существенной характеристикой является форма сигнала, отражающая его информационное содержание. Изменение формы сигнала меняет информационное содержание, и цель информационного взаимодействия может быть не достигнута. В этой связи можно утверждать, что важнейшим условием успешного информационного взаимодействия в технических системах является условие сохранения формы сигнала.
Для цифровых систем форма сигнала отражается последовательностью бит - нулей и единиц в принятой системе кодирования. Следовательно, задача сохранения формы сигнала в цифровой среде эквивалентна (с точностью до системы кодирования) задаче сохранения порядка.
При документообороте на этапах применения технических систем источником и приемником являются технические (аппаратные и программные) средства, а агентом взаимодействия — электронный документ (ЭлД), характеризуемый формой и порядком информационных элементов. Далее будем говорить, что документооборот в технических системах осуществляется по схеме «техническое средство - техническое средство», или «Объект -Объект (О-О)».
Наиболее актуальным в настоящее время представляется изучение информационного взаимодействия (и документооборота как одной из его форм) в системах смешанного типа. Сюда относятся информационные взаимодействия типа «живой организм - искусственный орган», «человек -машина», «живой исследователь - неживой объект исследования» и др. Именно такие системы получают сегодня наиболее широкое распространение. В системах данного класса появляются еще два типа взаимодействия, а именно: «Субъект - Объект (С-О)» и «Объект - Субъект (О-С)».
Эти типы взаимодействия представляют собой в определенном смысле «интерфейсы» между аналоговым миром людей и цифровым «миром» технических систем, обеспечивая «вход» человека в техническую систему и «выход» из нее. Хорошим примером такой системы является банковская система выдачи наличных денег по пластиковой карте - субъект инициирует процесс выработки в технической системе потока электронных документов, позволяющих установить его права на получение денег (взаимодействие «С-О»). Этот процесс осуществляется полностью без участия человека, в технической системе (взаимодействие «О-О»). В случае положительного решения, вырабатываемого технической системой, банкомат (технический объект) выдает деньги человеку (взаимодействие «О-С»).
При исследовании электронного документооборота, помимо анализа традиционного взаимодействия «С-С», необходимо изучить взаимодействие «О-О», а затем расширить полученную схему интерфейсными блоками взаимодействия: «С-О» и «О-С». Это тем более важно, что часто наиболее уязвимы именно интерфейсные, граничные блоки, и для их защиты необходимы специализированные методы [32, 131, 132, 193, 220, 232].
Понятие упорядоченности, (вычислимого) изоморфизма является фундаментальным для защиты электронного информационного обмена. Причем это относится не только к собственно информации как фиксированной последовательности двоичных сигналов, но и к технологии реализации электронного документооборота — протокол взаимодействия, в свою очередь, представляет собой строго упорядоченную последовательность операций. Изменение формата файла меняет кодировку символов, но сохраняет их упорядоченность. Изменение технологии, например, при смене операционной системы, меняет реализацию команд, но сохраняет их упорядоченность.
С прикладной точки зрения необходимо обеспечить условия, при которых в процессе создания и обработки электронных документов будет сохраняться (вычислимый) изоморфизм как множества сигналов, представляющих сообщение, так и его преобразований. Существенно, что если каждое преобразование из множества применяемых в процессе обработки электронного документа сохраняет изоморфизм документа, то в силу свойства транзитивности сохраняет изоморфизм и вся совокупность (технология) преобразований. Таким образом, электронный документ нельзя рассматривать в отрыве от электронной среды. Поэтому при защите ЭлД необходимо осуществлять и защиту технологии — факторов, инвариантных «содержанию» ЭлД, не зависящих от него, т.е. непосредственно фрагмента электронной сети.
Говоря о защите электронных документов, необходимо рассмотреть не только собственно ЭлД, но и этапы обеспечения неизменности технического комплекса объекта информатизации, генерации и поддержки изолированной программной среды и, шире, доверенной вычислительной среды, т.е. методы контроля и поддержания неизменности электронной среды существования ЭлД. Неизменность ЭлД должна обеспечиваться стабильностью свойств информационной технологии, выбранной для его обработки взаимодействующими субъектами. Это означает, что использованная технология должна соответствовать эталонной технологии, свойства которой были предварительно исследованы и признаны удовлетворяющими требованиям безопасности. Понимая информационную технологию (ИТ) как упорядоченное множество операций, можно ИТ назвать защищенной в том случае, если она обладает свойством сохранять упорядоченность множества операций.
В работе выделяются две формы отображения информации: аналоговая, в виде объекта, предмета; электронная или цифровая в виде процесса. И в том и в другом случае наблюдаемые характеристики объекта или регистрируемые в течение конечного промежутка времени характеристики процесса должны взаимно однозначно соответствовать информационным элементам. Традиционный документ - это объект: например, лист бумаги, поверхность которой раскрашена совокупностью узоров, отождествляемых мышлением человека с очертанием букв. Электронный документ в активном состоянии -это процесс. Например, процесс вывода на экран монитора изображения документа связан с процессом подачи на разъемы монитора повторяющейся последовательности электрических сигналов, потенциалы которых соответствуют различным цветам точек на экране.
В информационной безопасности можно выделить два качественно разных направления: защита объектов, т.е. собственно информации; защита процессов преобразования информации — технологий, инвариантных к защищаемой информации.
Обеспечение любой дополнительной функции требует ресурсов, и защита информации не является исключением. Ресурсами для защиты документа являются как избыточность собственно информации (данных), так и свойства объектов или процессов, достаточно «прочно» связанных с информацией — атрибутов документа. При аналоговой форме отображения множество точек, формирующих атрибуты, несопоставимо «больше», чем точек, отображающих конкретную информацию. При электронной форме мощность (количество двоичных сигналов) множества атрибутов одного порядка с мощностью множества информационных сигналов. Чем выше ресурс — тем больше возможностей, поэтому использование для защиты конкретной информации аналоговых атрибутов заведомо много эффективнее, чем электронных.
Отмеченное концептуальное единство (требование изоморфизма) технологии преобразования информации и собственно информации позволяет при решении проблем информационной безопасности рассматривать технологию с тех же позиций, что и данные. В этом случае можно также говорить о двух формах существования технологии: в форме процесса — программируемая последовательность управляющих сигналов (команд) в течение времени преобразования информации; в форме объекта — аппаратное средство, наблюдаемые характеристики которого (выходной сигнал как функция входного) однозначно определяются только алгоритмом операции, реализованном в материальной физической структуре средства. Как и в случае с информацией, потенциал защиты аппаратной реализации алгоритма много выше, чем программной.
Сущность защиты любого объекта заключается в сохранении однозначного соответствия его свойств, наблюдаемых в двух разных точках «пространство-время». Защиту объекта можно считать абсолютной, если гарантируется, что характеристики объекта, измеряемые в любой точке (х, у, z, t), точно такие же, как в эталонной точке (хо, уо, ZQ, to). Но абсолютная защита невозможна, нарушение защищенности объекта, выражающееся в изменении измеряемых характеристик объекта от одной точки наблюдения к другой, возможно всегда. Поэтому в системе целесообразно предусмотреть индикаторы защищенности, необходимо индицировать защищенность. Индицирование обеспечивается сопоставлением с эталоном, которое, пусть неявно, но выполняется в любом случае.
Специфика собственно информации (данных) и технологии преобразования как информации обуславливает и специфику индикации их защищенности. В первом случае получатель документа исчерпывающе осведомлен о характеристиках объекта в точке наблюдения (х, у, z, t), но имеет мало сведений об информации в эталонной точке (хо, у0, ZQ, to) — подлинном содержании документа отправителя. Известна фактическая информация, почти неизвестна эталонная.
Во втором случае, напротив, получатель полностью осведомлен об эталонной технологии, которая признана участниками достаточно защищенной и предписана для применения. Но субъекты конкретного взаимодействия имеют крайне мало сведений, какая же технология преобразования и передачи информации была фактически использована, отличается ли применяемая технология от эталонной, например, включением дополнительных операций копирования и переадресации. Известна эталонная технология, почти неизвестна фактически использованная.
Механизмы и методы защиты собственно электронного «документа-информации» должны исходить из неизвестности эталона и известности реализации, тогда как защиты электронной «технологии-информации» — из случайности реализации и известности эталона. В последнем случае возникает предпосылка использования аналоговых методов и механизмов защиты: эталонная информационная технология фиксируется явными или неявными соглашениями участников на достаточно длительное время, поэтому ее, по крайней мере, отдельные компоненты и процедуры, можно реализовать в аппаратном виде.
Если эти процедуры играют ключевую роль в обеспечении безопасности технологии электронного обмена информацией, то их аппаратная реализация позволяет качественно повысить уровень защищенности, так как потенциал аналоговых методов и механизмов защиты информации несопоставимо выше, чем программных.
Таким образом, совершенствование известных и разработка новых методов и средств аппаратной защиты электронных документов и информационных технологий электронного документооборота является актуальной проблемой, требует дальнейших исследований: ее решение позволит существенно повысить безопасность информационного взаимодействия в сложных технических системах и защищенность компьютерных систем и компьютерных сетей.
Актуальность темы. Переход к электронным формам государственной и коммерческой деятельности закономерен и обусловлен естественным ходом научно-технического прогресса, развитием экономики, социальной сферы и сферы управления.
В условиях экспоненциального роста объемов информации, требуемой для обеспечения деятельности, бумажный документооборот в большинстве случаев уже не обеспечивает эффективности обмена, обработки, хранения и использования информации. Эффективность обмена ограничена временем на передачу документа от одного участника взаимодействия к другому, все более сложным становится поиск документов, все больше места занимают архивы документов. Практика показывает, что естественным выходом в этом случае является переход к электронному документообороту.
В ряде случаев переход от традиционного документооборота к документообороту электронному сокращал затраты организации на сотни миллионов рублей (пассажирские авиаперевозки), освобождал от архивов сотни тысяч квадратных метров площадей (отчетность юридических лиц) и т.д.
Эффективно организованные системы электронного документооборота должны обеспечить техническую и информационную поддержку проводимых в стране реформ, востребованность и доступность открытых государственных информационных ресурсов, исполнение электронных административных регламентов, лечь в основу современных технологий, обеспечивающих взаимодействие гражданина и государства. Системы электронного документооборота функционируют во многих организациях, однако зачастую они носят изолированный и фрагментарный характер. Требует совершенствования комплекс нормативного и научно-методического обеспечения организации работ с документированной информацией на различных уровнях управления, включая ее защиту.
Говоря о защите электронных документов (ЭлД), необходимо рассмотреть не только собственно ЭлД, но и этапы обеспечения неизменности состава и основных функций комплекса средств объекта информатизации, генерации и поддержки изолированной программной среды и, шире, доверенной вычислительной среды, т. е. методы контроля и поддержания неизменности электронной среды существования ЭлД.
«Исследование проблем создания и развития защищенных информационно-телекоммуникационных систем, в том числе разработка методов выбора архитектуры и расчета параметров этих систем, математических моделей и технологий управления, системного и прикладного программного обеспечения с интеграцией функций защиты» признано одним из приоритетных направлений научных исследований в области информационной безопасности Российской Федерации1.
В информационной безопасности можно выделить два качественно разных направления. Первое - это защита объектов, т. е. информации в форме сведений на традиционном носителе (бумажном, магнитном, оптическом). Второе - защита процессов преобразования информации — технологий, инвариантных к содержанию защищаемой информации.
Ресурсами для защиты документа являются как избыточность информации, содержащейся в документе, так и свойства объектов или процессов, «жестко» связанных с информацией — атрибутов документа. «Неисчерпаемость» материальной физической структуры средства защиты и конечность допустимой «цифровой» избыточности позволяет считать, что потенциал процедур аппаратной защиты много выше, чем защиты программной. Если эти процедуры играют ключевую роль в обеспечении безопасности технологии электронного обмена информацией, то их аппаратная реализация позволяет качественно повысить уровень защищенности. Этим обосновывается важность аппаратной защиты электронных документов и информационных технологий электронного документооборота.
Таким образом, совершенствование известных и разработка новых методов и средств аппаратной защиты электронных документов и информационных технологий электронного документооборота является актуальной проблемой, требующей глубоких исследований. Ее решение позволит существенно повысить безопасность информационного обмена в сложных технических системах и защищенность компьютерных систем и сетей.
Потребности в организации информационного взаимодействия на уровне ЭлД привели к появлению большого числа удачных прикладных решений в области защиты электронной информации. Но, как всегда бывает при скачкообразном развитии, теоретическое осмысление наступает только после накопления достаточно большого количества экспериментальных результатов.
В настоящее время в области защиты электронной информации практические разработки опережает теорию. Зачастую при создании документа компьютер используется как «большая пишущая машинка». Соответственно, защита электронного документа во многом повторяет традиционную технологию защиты бумажного документа, исходит из подобия электронного документа традиционному (бумажному) документу. Следствием такого подхода является и термин «защита информации», хотя фактически в большинстве случаев защищается не только информация, но и электронные процессы ее преобразования.
Крупный вклад в развитие теории и практики безопасности сложных технических систем, информационного взаимодействия, защиты технических, программных и информационных ресурсов внесли отечественные ученые. В их числе академики Н. А. Кузнецов, В. А. Садовничий, К. В. Фролов, а также такие известные ученые, как В. А. Герасименко, А. А. Грушо, П. Д. Зегжда, Г. О. Крылов, А. А. Малюк, Б. А. Погорелов, С. П. Расторгуев, В. Н. Саблин, А. А. Стрельцов, М. П. Сычев, Л. М. Ухлинов, В. П. Шерстюк, А. Ю. Щербаков и другие. Их усилиями сформирована база для дальнейшего углубления и обобщения теоретических и практических результатов на одном из самых актуальных направлений исследований - разработки теоретических положений и практического использования средств защиты электронных документов и информационных технологий электронного документооборота.
Анализ существующих моделей защиты информации показал, что в ряде работ рассматривается лишь «доступ субъекта к объекту» [229]. Более того, в качестве аксиомы предлагается принять предположение о том, что «все вопросы безопасности в автоматизированной системе описываются доступами субъектов к объектам» [65]. Иногда даже подчеркивается, что «нас не интересует, какую задачу решает система, мы лишь моделируем ее функционирование последовательностью доступов» [65]. При такой постановке проблем полностью игнорируются состав и структура компьютерной системы, и даже различия собственно объектов защиты. Различия между такими объектами защиты, как компьютер, операционная система, информационная технология, сеть передачи данных, объекты файловой системы, электронные документы, достаточно велики, их нельзя игнорировать.
На современном этапе развития электронного взаимодействия отставание теории защиты электронной информации в компьютерных системах (КС) становится существенным фактором, препятствующим разработке и совершенствованию прикладных защищенных информационных технологий. Имеет место противоречие между потребностью в развитии систем электронного документооборота и отсутствием эффективных методов и средств аппаратной защиты электронных документов и информационных технологий.
Таким образом, конструктивное решение проблем защиты электронных документов и информационных технологий является актуальной проблемой и требует проведения системных исследований всех аспектов создания и реализации конкретной технологии защиты.
Цель исследования. Разработка теоретических положений, методов и средств аппаратной защиты электронных документов и информационных технологий электронного документооборота от несанкционированного доступа и их комплексная реализация на единой базе в виде семейства встраиваемых аппаратных модулей.
Для достижения цели поставлены следующие задачи. 1. Разработать вербальную модель электронного документа, отражающую специфику информационного обмена в среде, образованной средствами вычислительной техники.
2. Сформулировать и обосновать теоретические положения, содержащие предпосылки и необходимые условия применимости аппаратных средств защиты от НСД.
3. Разработать новые модели взаимодействия элементов компьютерной системы (КС) при генерации и поддержке доверенной вычислительной среды с учетом встроенных в КС средств аппаратной защиты.
4. Разработать и обосновать методы защиты электронного обмена от НСД аппаратными средствами, определить требования, обеспечивающие универсальность аппаратных средств, возможность их адаптации к конкретной архитектуре КС.
5. Разработать и обосновать архитектуру и принципы построения семейства аппаратных средств защиты информации от НСД, обеспечивающих аутентификацию программно-аппаратных элементов КС, встроенных объектов системы защиты информации, информационных технологий и электронных документов, участвующих в документообороте.
6. Разработать семейство средств аппаратной защиты электронных документов, обеспечивающих защиту как в существующих, так и во вновь разрабатываемых КС.
Объект исследования - информационный обмен в вычислительной среде электронного документооборота.
Предмет исследования - методы и средства аппаратной защиты электронных документов и информационных технологий электронного документооборота.
Научная новизна исследования заключается в совершенствовании теоретических положений, разработке оригинальных методов и средств аппаратной защиты электронных документов и информационных технологий электронного документооборота.
1. Выявлены системные особенности среды существования электронных документов и среды существования традиционных (аналоговых) документов.
Обоснована необходимость разработки нового подхода к созданию средств защиты не только самого электронного документа, но и информационных технологий его жизненного цикла.
2. Предложена вербальная модель информационного обмена в электронной среде, в которой информация интерпретируется как множество элементов с заданным на нем бинарным отношением упорядоченности, а преобразование информации — как (вычислимо) изоморфное отображение этого множества элементов.
3. Разработаны новые подходы и базовые теоретические положения по созданию защищенной компьютерной системы на основе формирования доверенной вычислительной среды, поддерживаемой и генерируемой при помощи встроенных в КС средств аппаратной защиты, и обеспечивающей безопасную среду существования электронных документов.
4. Введено новое понятие резидентного компонента безопасности (РКБ) как совокупности функциональных элементов комплекса аппаратных средств, предназначенных для аутентификации объектов и процессов доверенной вычислительной среды, взаимодействующих с электронным документом. Сформулированы необходимые условия и теоретически обоснованы предпосылки применимости аппаратных средств защиты от НСД.
5. Впервые разработаны и теоретически обоснованы положения по методам аппаратной защиты КС, на основе резидентного компонента безопасности (РКБ). Они базируются на установлении целостности системы, выработке требований к структуре РКБ с учетом жизненного цикла КС, размещении РКБ с учетом конкретной архитектуры КС, а также сопряжении РКБ со штатными средствами защиты.
6. Разработаны новые методы и механизмы аппаратной защиты в системах электронного документооборота, определены граничные условия корректного взаимодействия модулей сопряжения, в основе которых лежат защитные коды аутентификации (ЗКА). Предложен механизм универсальной аутентификации посредством ЗКА.
7. Сформулированы новые принципы и подходы к построению архитектуры семейства аппаратных средств, обеспечивающих защиту электронных документов и информационных технологий, включая генерацию и поддержку доверенной вычислительной среды, аутентификацию элементов КС и встроенных объектов системы защиты информации, информационных технологий и электронных документов.
Практическая значимость работы заключается в том, что в ней решена важная народнохозяйственная проблема разработки методов и средств аппаратной защиты электронных документов и информационных технологий электронного документооборота.
Проведенные исследования и полученные результаты составляют теоретическую базу для построения реальных эффективных систем защиты информационных технологий электронного документооборота и собственно электронных документов от НСД при помощи аппаратных средств. Результаты исследований легли в основу ряда нормативно-технических документов, в частности, национального стандарта ГОСТ Р 52292-2004 «Информационная технология. Электронный обмен информацией. Термины и определения». Исследования доведены до конкретных моделей и методов, на основе которых создано семейство программно-аппаратных средств защиты информации «Аккорд».
Основные результаты исследования, имеющие практическое значение:
- подтвержден теоретический вывод об эффективности аппаратной реализации средств защиты электронных документов и информационных технологий их обработки;
- разработаны методы и механизмы защиты электронных документов и информационных технологий их обработки, которые доведены до практической реализации в виде серийно выпускаемого семейства программно-аппаратных средств типа "Аккорд";
- на опыте широкомасштабного практического применения более 100 000 модулей аппаратных средств защиты типа «Аккорд» в компьютерных системах различных организаций Российской Федерации и стран ближнего зарубежья показано, что выбранное направление теоретических и практических исследований имеет мощный потенциал для дальнейшего развития и совершенствования.
Достоверность результатов и методы исследования.
Методологической базой исследования послужили работы, посвященные проблемам информационного обмена в КС, гуманитарным и философским проблемам информационной безопасности, технические концепции изолированной программной среды и гарантированно защищенной системы.
В качестве основного использовался диалектический подход, и, в частности, метод системно-структурного анализа. Использование такого подхода позволило всесторонне рассмотреть феномены электронного документа и информационных технологий электронного документооборота, состав и структуру, а также их взаимосвязь и взаимодействие.
Обоснованность базовых теоретических результатов обусловлена корректным использованием современного научного аппарата и методов исследований, применяемых в теории информации, теории сложных систем, дискретной математики, математической логике, таксономии, и подтверждается согласованностью вытекающих из них следствий с практически полученными результатами. Эффективность предлагаемых рекомендаций и разработанных в диссертации методов и средств аппаратной защиты информации подтверждена серийной реализацией семейства программно-аппаратных модулей средств защиты информации «Аккорд» и их успешной эксплуатацией в различных организациях и органах управления.
На защиту выносятся следующие положения диссертации:
1. Анализ системных особенностей электронного документа, отражающий качественные отличия, связанные с различиями традиционной (аналоговой) и электронной сред существования документа, и связанную с этим интерпретацию электронного документа как агента информационного взаимодействия в электронной среде.
2. Теоретические положения и обоснование необходимых условий применимости аппаратных средств защиты, включая: необходимость генерации и поддержки доверенной вычислительной среды; необходимость включения в состав КС резидентного компонента безопасности; необходимость полной аутентификации объектов и процессов, взаимодействующих с электронным документом.
3. Совершенствование известных и разработка новых моделей взаимодействия элементов компьютерной системы (КС), учитывающих встроенные в КС средства аппаратной защиты при генерации и поддержке доверенной вычислительной среды, включая комплексную модель защиты электронного документооборота на основе расширения КС аппаратными модулями РКБ;
4. Методы и механизмы решения аппаратными средствами комплекса задач защиты электронных документов и информационных технологий от НСД, обеспечивающие универсальность применения средств, а также возможность их адаптации к конкретной архитектуре КС.
5. Архитектура, принципы построения и техническая реализация семейства аппаратных средств защиты информации от НСД, обеспечивающие аутентификацию элементов электронной среды, участвующих в документообороте, включая встроенные объекты системы защиты информации, информационные технологии и собственно электронные документы.
6. Серийная реализация семейства средств аппаратной защиты электронных документов и информационных технологий и опыт их широкомасштабного применения.
Апробация работы. Основные результаты работы докладывались и обсуждались на специализированных конференциях и семинарах: «Технология электронных коммуникаций (М., Госкомсвязи России, 1997)», «Комплексная защита информации» (Минск, Государственный центр безопасности информации, 1997), «Комплексная защита информации: проблемы и решения» (Минск, Государственный центр безопасности информации, 1998), «Первая международная конференция ЦОИУЧС,98» (Минск, МЧС, 1998), III - VII Международных конференциях «Комплексная защита информации» (Москва -Минск, Государственный центр безопасности информации, Гостехкомиссия России, 1999 - 2003), IX и X Международных конференциях «Проблемы управления безопасностью сложных систем» (М., ИПУ РАН, 2001, 2002), первой и второй международной конференции по проблемам управления (М., ИПУ РАН, 2002, 2003), практической конференции «Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти» (М., Минсвязи России, 2003), на международных конгрессах «Доверие и безопасность в информационном обществе» (С-Пб, Минсвязи России, Совет Безопасности России, 2003) и «Информационное общество: стратегии развития в XXI веке» (Киев, Минсвязи России, Одесская национальная академия связи, 2003), Российско-американском семинаре по проблемам терроризма в городских условиях (М., Президиум РАН, 2003), семинарах «Электронная Россия человеку, бизнесу, обществу» (М., Минсвязи России, 2003), IV международном научном семинаре «Информационные сети, системы и технологии» (М., ИППИ РАН, ИПУ РАН, МАИ, 2003), заседаниях Государственной комиссии по информатизации, Президиума НТС и Коллегии Минсвязи России, заседаниях Координационного совета по информатизации государств-участников СНГ и Комиссии РСС по информатизации, семинарах Ассоциации российских банков, Ассоциации документальной электросвязи, Сберегательного банка Российской Федерации, Пенсионного фонда России, Совета по информатизации Московской области, Совета Главных конструкторов по региональной информатизации, Круглых столах Комитета по информационной политике Государственной Думы Российской Федерации и многих других.
Реализация результатов работы. Работа выполнялась в рамках НИОКР «Аккорд-А», «Память», «Аккорд-КПД», «Истра-96», «Истра-98», «ТИС МО», «ТЗКС Защита-98», «Защита АС ЦТО-98», «Защита ИС/99», «АС ФРЦ ЦБ РФ», «Документ-2000», «Догма-А», «Инфраструктура» и других, выполнявшихся во ВНИИПВТИ и ОКБ САПР. Разработанные и внедренные в производство изделия серии «Аккорд» являются наиболее распространенными СЗИ НСД в настоящее время в России. Они внедрены в различные сферы электронного документооборота, в том числе в системах ЦБ РФ, Сбербанка РФ, сотен коммерческих банков и финансовых структур, Пенсионного Фонда России, Государственного Таможенного Комитета Российской Федерации, Пограничной службы ФСБ России, Госкомстате, Счетной палате Российской Федерации, Министерстве обороны Российской Федерации, Минфине России и др.
Теоретические и практические результаты диссертационного исследования были использованы при разработке ГОСТ Р 52292-2004, в учебных курсах, лабораторных работах и спецкурсах в МГУ, МИФИ, МИРЭА, МФТИ и других вузах России.
Публикации. По теме диссертации опубликовано 75 работ, в том числе 3 монографии и разделы в 4 коллективных монографиях, 7 статей в журналах, рекомендованных ВАК для публикации основных результатов работы, 6 авторских свидетельств и патентов.
Структура и объем работы. Диссертация состоит из введения, четырех глав и заключения, списка литературы из 246 позиций. Объем - 360 страниц, 3 таблицы, 27 рисунков.
В первой главе выполнен анализ состояния теории защиты электронной информации. Анализируется существующая понятийная база информационного обмена в электронной среде, понятия «документ», «электронный документ», «экземпляр», «подлинник», «копия», «юридическая сила» электронного документа, «электронная цифровая подпись». Рассмотрены современные модели защиты электронной информации и модели электронного документа, а также модели механизмов защиты информации, включая модели дискреционного и мандатного доступа, модель гарантированно защищенной системы обработки информации, и субъектно-объектная модель (СО-модель).
На основе анализа принятых законов и опубликованных в открытой печати законопроектов выделено доминирующее представление об электронной информации и электронном документе и показана его ограниченность. Показано, что существующий подход, опирающийся на понятийную базу обмена информацией посредством традиционного (аналогового) документа, не соответствует требованиям перспективного этапа развития электронного взаимодействия. На этой основе определены пути исследования системных особенностей электронного документа и разработки его новой вербальной модели.
Анализ известных формальных моделей защиты информации продемонстрировал, что они в основном базируются на феноменологическом описании процессов и объектов электронной среды, имеют экстенсивный характер, и лишь уточняют свойства и требования к отдельным механизмам защиты информации. Выявлена необходимость специализации моделей, учитывающих качественное различие свойств электронного документа при его переходе из одной среды существования в другую, а также существование ЭлД в виде объекта (хранение) и в виде процесса (обработка и передача).
Определены уровни представления электронной информации, для которых необходимо разработать совокупность моделей. Сформулирована задача перехода от модели изолированной программной среды (ИПС) к построению и анализу модели доверенной вычислительной среды (ДВС), свойства которой должны удостоверяться и поддерживаться инструментальными средствами защиты информации.
Во второй главе выполняется разработка вербальной модели электронного документа. Рассматриваются аналоговая и электронная среды существования документа. Анализ отличий аналоговой и электронной сред существования документов подтвердил качественный, системный характер этих отличий. Показано, что модель документа может строиться на основе понятия «множество». Рассмотрена модель аналогового документа в виде предмета — множества и его свойства: бесконечность, непрерывность, статичность (фиксированность), а также модель электронного документа в виде процесса — множества и его свойства: конечность, дискретность, динамичность. Рассмотрены содержание и атрибуты документа. Отмечены «приблизительность» аналоговой среды и «точность» электронной среды.
Предложена вербальная модель электронного документа, включающая описание его состава, состояний на различных этапах жизненного цикла, особенностей среды существования, оформления документа и его защиты. Предложен и обоснован состав атрибутов электронного документа, обеспечивающий организацию электронного документооборота и защиту интересов участников информационного взаимодействия. Показано, что основным требованием к преобразованию информации в электронной среде является требование сохранения отношения упорядоченности — (вычислимый) изоморфизм отображения множества, маркированного как «информация».
Продемонстрирована двойственная природа, дуализм документа: документ как информация, документ как вещь.
В третьей главе разрабатывается концептуальная модель аппаратной защиты технологии электронного обмена информацией. Проведен анализ жизненного цикла электронного документа в трех средах существования — социальной, аналоговой, электронной. Показано, что, удовлетворяя потребности взаимодействия в социальной среде, в пассивном режиме электронный документ существует как фиксированный физический объект в аналоговой среде, а в активизированной форме - как протекающий во времени процесс в электронной среде.
Показано, что в обеспечении информационной безопасности необходимо выделять две составляющих: традиционную, которая заключается в защите собственно ЭлД как физического объекта, и новую, ранее не рассматривавшуюся - защиту электронной информационной технологии. Введено определение электронной технологии как строго упорядоченного множества, которое обеспечивает единую платформу решения проблемы информационной безопасности электронного взаимодействия: для защиты информации-процесса достаточно защитить информацию-технологию.
Обоснована возможность применения аппаратной защиты электронной технологии в виде устройства с заданными характеристиками. Показано, что аппаратные методы защиты информационных технологий эффективнее, чем программные методы.
Разработана мультипликативная модель обеспечения информационной безопасности, конкретизирующая ее детерминированные и вероятностные контексты в части угроз и атак.
Разработана модель доверенной вычислительной среды (ДВС), в основе которой лежит модифицированная модель изолированной программной среды. Показано, что для создания и поддержки ДВС необходим резидентный компонент безопасности (РКБ), индицирующий изменения среды. Сформулированы принципы реализации резидентного компонента безопасности в виде физического устройства. Разработана модель размещения РКБ при защите информационных технологий линейной и иерархической архитектуры.
Показана эквивалентность задач аутентификации и классификации электронных документов. Рассмотрены особенности аутентификации при наиболее распространенных схемах организации взаимодействия. Показано, что с позиций аутентификации в корпоративных системах целесообразна организация документооборота по радиальной или иерархической схеме. Выполнена оценка границ предпочтительности симметричных и асимметричных методов при аутентификации документа. Показано, что необходимо сочетание механизмов аутентификации: асимметричные схемы целесообразно применять на «внешних сечениях» компьютерной системы; симметричные — на «внутренних».
Показана возможность реализации процедур аутентификации ЭлД вне основной среды вычислений — в рамках специализированных контроллеров. Определена минимальная конфигурация резидентного компонента безопасности (РКБ), обеспечивающая аппаратную аутентификацию в электронной среде.
В четвертой главе рассматриваются реализация аппаратных средств защиты информации и их применение в электронном документообороте. Рассмотрена архитектура семейства технических устройств аппаратной защиты информации, аппаратный модуль доверенной загрузки «Аккорд-АМДЗ», высокопроизводительный сопроцессор безопасности «Аккорд-СБ», применение кодов аутентификации в контрольно-кассовых машинах, системе контроля целостности и подтверждения достоверности электронных документов и в подсистемах технологической защиты информации.
Обоснована необходимость обеспечения средствами защиты информации выполнения основных контрольных процедур до загрузки операционной системы, т.е. на аппаратном уровне. Сформулированы основные требования к функциональности и составу аппаратных средств защиты информации (СЗИ).
Разработан аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий доверенную загрузку ОС вне зависимости от ее типа для пользователя, аутентифицированного защитным механизмом. Рассмотрены особенности программирования АМДЗ с учетом режима его работы и особенностей реализации контрольных функций, рассмотрены функции и задачи отдельных устройств.
Разработан модуль интеллектуальной фискальной памяти «Аккорд-ФП», позволяющий доработать ПЭВМ, используемые в качестве АРМ в системах массовых платежей до уровня, отвечающего требованиям, предъявляемым к контрольно-кассовым машинам (ККМ).
Разработан высокопроизводительный сопроцессор безопасности, реализующий функции выработки/проверки кодов аутентификации «Аккорд-СБ/КА». На его основе разработана система контроля целостности и подтверждения достоверности электронных документов (СКЦПД ЭД), предназначенная для обеспечения сквозного контроля целостности и подтверждения достоверности электронных документов в КС федерального или регионального уровня.
Разработана подсистема технологической защиты информации, включающая АРМ ключей, АРМ персонализации, АРМ администрирования и разбора конфликтов, серверы кода аутентификации и средства защиты от несанкционированного доступа к АРМ пользователя.
Разработанные средства защиты информации внедрены в различные сферы электронного документооборота.
В заключении отмечается, что в работе решена важная народнохозяйственная проблема совершенствования теоретических положений, разработки методов и средств аппаратной защиты электронных документов и информационных технологий электронного документооборота. Проведенные исследования и полученные результаты составляют теоретическую базу для построения реальных эффективных систем защиты информационных технологий электронного документооборота и собственно электронных документов от НСД при помощи аппаратных средств. Результаты исследований доведены до конкретных моделей и методов, на основе которых создано семейство программно-аппаратных средств защиты информации «Аккорд».
Модели защиты электронной информации
Вопросы защиты информации в технических системах развернуто и разносторонне рассматривались во многих работах, в частности, в [31, 41, 43 -45, 62, 64, 66, 72, 74, 80, 147, 178, 203, 204, 208, 209, 218, 219, 230, 233].
Модель обычно рассматривается как отображение качественных характеристик явлений мира объектов, описываемого физическими законами, в количественные показатели виртуального мира, описываемого логическими законами. Физические законы реальны, их действие проявляется непосредственно в форме состояния объектов реального мира. Логические законы виртуальны, их справедливость устанавливается на основе интерпретации количественных показателей, предсказанных моделированием, в качественные характеристики реального состояния объектов в точке прогноза. Но раз есть интерпретация на выходе модели, то обязательно должна быть интерпретация и на входе.
Интерпретация на входе модели задается аксиоматикой моделирования — совокупностью взаимно независимых исходных утверждений, постулатов, правил, задающих процесс моделирования. Если аксиоматика, «вход» модели, адекватна физическому миру, то и результаты моделирования соответствуют практике: модель есть однозначное отображение входа на выход, в том смысле, что любое повторение моделирования с неизменными входными данными приведет к точно таким же результатам. В свою очередь, однозначность модели необходимо влечет конечность аксиоматической базы, иначе это означало бы возможность выполнения бесконечного числа независимых правил в течение конечного времени моделирования, что невозможно.
Таким образом, бесконечность качественных и количественных характеристик реальных явлений должна отображаться на входе модели в конечную аксиоматическую базу. Процесс перехода от бесконечности к конечности в общем случае принципиально не формализуется, иначе не существовало бы самого понятия бесконечности. Поэтому любая формальная модель должна включать в свой состав эвристический компонент — выделение конечного подмножества характеристик моделируемого явления и их интерпретацию в аксиоматическом виде. Это положение кажется очевидным, тем не менее, о нем часто забывают, опуская интерпретацию. Как правило, это проявляется в сочетании в модели строгих понятий математики с неформальными терминами, трактуемых по умолчанию в достаточно широком диапазоне.
В сфере информационной безопасности должна существовать иерархическая система моделей различного уровня. При разработке моделей целесообразно исходить из наличия трех кардинально различных сред существования документа: электронной, аналоговой, социальной. Можно наметить следующие уровни системы моделей; информация, документ, отдельные механизмы защиты информации, защита среды существования, защита информационного взаимодействия.
Модели цифровой информации опираются на ставшие уже классикой общеизвестные работы К. Шеннона [225, 226], показавшего возможность количественного подхода к информации. К каким парадоксам в электронной среде приводит определение информации как сведения или знания, показано в предыдущем разделе. Сведение, знание - это сугубо индивидуализированные понятия, неотрывные от воспринимающего субъекта: для кого сведение, а для кого — пустой набор слов. Основная идея Шеннона заключается в объективизации понятия информации. Только тогда можно применять количественные оценки, только тогда можно говорить о цифровой информации, которая воспринимается неодушевленными объектами, инструментальными средствами вычислительной техники.
Шеннон обезличил информацию, назвал информацией последовательность сигналов, бит и т.п. с заданной на ней вероятностной мерой. Если вспомнить, что специализацией К. Шеннона была криптография (доклад «Математическая теория криптографии» был сделан 01.09.45 г.), то подобный подход очевиден. Ведь зашифрованная информация, с позиций обычного человека, представляет собой бессмысленный набор знаков, но никак не сведение или факт. Естественно, что «индивидуальность» множества в таком случае оказывается несущественным фактором, имеют значение только абстрактные характеристики. Любая последовательность есть упорядоченное множество, тогда неизменность информации означает, что любые преобразования множества сохраняют отношение порядка, являются изоморфными.
Далее, используя формальные математические преобразования, Шеннон приходит к понятиям энтропии, количества информации, совершенной секретности и прочим характеристикам, интерпретация которых имеет прикладное значение. Как правило, именно это ставят ему в заслугу, но исходные постулаты несопоставимо глубже. Электронное взаимодействие (обращение информации в электронной среде) вышло на массовый уровень, и подавляющее большинство участников не способно адекватно воспринимать постулаты цифрового отображения информации, противоречащие всему их предыдущему жизненному опыту. В свою очередь, это ведет к поверхностному анализу процессов обеспечения информационной безопасности, не затрагивающему их глубинных основ.
Системные особенности электронного документа
Любой документ значим, действенен, только при наличии конкретных социальных, экономических, технических условий, совокупность которых наблюдается, вообще говоря, не во всей среде существования, а в некоторой ее части, секторе действенности документа. Информационное взаимодействие в аналоговой среде базируется на восприятии и обработке документа мыслящими субъектами. Конструктивность взаимодействия обеспечивается системой понятий, основанных на огромном, по сравнению с ЭВМ, объеме знаний человека, накопленных им в процессе предварительного обучения и практической работы (личного опыта). Эти знания являются контекстом терминологии в аналоговой среде, обеспечивающим адекватное понимание терминов и понятий, трактовка которых допускает известный произвол, неоднозначность, неизбежные в силу приблизительности, похожести образного мышления.
Основной задачей документа является обеспечение правовой функции — документ признается законом или нормативно-правовыми актами как формальное подтверждение (юридического) факта.
Юридический факт - это предусмотренные в законе обстоятельства, при которых возникают, изменяются, прекращаются конкретные правоотношения между участниками информационного взаимодействия. По характеру последствий различают правообразующие, правопрекращающие и правоизменяющие юридические факты [23].
Строго говоря, признание того или иного факта «юридическим фактом» определяется государственными институтами. Поэтому далее будем говорить о подтверждении «фактов», понимая последние как предусмотренные формальными и неформальными правилами, обычаями, менталитетом определенного круга субъектов обстоятельства, являющиеся формальным основанием изменений отношений между участниками взаимодействия, входящими в этот круг субъектов. Если круг субъектов - государство, то «факт» становится «юридическим фактом». Записка с просьбой передать курьеру определенную сумму денег для доставки указанному лицу является достаточным основанием в рамках сложившегося коллектива, но не в рамках закона. Курьер, конечно, может утверждать, что никаких денег не получал, и закон здесь бессилен. Однако в коллективе потеря репутации курьеру обеспечена, так как на любом уровне общества существует определенная шкала неявных наказаний и поощрений.
Определяя правовой документ как формальное подтверждение факта, мы тем самым расширяем круг участников информационного взаимодействия. Помимо непосредственных участников, неявно вводится некий институт, незримо определяющий, каким требованиям должны удовлетворять содержание и атрибуты документа для того, чтобы последний считался формальным подтверждением. Кто-то «посторонний», существующий объективно, вне участников, должен решать, является ли данное отображение информации документом или нет. Необходим арбитр, третейский судья, занимающий более высокий уровень иерархии по отношению к участникам взаимодействия и решающий в спорных ситуациях, какое конкретно сведение содержится в данном документе. Подобная предпосылка неявно просматривается и в работах других авторов, например, в работах [196, 197] вводится «надсистема» документа, понятие, где-то эквивалентное сектору действенности.
Арбитр должен иметь право и возможность воздействия на участников спора, поощряя их действия в случае «правильной» трактовки документа и наказывая за «ошибочную» интерпретацию. Воздействие обеспечивается обществом, точнее его частью — сектором действенности документа. Для этого в секторе имеются соответствующие институты: взаимное недовольство, если документ — частное письмо; низкая оценка на экзамене, когда документ — учебник; выговор или лишение премии, если документ — распоряжение руководства фирмы; гражданская, административная или уголовная ответственность, когда сектор действенности документа есть государство.
Можно ли считать таким арбитром всю среду существования аналогового документа, устанавливающую правила обработки, хранения и передачи информации, представленной в образной форме? Специфика документов настолько различна, что в общем случае это невозможно. А вот некоторую, соответствующим образом специализированную для данного класса документов, часть среды существования — можно. Приходим к понятию сектора действенности документа. Именно в адекватном документу секторе действенности реализуется назначение документа: элементам сектора, участникам информационного взаимодействия, предоставляются в соответствии с содержанием документа права и/или налагаются обязанности.
Понятие «документ» имеет смысл только при явном или неявном задании его сектора действенности. Документ определяется как пара: сектор действенности и информация, оформленная в соответствии с правилами сектора действенности.
Сектор действенности аналогового документа — максимальное подмножество элементов (субъектов) среды существования, характеризующееся едиными, обязательными для всех его субъектов, явными и неявными правилами оформления документа и трактовки прав и обязанностей, которые предоставляются и/или налагаются таким документом на участников информационного взаимодействия.
В рамках сектора действенности документ признается формальным основанием для возникновения, изменения, прекращения конкретных отношений между элементами сектора.
Принципы аппаратной реализации механизмов аутентификации в электронной среде
Понятия «идентификация (identification — отождествление) и «аутентификация» (authentification — подлинность) близки. В аналоговой среде, среде приблизительной терминологии, обычно используется одно из них, обычно - первое. В электронной среде, требующей однозначности, такое совмещение смыслов может приводить к абсурдным результатам. Не случайно, что термин «аутентификация» стал широко использоваться именно в сфере электронного взаимодействия. Необходима конкретизация терминов.
Идентификация объекта есть установление (отношения) эквивалентности между объектом и его обозначением (определением, представлением, образом, комплексом характеристик, и т.п.).
Иными словами, идентификация есть опознание, выделение объекта, приписывание ему известного комплекса характеристик. Можно идентифицировать знакомого из группы стоящих людей, искомый документ из подшивки. Идентификация документа заключается в установлении факта наличия в нем блока идентифицирующей информации, выделяющей данный документ среди остальных: наименование отправителя, получателя, тематика, время регистрации, и т.п.
Возможность модификации ЭлД в современных ЭВМ - принципиальное, неотъемлемое свойство. Соответственно возникает задача подтверждения идентифицирующей информации, приведенной в документе. Например, подтверждения того, что именно указанный в ЭлД субъект действительно является автором или отправителем данного документа, что указанное время регистрации соответствует фактическому времени и др. Надо «привязать» документ как предмет или процесс к субъектам, объектам и процессам, существующим независимо и вне документа {out — из, вне, наружу: англ.), аутентифщироватъ документ.
Когда говорят, что требуется идентифицировать автора, то обычно подразумевают аутентификацию документа. Автор — это не документ, это совершенно другой объект, человек; идентифицировать автора Y документа X означает, что из ряда людей надо узнать, который их них Y. Как правило, фактически надо установить, что идентифицирующаяся информация человека, поименованного в документе как Y, действительно принадлежит Y.
В общем случае существенно не только, кто документ сформировал, но и кто документ отправил. Поэтому, оформление документа должно предусматривать, в соответствии с требованиями сектора его действенности, и возможность аутентификации законченных технологических операций формирования, обработки и передачи документа в цикле информационного обмена. При электронном взаимодействии может потребоваться не только аутентификация субъекта аналоговой среды, но и объекта электронной среды, промежуточного процесса обработки ЭлД, программно-технического устройства, на котором был сформирован ЭлД, и т.д.
Аутентификация причастного к документу объекта или процесса (автор, отправитель, получатель, оператор, процесс, технология, и пр.) — объективное подтверждение содержащейся в документе идентифицирующей информации об этом объекте или процессе.
При аутентификация в электронной среде должны учитываться все объекты и процессы. Но и это лишь часть среды аутентификации документа, включающей еще и аналоговую среду. Например, пусть ЭлД есть запрос на доступ в некий закрытый фрагмент электронной среды — пароль пользователя. Запрос формируется интерфейсной частью электронной среды — согласно нажатию клавиш пользователем в аналоговой среде происходит создание ЭлД в среде электронной. Какие клавиши нажимать, и в какой последовательности, определяет не электронная среда, а пользователь. В аналоговой среде решается задача выбора пароля — присвоение пользователю Y пароля — числа і.
А вот предоставлять доступ или нет, решается в рамках собственно электронной среды, на основе анализа поступившего из интерфейсного фрагмента среды электронного документа, представляющего собой некоторое двоичное число х. Разумеется, число х не совпадает с г, так как ЭлД содержит еще и массу служебной и технологической информации. Производя регламентированные преобразования числа х, т.е. вычисляя заданную функцию i(x), ЭВМ находит значение / и сравнивает его с хранящимися в памяти. При положительном результате сравнения говорят, что пользователь Y аутентифицирован. Хотя на самом деле аутентифицирована последовательность нажатия клавиш, а кто именно их нажимал — для электронной среды не имеет значения. В таком случае и число і - это идентификатор не конкретного пользователя Y, но конкретной реализации электронного процесса формирования пароля. В обиходе эти понятия часто смешиваются, что может приводить к серьезным ошибкам.
Если гарантируется, что доступ к среде могут иметь только два пользователя, то для их идентификации необходимо и достаточно всего один бит информации, 0 или 1. Следует ли отсюда, что достаточен одноразрядный идентификатор — пароль длиной в один двоичный бит? Да, если оба пользователя «честные», каждый пользователь инициирует единственный, присущий ему процесс запроса. Нет, если пользователь «нечестный», тогда он может инициировать любой ЭлД-запрос, н вероятность ошибочной аутентификации будет недопустимо высокой. Два взаимно исключающих ответа на один вопрос возможны, если вопрос некорректен. Выходит, что аутентифицируется не пользователь, но запрос: хотя количество пользователей сохранилось, число возможных запросов от каждого увеличилось.
Очевидно, что если пароль сделать длиной в п бит, то вероятность «угадывания» одним пользователем пароля другого снижается до 2 п и на «вход» процедуры аутентификации возможно поступление 2" чисел. Даже из этого простейшего примера становится очевидным, что в электронной среде аутентификация единичных объектов или процессов сводится к анализу множества различных чисел.
Архитектура семейства технических устройств аппаратной защиты информации
Выбор системы защиты информации от несанкционированного доступа [123] должен основываться на анализе требований, предъявляемых как к составу функциональных параметров, так и к параметрам производства и сопровождения изделий, а также к эксплуатационным характеристикам [139]. В предыдущих разделах были сформулированы основные требования к функциональности и составу аппаратных средств защиты информации (СЗИ). С учетом требований [52, 53, 56], это позволяет определить перечень узлов, которые должны быть реализованы в контроллере СЗИ, взаимосвязи между ними и сформулировать требования к их реализации.
Функциональные возможности СЗИ должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы, т.е. на аппаратном уровне. При этом контроль целостности системных областей и файлов, данных и процедур должен осуществляться устойчивым к воздействиям механизмом, основанным на применении хэш-функций. На базе этих средств, а также средств контроля запуска задач, должно обеспечиваться формирование доверенной вычислительной среды и корректная поддержка изолированности программной среды. 2.
Спектр выпускаемых на аттестованном производстве СЗИ должен перекрывать проблемы защиты в гетерогенных сетях, основанных на интеграции наиболее популярных ОС, в том числе MS DOS, Windows 3.11, Windows 95, Windows 98, Windows ME и последующие модели, Windows NT, Windows 2000, Windows XP и др. Корректная работа в данных средах может основываться только на принципах операционной независимости аппаратных и программных средств СЗИ, транспортного механизма и механизма разграничения доступа. 3. Состав атрибутов, на основе которых описываются правила разграничения доступа (ПРД) к объектам информационной системы должен быть таким, чтобы обеспечить возможность описания любой разумной непротиворечивой политики безопасности. При этом СЗИ не должна создавать трудностей для пользователей системы — не ограничивать функциональных возможностей, предоставляемых операционной системой, быть "прозрачной" в пределах политики безопасности для легального пользователя, аутентифицированного защитным механизмом. 4. Для применения в сетевых решениях обязательным является наличие средств централизованного управления безопасностью и средств аудита, в том числе в режиме on line. Средства аутентификации при этом должны обеспечивать не только аутентификацию операторов, но и технических средств комплекса. 5. Обеспечивая целостность и доступность информации, защиту её от несанкционированных модификаций, СЗИ должна предоставлять возможность работы с сертифицированными криптографическими средствами. Важным при этом является отсутствие скрытых (не документированных) возможностей, а также "опасных" реакций на действия операторов. 6. СЗИ должна иметь сертификат в системе сертификации средств защиты информации для класса не ниже 1В, и выпускаться на основании лицензии органов, имеющих федеральные полномочия в указанной сфере. Производство технических и программных средств СЗИ должно быть аттестовано и подвергаться периодическому контролю.
В полной мере всем упомянутым требованиям удовлетворяет только СЗИ «Аккорд». В настоящее время эксплуатируется уже более 100 000 систем защиты «Аккорд», в том числе в системах ЦБ РФ, СБ РФ, сотнях коммерческих банках и финансовых структур, Пенсионном Фонде России, Главном Таможенном Управлении России, Федеральной пограничной службе и др. С использованием СЗИ «Аккорд» выпускаются СКЗИ «Верба», «АПДС», «ФПСУ-ІР», что отражено в сертификатах ФАПСИ на эти изделия. СЗИ. «Аккорд» обеспечивает необходимый уровень защиты в системах вычислительной техники по классу 1В, что подтверждается соответствующими сертификатами. Выпуск СЗИ «Аккорд» осуществляется на основании лицензии на аттестованном производстве. СЗИ НСД «Аккорд» применяются для защиты систем в сфере госуправления [94 - 96, 100 - 102, 106, 108, 113, 117 - 120, 189, 190], бизнеса [90], финансовых коммуникаций [42, 98, 125 - 127, 129], банковской сфере [91, 104, 121], территориальных информационных системах [76,97, 109] и других.
СЗИ НСД «Аккорд» созданы на основе результатов данной работы. 4.2.1. Архитектура семейства технических устройств аппаратной защиты информации
Выше показано, что для аппаратной аутентификации в электронной среде минимальная конфигурация СЗИ должна включать в свой состав ряд функциональных узлов (рис. 3.7). В энергонезависимой памяти, ЭНП, хранится (как минимум) эталонная информация для процедур идентификации и аутентификации пользователя, ссылки на полномочия пользователя и контрольные суммы для контроля целостности системных областей и системных файлов. Из ТМИ в контроллер поступает информация о пользователе и (в общем случае) контрольная сумма прикладных задач и данных. Датчик случайных чисел используется как генератор необходимых ключей взаимодействия. ROM BIOS содержит фиксированное описание процедур и преобразований, обеспечивающих все вышеуказанные функции.
Рассмотрим возможную логику действий потенциального нарушителя по подготовке разрушающего программного воздействия (РПВ).