Содержание к диссертации
Анализ существующих методик оценки уровня безопасности ПО 18
Анализ предметной области 22
Анализ руководящих документов по вопросам оценки безопасности программного обеспечения 22
Постановка общей научной задачи и частные задачи исследования 44
ПОСТРОЕНИЕ РЕЛЯЦИОННОЙ МОДЕЛИ СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Общая реляционная модель программного обеспечения 49
2.1 Л. Построение базовой модели 49
Построение реляционной модели СПО 57
Типовые операции 59
Процессы и подпроцессы 64
Домены и атрибуты модели 66
Обоснование выбора системы критериев 74
Критериальные показатели оценки безопасности ПО АС ВН.., 75
Показатели соответствия техническому заданию 75
Показатели свойств программного кода 89
Показатели, учитывающие характеристики организации процесса
Пример расчета метрических показателей ПС ПО
Позиционирование текстового процессора в схеме рабочего
Эталонное моделирование текстового процессора 112
Обоснование требований к инструментальным программным средствам
Средства расчета фактических метрических профилей... 118
Средства анализа метрических профилей 121
Средства сравнения метрических профилей 122
4.4 Оценка эффекта, ожидаемого при реализации предлагаемого научно-
методического подхода 123
Выводы 129
Введение к работе
Информационные технологии являются неотъемлемой частью всех сфер деятельности современного общества. В частности, в области вооружения и военной техники они служат основой для разработки новых систем и модернизации существующих. Этот процесс должен быть непрерывным, так как для поддержания военно-стратегического паритета Российская Федерация вынуждена разрабатывать и вводить в эксплуатацию перспективные системы оружия. Таким образом, возникает проблема приоритетного развития соответствующих технологий автоматизации, в первую очередь связанных с проблемами обеспечения информационной безопасности систем управления войсками и оружием. Информационная безопасность - это такая область, в которой, с одной стороны, невозможно обойтись без отечественных разработок, с другой стороны, невозможно изолироваться от общего прогресса и отказываться от применения средств и технологий, используемых во всем мире. Следовательно, необходимо разрабатывать отечественные технологии обработки информации на основе интеграции мирового опыта в этой области. К сожалению, приходится констатировать, что в настоящее время при построении любых информационных технологий, в том числе критичных для безопасности государства, наблюдается явное преобладание импортных средств. Это можно наблюдать даже в Вооруженных Силах РФ, в том числе в информационных системах их боевого управления.
По всем оценкам экспертов, к настоящему времени сложилась ситуация, когда боевые возможности и устойчивость систем современного оружия, как сложной системы, в значительной мере определяются показателями качества, надежности и безопасности программных средств (в большей степени по сравнению с аппаратными средствами). Программное обеспечение становится одним из наиболее уязвимых компонент современных оборонных систем, а использование программных средств в составе систем оружия, боевого управления и связи, а также других критичных систем порождает новую проблему - обеспечение технологической безопасности программных средств военного назначения [93].
В качестве примера можно привести нарушения штатных режимов работы ракетных комплексов, вызванных дефектами бортового программного обеспечения, входящего в состав системы боевого управления. Также общеизвестны факты сбоев в американской системе предупреждения о ракетном нападении «Бимьюс» из-за программных дефектов [68, 94].
В настоящее время опасность программного обеспечения сложных систем, в первую очередь, военного назначения связана с возможностью внесения в программные средства СИО преднамеренных дефектов, именуемых «программными закладками», которые служат для целенаправленного скрытого воздействия на техническую или информационную систему. Вероятно, программные закладки являются логическим продолжением так называемых «электронных закладок». При этом разработчик программной закладки (алгоритмист, программист или системотехник) может осуществлять такие действия либо случайно, либо преднамеренно. Последствием активизации программных закладок может быть полное или частичное нарушение работоспособности системы, несанкционированный доступ к защищенной конфиденциальной информации (минуя комплекс средств защиты и разграничения доступа), потеря или искажение информации в специальных банках данных и т.д. Наибольшую опасность они представляют для систем оружия одноразового боевого применения, например, ракетных комплексов стратегического назначения, а также для систем боевого управления, имеющих логическое разделение каналов боевого и дежурного режимов. В качестве примера можно привести военный конфликт в Персидском заливе. Система ПВО Ирака оказалась заблокированной по неизвестной причине во время проведения операции «Буря в пустыне». Несмотря на отсутствие исчерпывающей информации, многие специалисты высказывают предположение, что закупленные Ираком у Франции ЭВМ, входящие в комплекс технических средств системы ПВО, содержали специальные управляемые «электронные закладки», блокировавшие работу вычислительной системы [68]. Это означает, что начался этап, когда при ведении боевых действий стало практически возможным применять новое электронно-информационное оружие.
Необходимость исследования вопросов безопасности программного обеспечения обуславливается прямой зависимостью эффективности функционирования информационных систем от качества и безопасности используемого программного обеспечения. Безопасностью программного обеспечения (ПО) принято называть такое его состояние, при котором оно корректно выполняет заданные и только заданные при разработке и явно описанные в документации функции и не производит никаких побочных эффектов [41].
Пользователь автоматизированной системы должен иметь гарантии правильности функционирования программных средств, так как их отказ или неверная работа могут нанести серьезный ущерб обрабатываемой информации.
Решение проблемы безопасности программного обеспечения в настоящее время не удается достигнуть прямым путем, так как для систем высокого уровня сложности практически невозможно избежать риска наличия потенциально опасных функций вследствие ошибки либо сознательно деструктивного поведения многочисленных участников процесса разработки программного обеспечения (ПО).
Созданные ранее методы проверки качества программ малоэффективны для оценки безопасности. Еще сравнительно недавно все программное обеспечение разрабатывалось с использованием методики "тестирования и отладки". Небольшие программы изготавливались, тестировались, отлаживались и тестировались снова. Несколько таких программ объединялось в модуль, и затем этот модуль тестировался, отлаживался и снова тестировался. Малые модули затем объединялись в большие модули и так далее. В конце концов, программное обеспечение более или менее правильно функционировало, хотя в сложные системы всегда закрадывались ошибки. Для проверки безопасности методика "тестирования и отладки" не применима в принципе. Ни один из известных видов тестирования не позволяет обнаруживать программные ошибки, влияющие на безопасность.
Таким образом, напрашивается другой путь решения указанной проблемы. Раз риск нельзя устранить, значит, его надо исследовать, оценить и ввести в некоторые очерченные рамки. Следовательно, возникает задача разработки научно-методического аппарата, позволяющего производить практическую оценку уровня безопасности конкретного ПО. На основе этого аппарата должна быть проведена классификация ПО по уровням безопасности, естественно соответствующим существующим уровням требований по безопасности, предъявляемым к автоматизированным системам военного назначения (АС ВН) в целом. Такая классификация позволит на практике с приемлемой степенью достоверности решить вопрос о возможности эксплуатации некоторого конкретного СПО в данной компьютерной системе, исходя из уровня конфиденциальности информации, обрабатываемой в этой системе.
Таким образом, прагматическая актуальность исследований по теме диссертации обуславливается широким использованием в критически важных системах военного назначения, в частности, в АСУ специального назначения, программного обеспечения, безопасность которого в полной мере не оценена и не гарантирована.
Научная актуальность диссертационной работы заключается в необходимости построения критериев и эффективных методик оценки и контроля безопасности эксплуатируемых и внедряемых программных средств в автоматизированных системах управления войсками и оружием.
Существующие информационные технологии в области разработки программных средств военного назначения не позволяют создавать программное обеспечение полностью свободное от недостатков [92], снижающих боевые возможности и характеристики надежности вооружения и военной техники.
Наряду с несовершенством применяемых информационных технологий, существует реальная угроза поражения программного обеспечения стратегических оборонных систем информационным оружием.
Вероятность данной угрозы в современной обстановке резко возрастает вследствие следующих факторов:
а) сокращения СНВ, требующего разработки специальной программы обеспечения боевой устойчивости оставшихся на вооружении стратегических оборонных систем;
б) унификации систем оружия, приводящей, в частности, к возможности поражения всей группировки однотипных специальных комплексов одним преднамеренным диверсионным программным дефектом;
в) массового импорта вычислительных средств и информационных технологий;
г) отсутствия четких юридических норм, регламентирующих особенности разработки программного обеспечения компьютеризированных и интеллектуальных высокоточных систем оружия, боевых и обеспечивающих систем военного назначения;
д) деградации системы разработки вооружений и военной техники, конверсии, изменения кооперации разработчиков стратегических оборонных систем и отчуждения определенной части разработчиков в состав независимых сопредельных государств;
е) наличия технической возможности воздействовать на программное обеспечение стратегических оборонных систем России со стороны государств с нечеткой политической ориентацией, а также со стороны террористических элементов;
ж) слабого развития научно-теоретической базы по проблеме безопасности программного обеспечения.
С учетом вышесказанного возникает проблема безопасности программного обеспечения информационных систем, в частности АС ВН.
Надежность функционирования современных систем управления сложными комплексами вооружения, к числу которых относятся АС ВН, определяется надежностью аппаратных и программных средств, входящих в их состав. Для обеспечения заданной надежности аппаратуры применяется широкий спектр методов и средств, позволяющих из относительно ненадежных компонент создавать высоконадежные сложные системы. Эти методы и средства используют различные виды избыточности с целью предотвращения отказов и минимизации их влияния, на качество функционирования систем.
Таким образом, надежность функционирования сложных АСУ в настоящее время определяется в большей степени их программной составляющей. Широкое применение программного обеспечения, в том числе и иностранного производства, в АС ВН ставит задачу оценки и контроля качества программных средств. Необходимость контроля и оценки существует как для используемого программного обеспечения, так и для вновь разрабатываемого [66, 72].
Существующий набор программных средств, применяемых в АС ВН, чрезвычайно разнообразен. Используются программы для ПЭВМ, мэйнфреймы, специализированные процессоры и т.д. Для большинства применяемых программных средств нет исходных текстов, так как они либо иностранного производства и охраняются законами об авторском праве, либо утрачены вследствие больших сроков эксплуатации и исчезновения организаций-разработч ико в.
Разрабатываемые в настоящее время программные средства могут быть подвергнуты процессу сертификации вместе с исходными текстами, но ввиду большой трудоемкости и стоимости внедрение сертифицированных программных продуктов идет медленно.
Необходимость исследования вопросов безопасности программного обеспечения обуславливается прямой зависимостью эффективности функционирования АС ВН от качества и безопасности используемого программного обеспечения.
Созданные ранее технологии проверки качества программ малоэффективны для оценки безопасности. По существу, все программное обеспечение разработано с использованием методологии "тестирования и отладки", хотя в сложные системы всегда закрадывались ошибки.
Для проверки безопасности методология "тестирования и отладки" не применима. Никакая проверка работоспособности не может обнаружить «дыру» в безопасности, поэтому процесс тестирования ничего не сумеет найти. Таким образом, работоспособность не имеет ничего общего с безопасностью. Возьмем телефон с шифрованием. Его можно проверить. Можно отвечать на звонки и звонить самому. Можно, наконец, тщетно пытаться его подслушивать. Но все это не дает ответа на вопрос: защищен телефон или не защищен.
Единственный разумный способ проверить безопасность заключается в том, чтобы полностью перебрать все элементы. Это - дорогой, отнимающий много времени, ручной процесс. Недостаточно рассмотреть протоколы безопасности и алгоритмы шифрования. Необходимо охватить спецификацию, проектирование, реализацию, исходный текст программ, операции и т.д. И также как проверка работоспособности не может доказывать отсутствие ошибки, такой обзор безопасности не может показать, что изделие является фактически безопасным.
Кроме того, безопасная версия 1.0 не дает уверенности относительно безопасности версии 1.1. Безопасность программного обеспечения в условиях изоляции не всегда говорит о том же в эксплуатационной среде, особенно если такой эксплуатационной средой является открытая глобальная сеть. И чем сложнее система, тем тяжелее проходит разработка безопасности, и тем большее количество ошибок по безопасности в ней остается.
Допустим, что программное обеспечение разрабатывалось бы безо всякой проверки работоспособности. Пишется программа, компилируется и продается. Вероятность того, что эта программа вообще будет работать, даже без учета возможных ошибок, близка к нулю. С увеличением сложности изделия также увеличивается число ошибок. Все знают, что тестирование необходимо.
К сожалению, все это - текущее состояние практической работы в области безопасности. Изделия поставляются без какого-нибудь или с минимальным испытанием защищенности. Неудивительно, что ошибки безопасности обнаруживаются снова и снова. Трудно ожидать чего-нибудь другого. Сейчас делаются попытки регламентировать процесс оценки качества ПО. Введен в действие руководящий документ Гостехкомиссии России, посвященный контролю отсутствия недекларированных возможностей, но еще нет эффективных методов проведения такого контроля, способных уменьшить трудоемкость и стоимость проверок [41, 42, 43,110,116,117,118].
Каждый год изделия становятся все сложнее: большие операционные системы, больше сервисных функций, большее количество взаимодействий между различными программами через Интернет. Windows NT существует в течение нескольких лет, а ошибки безопасности в ней все еще обнаруживаются.
Необходима разработка эффективных методов оценки и контроля качества программного обеспечения автоматизированных систем, применимых для анализа сложных комплексов программ.
Цель диссертационного исследования - сокращение ручного труда за счет автоматизации при проведении сертификационной оценки безопасности программного обеспечения.
Общая научная задача, решение которой содержится в диссертации - разработка научно-методических основ автоматизированной оценки уровня безопасности специального программного обеспечения, обеспечивающих при заданных требованиях руководящих документов к процессу сертификации и показателях экономических затрат на экспертизу минимизацию ручного труда без ущерба для качества экспертизы.
Диссертация состоит из введения, четырех разделов с выводами по каждому из них, заключения, списка литературы. Она изложена на 143 страницах машинописного текста, включает 5 рисунков, 26 таблиц и список литературы из 138 наименований.
В первом разделе проведен анализ проблемы оценки безопасности программного обеспечения, анализ существующих методик оценки уровня безопасности специального ПО, анализ требований руководящих документов по оценке безопасности СПО, анализ недостатков существующих систем критериальной оценки безопасности СПО и формулировку формальной постановки задачи.
Второй раздел посвящен разработке реляционной системы специального программного обеспечения, включающий рассмотрение общей реляционной модели специального ПО (базовой модели, модели программного процесса и метрические показатели вычислительного процесса), построение реляционной модели специального программного обеспечения, на основе исследований типовых операций, укрупненных операций, процессов и подпрограмм, а также доменов и атрибутов модели.
В третьем разделе разработаны научно-методические основы и рекомендации оценки безопасности программного обеспечения.
В данной работе были предложены критерии оценки безопасности СПО на основе проведенной классификации и обоснования их выбора, а также показатели безопасности программного обеспечения, соответствующие техническому заданию на разработку и основанные на характеристиках организации процесса разработки и сопровождения.
Четвертый раздел включает рассмотрение путей разработки и реализации предполагаемой методики оценки безопасности программного обеспечения. В нем исследованы требования к инструментальным средствам, применяемым для оценки безопасности СПО (средства расчета эталонных метрических профилей, средства расчета фактических метрических профилей, средства анализа метрических профилей и средства сравнения метрических профилей), разработан практический пример расчета метрических показателей программного средства.
Каждый раздел включает соответствующие выводы и научные рекомендации.
Наиболее существенные новые научные положения, выдвигаемые для защиты:
Существующие методики оценки уровня безопасности специального программного обеспечения предусматривают большое количество ручных операций, что приводит к весьма существенным трудозатратам и неопределенному влиянию субъективных факторов на конечные результаты оценки, в связи с чем разработка научно-методических основ автоматизированной оценки уровня безопасности специального программного обеспечения представляет актуальную научную задачу
Существенное сокращение трудозатрат при проведении сертификационной оценки безопасности специального программного обеспечения без ущерба для качества оценки достижимо на основе компьютерной обработки формализованного описания.
Формализованное описание специального программного обеспечения АС ВН, ориентированное на использование в компьютерных базах данных, осуществимо в терминах отношений реляционной алгебры.
4) Применение компьютерной обработки данных при проведении сертификационной оценки специального программного обеспечения АС ВН обеспечивает существенное (до 20-25 %) сокращение экономических затрат при повышении качества за счет автоматизации выполнения рутинных операций и предоставления экспертам дополнительной информации в диалоговом режиме.
К другим наиболее существенным новым научным результатам, выдвигаемым для зашиты относятся:
Впервые предлагаемая модель специального программного обеспечения, основанная на описании структуры и характеристик его модулей в терминах теории отношений.
Совокупность критериев сертификационной оценки безопасности специального программного обеспечения АС ВН, отличающаяся от известных введением критериальных показателей оценки безопасности СПО, основанных на характеристиках организации процесса разработки и сопровождения специального ПО.
Усовершенствованная методика сертификационной оценки специального программного обеспечения АС ВН, отличающаяся применением более полной совокупности критериальных показателей и модели СПО в терминах теории отношений реляционной алгебры.
в учреждениях промышленности:
в учреждениях Министерства обороны РФ:
Основные научные результаты диссертации опубликованы в научных изданиях в составе которых: 2 статьи в периодических научных изданиях, рекомендуемых ВАК для публикации научных работ, отражающих основное научное содержание диссертации [10, 20] (в журнале «Известия ТРТУ» №4, 2003г.), 9 статей в материалах Международных научно- практических конференциях «Информационная безопасность», проводимых ТРТУ [9, 1114, 16-19] и 2 - в научно-техническом сборнике «Системы управления и связи» издаваемым Ростовским институтом системной интеграции и наукоемких технологий [15, 21].
Семь работ опубликованы единолично, пять работ с одним соавтором и одна работа с двумя соавторами. Общий объем 42,2 страницы, личный вклад 31,2 страницы, том числе 11 работ в трудах Международных конференций, общий объем 19,2 страницы, личный вклад 15,4 страницы.
Основные результаты диссертации реализованы:
а) в логической модели подсистемы защиты информации для системы управления , при разработке технического задания (инв, № 859 от 2004 г.) на программное обеспечение звеньев управления облика 2005 г. и при разработке предложений при реализации требований по безопасности информации, предъявляемых к специальным программным изделиям (акт о реализации вх. № 240/1 РВИ РВ от 21.10.2004 г., выданный Федеральным государственным унитарным предприятием «НПО «Импульс»);
а) в перспективном плане развития подсистем защиты информации в автоматизированных система военного назначения ( вх. № 313/1 РВИ РВ от 6.11.2003 г.) при оценке и обосновании перспектив развития ИРС;
б) (в тематическом плане изучения дисциплины «Автоматизация проектирования систем и средств управления», используемом в учебном процессе Ростовского военного института РВ (инв, № 42/3, лекция № 9 «Проектирование программных средств ССУ» и при проведении практическое занятие № 12 «Оценка качества построения программных средств ССУ», используемом в процессе подготовки специалистов по специальности 210100 «Управление и информатика в технических системах», вх. № 79/1 РВИ РВ от 21.03.2005 г.).
Научные результаты диссертации использованы при подготовке трех отчетов о НИР [87-89] и двух фундаментально-поисковых НИР [125, 126], на которые получены акты о реализации.
1. БЕЗОПАСНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ КАК ПРЕДМЕТ ИССЛЕДОВАНИЯ
1.1. Актуальные вопросы безопасности программного обеспечения
1.1.1. Прагматическая актуальность вопросов безопасности программного обеспечения
Информационные технологии в настоящее время являются неотъемлемой частью всех сфер деятельности общества. В частности, в области вооружения и военной техники они служат основой для разработки новых систем и модернизации существующих. Этот процесс должен быть непрерывным, так как для поддержания военно-стратегического паритета Российская Федерация вынуждена разрабатывать и вводить в эксплуатацию перспективные системы оружия. Таким образом, возникает проблема приоритетного развития соответствующих технологий автоматизации, в первую очередь связанных с проблемами обеспечения информационной безопасности систем управления войсками и оружием [73].
Однако, как было сказано выше, в современных условиях не возможно обойтись как без отечественных, так и без иностранных программных информационных технологий. Это можно наблюдать даже в Вооруженных Силах РФ, в том числе в информационных системах их боевого управления. Примером может служить АС ВН.
Необходимость исследования вопросов безопасности программного обеспечения обуславливается прямой зависимостью эффективности функционирования информационных систем от качества и безопасности используемого программного обеспечения [81]. В соответствии с определением безопасности программного обеспечения, приведенного выше [41], пользователь автоматизированной системы должен иметь гарантии правильности функционирования программных средств, так как их отказ или неверная работа могут нанести серьезный ущерб обрабатываемой информации.
Таким образом, прагматическая актуальность исследований по теме диссертации обуславливается широким использованием в критически важных системах военного назначения, в частности, в АС ВН, программного обеспечения, безопасность которого в полной мере не оценивается и не гарантируется, а также возникающей в связи с этим необходимостью оценки и контроля безопасности эксплуатируемых и внедряемых программных средств в автоматизированных системах управления войсками и оружием.
1.1.2. Общая постановка задачи оценки безопасности программного обеспечения
Решение проблемы безопасности программного обеспечения в настоящее время не удается достигнуть прямым путем, так как для систем высокого уровня сложности практически невозможно избежать риска наличия потенциально опасных функций вследствие ошибки либо сознательно деструктивного поведения многочисленных участников процесса разработки ПО [119].
Известен другой путь решения указанной проблемы, основанный, как говорилось во введении, на проведении классификации специального программного j обеспечения по уровням их безопасности на основе существующих требований руководящих документов. Такая классификация позволяет на практике с приемлемой степенью достоверности решить вопрос о возможности эксплуатации некоторого конкретного ПО в данной компьютерной системе, исходя из уровня конфиденциальности информации, обрабатываемой в этой системе.
1.2. Анализ существующих методик оценки уровня безопасности ПО
Рассматриваемые в диссертации вопросы поднимаются не впервые, поэтому проанализируем ранее проведенные исследования в этой области.
Практика показала, что созданные на заре развития вычислительной техники прикладные методы проверки качества программ малоэффективны для оценки безопасности. Еще сравнительно недавно все программное обеспечение разрабатывалось с использованием эмпирической методики, которая условно может быть названа «методикой тестирования и отладки», что позволяло, в конце концов, обеспечить более или менее правильное функционирование программного обеспечения, хотя в сложные системы всегда закрадывались ошибки. Для проверки безопасности «методика тестирования и отладки» не применима в принципе. Таким образом, подтвердим еще раз главный тезис о том, что никакая проверка работоспособности не может обнаружить недостатки в обеспечении безопасности, и, таким образом, работоспособность не имеет ничего общего с безопасностью [2,31, 36, 53, 66, 70, 75, 90, 96,102,129],
Стандарты и нормативные акты, принимаемые в России и за рубежом, определяют лишь требования к защите информации в автоматизированных системах от несанкционированного доступа и на их основе классы безопасности систем. Такие требования, интерпретированные как показатели безопасности, в современных условиях развития угроз информационной безопасности позволяют лишь частично решить проблему оценки уровня безопасности программных средств и вычислительных систем.
Подтверждают этот вывод и опубликованные в литературе [1, 42, 43, 92, 117, 118] системы показателей безопасности информации, как правило, вытекающие из специфического определения понятия безопасности и уровня безопасности информации. Кроме того, некоторые системы показателей, например приведенные в [1], из-за смешивания понятий качества и безопасности, не могут быть использованы в полной мере, на наш взгляд, для оценки выше указанных свойств информации.
За рамками процесса оценки остаются вопросы уязвимости программного обеспечения и оценки его способности к разрушающим воздействиям на вычислительную систему.
При этом необходимо отметить, что за рубежом, например, тестируются не операционные системы или программные продукты как таковые, а программно-аппаратная конфигурация.
Сам же процесс аттестации и сертификации длится порядка двух лет, что также не добавляет энтузиазма разработчикам ПО. Довольно часто продукт получает сертификат к тому времени, когда он уже устарел или устарела программно-аппаратная конфигурация, на которой продукт испытывался. Но и получение сертификата безопасности не гарантирует отсутствия «дыр», что Национальный центр компьютерной безопасности честно признает. Известны многочисленные случаи, когда в системах, имеющих сертификат, безопасность не соответствовала заявленной. В связи с этим большинство компьютерных компаний предпочитают не тестировать свои продукты, тем более что сертификат важен только при использовании в военных и государственных учреждениях (и то не всех). Обычно речь идет о так называемой совместимости с тем или иным классом безопасности, т.е. процедура тестирования не проводится [9, 63, 89,98].
Вопрос формального определения уровня безопасности ПО решается на основе анализа существующих подходов в определении понятия уровня безопасности информации в АС в целом и отдельных ее компонентах, анализа корректности используемых понятий в соответствие с особенностями методики, моделей нарушителя и безопасности информации.
В объектно-ориентированном подходе уровень безопасности определяется как иерархический атрибут, который может быть ассоциирован с сущностью компьютерной системы (понимается любая именованная сущность компьютерной системы), например, возможную степень ущерба от нарушения безопасности данной сущности в компьютерной системе [1, 63, 113].
Когда в системе существуют иерархические отношения для безопасности, то требуется некий механизм, определяющий каждой именованной составляющей компьютерной системы значение компонент чувствительности ее безопасности. Один из путей достижения этого - поставить в соответствие каждой составляющей компьютерной системы уровень ее безопасности.
Количественный подход. Данный подход реализован в ГОСТ МО США под оригинальным названием «Оранжевая книга» или в «Оценочных критериях защищенности вычислительных систем» [120, 134-138]. В нем уровень безопасности отождествляется с некоторым классом защищенности вычислительной системы Шкала данных стандартов включает градацию от D до А1, где уровень А1 - наивысший. Критерием оценки вычислительных систем согласно принципам классификации «Оранжевой книги» по существу является соответствие состава средств, приведенного к одному из классов оценки.
Аналогичен «Оранжевой книге» и выпущенный в 1992 г. Гостехкомиссией России (ныне ФСТЭК) пакет временных руководящих документов по защите информации от несанкционированного доступа в автоматизированных системах (АС) и средствах вычислительной техники (СВТ), содержащий концепцию защиты, термины и определения, показатели защищенности, классификацию СВТ и АС по уровням защищенности [41- 43].
Эвристический подход. Реализован в «Европейских критериях» оценки безопасности информационных технологий, принятых Францией, Германией, Нидерландами и Великобританией в 1991 г [135, 137]. Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности называется гарантированностью, которая определяет три градации мощности средств безопасности - базовую, среднюю и высокую. Уровни гарантирован ности корректности определяются в порядке возрастания от ЕО до Е6. Уровень ЕО обозначает отсутствие гарантированности - аналог уровня D «Оранжевой книги». Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности.
Наличие множества подходов к определению уровня безопасности информации уже свидетельствует о нечеткости самого понятия, которое ассоциируется и с уровнем секретности информации (в объектно- ориентированном подходе), и с уровнем защищенности (в количественном подходе), и с уровнем гарантированности (в эвристическом подходе).
Общие замечания по некорректности некоторых подходов можно сформулировать следующим образом:
а) «Оранжевая книга» не дает ответа на вопрос, в какой степени должна быть защищена та или иная система, т е. не обеспечивается привязка классов критериев к требованиям защиты обрабатывающих средств, испытывающих различные степени риска;
б) имеющиеся технологии оценки риска не адекватны моделированию неопределенных угроз, неопределенности воздействия и неопределенности реализации гарантий;
в) анализ применяемых в «Европейских критериях» терминов и определений (гарантированности, корректности, адекватности функциональности, мощности) говорит о приближенном характере их влияния на конечный результат оценки;
г) процессы проектирования и оценки не связаны между собой. В качестве непосредственного предшественника данной работы следует упомянуть работу Трубникова А.Н.. [120]. В этой работе автор проводит обоснование и выбор системы показателей безопасности программного средства. Им синтезирована концептуальная модель безопасности ПС в условиях реализации разрушающих программных воздействий. На ее основе сформирована система показателей безопасности программного средства, включающая 29 показателей. Произведя оценку их комплексного сопоставления, автор предлагает методику формирования интегрального показателя уровня безопасности ПС.
К основным недостаткам существующих работ, посвященных разработке научно-методических основ оценки уровня безопасности специального программного обеспечения, можно отнести:
1) отсутствие попыток унификации принципов расчета предлагаемых показателей, что затрудняет автоматизацию процесса анализа конкретного программного средства;
2) недостаточно четкую классификацию программных средств по конкретным уровням безопасности, привязанным к категориям компьютерных систем, декларированным в руководящих документах.
Похожие диссертации на Научно-методические основы оценки уровня безопасности специального программного обеспечения
Выводы 68
разработки и сопровождения 105
Выводы 107
РАЗРАБОТКА НАУЧНО-МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПО ПРАКТИЧЕСКОЙ ОЦЕНКЕ УРОВНЯ БЕЗОПАСНОСТИ 108
места оператора ПО
автоматизированной оценки безопасности СПО П 6