Содержание к диссертации
Введение
1. Анализ методов защиты информации в распределенных автоматизированных системах и постановка задачи исследований 14
1.1. Анализ особенностей построения автоматизированных систем и перспективных технологий обработки информации 14
1.1.1. Технология распределенных сетей общего пользования 14
1.1.2. Архитектура и принципы построения распределенных автоматизированных систем 18
1.1.3. Анализ методов корпоративной обработки информации на основе экстранет и интернет технологий 21
1.2. Анализ современных методов и средств защиты информации 25
1.2.1. Краткий анализ механизмов защиты информации в распределенных автоматизированных системах 25
1.2.2. Обобщенная характеристика межсетевых экранов 30
1.2.3. Анализ существующих межсетевых экранов 36
1.3. Особенности построения защищенных виртуальных сетей 39
1.4. Анализ методов обоснования требований по защите информации 50
1.5. Постановка задачи исследований и методическая схема ее решения 55
1.5.1. Формальная постановка задачи 55
1.5.2. Методика проведения исследований 56
Выводы 59
2. Методика обоснования структуры межсетевых экранов для распределенных автоматизированных систем 62
2.1. Математическая модель обработки информации в защищенной виртуальной сети 62
2.1.1. Модель нарушителя 62
2.1.2. Вероятностная модель защиты информации в распределенной автоматизированной системе 64
2.2. Методика обоснования требований к межсетевому экрану 69
2.3. Методика структурно-функционального формирования межсетевого экрана на основе профиля защиты 74
2.3.1. Назначение и условия структурно-функционального формирования межсетевого экрана 74
2.3.2. Метод поэтапной оптимизации структуры межсетевого экрана на основе профиля защиты 74
2.3.3. Операционная схема методики 77
2.4. Базовая модель управления межсетевым экраном в распределенной автоматизированной системе 81
2.4.1. Общие замечания и положения для разработки модели управления 81
2.4.2. Формализованное описание адаптивного управления межсетевым экраном с применением эталонной модели... 82
2.4.3. Определение периодичности функционального контроля состояния межсетевых экранов в распределенной автоматизированной системе 86
Выводы 88
3. Методика обоснования характеристик межсетевых экранов при проектировании виртуальных защищенных сетей 91
3.1. Обоснование системы показателей эффективности обеспечения безопасности распределенной обработки информации с использованием межсетевых экранов 91
3.1.1. Общие принципы обоснования требований к характеристикам межсетевых экранов 91
3.1.2. Обоснование базовой системы показателей эффективности межсетевых экранов 94
3.1.3. Обобщенный алгоритм формирования состава показателей эффективности МЭ 97
3.2. Методика обоснований правил фильтрации и управления потоками информации 101
3.2.1. Формирование множества правил фильтрации пакетов данных 101
3.2.2. Обоснование характеристик аудита и регистрации событий 106
3.3. Методика обоснования характеристик подсистемы управления защищенных соединений 109
Выводы 113
4. Практические рекомендации по созданию защищенных виртуальных сетей 115
4.1. Предложения по типовой структуре межсетевого экрана 115
4.2. Предложения по обеспечению безопасности информации в распределенных автоматизированных системах 123
4.2.1. Обеспечение безопасности распределенной обработки информации на основе Intranet-технологий 123
4.2.2. Защита Extranet — сетей 127
4.3. Оценка эффективности обеспечения безопасности распределенной обработки информации 128
4.3.1. Анализ эффективности применения межсетевых экранов при реализации обобщенных функций обеспечения безопасности распределенной обработки информации 128
4.3.2. Анализ эффекта применения межсетевых экранов в распределенных автоматизированных системах 735
Выводы 138
Заключение 140
Список литературы 145
- Технология распределенных сетей общего пользования
- Краткий анализ механизмов защиты информации в распределенных автоматизированных системах
- Вероятностная модель защиты информации в распределенной автоматизированной системе
- Общие принципы обоснования требований к характеристикам межсетевых экранов
Введение к работе
Информационная безопасность в последнее время становится все более значимой и важной сферой национальной безопасности Российской Федерации. Это обусловлено тем, что информационные системы и ресурсы стали активно использоваться в промышленности, экономике, и других сферах деятельности. В утвержденной Президентом Российской Федерации Доктрине информационной безопасности Российской Федерации [48,49] выделяются четыре вида угроза информационной безопасности Российской Федерации:
угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России.
угрозы информационному обеспечению государственной политики Российской Федерации;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных и информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Данная работа посвящена совершенствованию научно-методической базы обеспечения информационной безопасности по предотвращению угроз четвертого вида.
В настоящее время автоматизированные системы (АС) различного назначения создаются с использованием методов распределенной обработки информации типа Extranet и Intranet. Сложная организация сетей и использование в них многочисленных вариантов платформ операционных систем UNIX, MS-DOS, MS Windows, Macintosh System, NetWare, а также множество вариантов сетевых протоколов TCP/IP, VMS, MVS и т.д., приводит к значительному упрощению несанкционированного доступа (НСД) к информации.
Необходимо отметить, что решение проблемы обеспечения безопасности распределенной обработки информации существенно усложняется при интеграции разнородных локальных вычислительных сетей (ЛВС) в единую систему. Это связано со сложностью решения проблемы централизованного управления доступом к разнородным ресурсам АС, ошибками при проектировании сервисов TCP/IP, конфигурировании хостов,
а также известными недостатками сервисов TCP/IP, широко используемых при организации удаленного доступа: SMTP, telnet, FTP, DNS, gopher, WAIS, WWW, NFS,NIS, Xwindows, г-сервисов.
При этом под безопасностью информации понимается такое состояние данных, при котором невозможно их случайное или преднамеренное раскрытие, изменение или уничтожение.
В этих условиях обеспечить безопасность информации возможно только при условии принятия специальных мер, и, прежде всего, осуществления контроля доступа к информационно-вычислительным ресурсам и шифрования информации, передаваемой по каналам передачи данных. Однако большинство находящихся сейчас в эксплуатации операционных систем, как автономных, так и сетевых, были разработаны без учета требований по защите информации. Поэтому они оказались либо вообще незащищенными, либо средства защиты и контроля доступа в них играют роль дополнений к исходной системе.
Данный вывод подтверждается многочисленными фактами успешной реализацией НСД к ресурсам зарубежных и отечественных корпоративных и распределенных автоматизированных систем ( Табл. 1).
Самый перспективный в этих условиях метод обеспечения безопасности распределенной обработки информации является использование межсетевых экранов (МЭ) и технология построения виртуальных сетей.
Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и / или выходящей из АС.
тября строя значительная часть американской компьютерной сети,
2001 г. функционирующей под управлением Пентагона и НАС А. Эта сеть обеспечивает глобальный спутниковый мониторинг, и предназначена, прежде всего, для целей ПВО. Именно поэтому американские ВВС ничего не смогли сделать с угнанными самолетами - их
просто никто не «видел»
2001 В 2001 году архив , собирающий статистику о взломах Web -сайтов, разместил информацию о дефейсе (изменении внешнего вида и содержания главной страницы сайта) 22379 сайтов, что в пять раз превышает число «обезображенных» (4393) за
12000 год
Табл. 1.
Межсетевой экран обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя, таким образом, разграничение доступа субъектов из одной ЛВС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола».
Следовательно, научные исследования методов, моделей и алгоритмов обоснования требований к средствам защиты информации и, в частности, к МЭ для распределенных автоматизированных систем с учетом современных методов обработки информации типа Extranet и Intranet являются АКТУАЛЬНЫМИ и СВОЕВРЕМЕННЫМИ.
Данный вывод подтверждается и анализом существующих научно-технических публикаций, посвященных обеспечению безопасности распределенной обработки информации в распределенных АС.
Наиболее полные теоретические исследования проблем обеспечения безопасности информации выполнены в работах Герасименко В.А. (МИФИ) [4] и УхлиноваЛ.М [50]. В этих работах разработаны концепция защиты информации, определяющая задачи и методологию обеспечения безопасности информации в АС обработки данных и управления, принципы реализации управляемых процессов обеспечения безопасности информации, а также обоснована необходимость создания отдельной подсистемы управления безопасностью информации в виде иерархической системы автоматизированных рабочих мест безопасности на объектах АС управления.
1 о
Кроме работ Герасименко В.А. и Ухлинова Л.М, к направлению теоретических исследований можно отнести работы Конявского В. А. (ВНИИПВТИ) [10, 11], в которых обосновываются принципы построения систем защиты информации объектов информатизации и электронных документов на основе построения изолированной программной среды с использованием программно-аппаратных средств защиты информации, а также работы ШураковаВ.В.[57], Хоффмана Л.Дж. [53], посвященные рассмотрению принципов построения систем защиты, методов и мероприятий по обеспечению сохранности информации в системах ее обработки. Однако разработанные методы и алгоритмы позволяют обеспечить безопасность информации только в замкнутых АС, не использующих для передачи информации сети общего пользования.
Теоретические исследования методов контроля доступа к ресурсам АС безусловно имеют важное значение для определения общей стратегии защиты информации в создаваемой системе. Однако теоретическое описание методов контроля доступа не всегда позволяет сформулировать требования к их реализации в виде программно-аппаратных средств защиты информации (далее - СЗИ), тем более для распределенных АС. Данное обстоятельство несколько ограничивает возможность использования научных работ этой группы на этапе обоснования характеристик МЭ при их проектировании.
Подавляющее большинство научных работ в области обеспечения безопасности информации содержит описание СЗИ безотносительно к условиям их применения. Наиболее полно СЗИ рассмотрены в книге одного из участников разработки международного Проекта COST-11 «Механизмы защиты вычислительных сетей» С. Мафтика [15]. Однако авторы Проекта после его завершения вынуждены были признать, что ряд научных направлений требует более глубокой проработки. Одним из таких направлений является разработка средств фильтрации потоков и установления защищенных соединений.
К этому же классу работ могут быть отнесены работы Тимофеева Ю.А. (НИИ «Квант») [47], КазаринаО.В. [9, 52], и Скибы В.Ю. [29, 30, 31], Курилы А.П. [12] и Щербакова А.Ю. [56] (Банк России). Работы данных авторов рассматривают отдельные аспекты защиты информации без учета необходимости решения задач контроля доступа к информационно-вычислительным ресурсам и установления защищенных соединений при распределенной обработки информации.
Таким образом, можно сделать вывод об отсутствии в настоящее время методов, моделей и алгоритмов обоснования требований к МЭ, применение которых позволяет повысить эффективность защиты за счет реализации научно-обоснованного управления правилами фильтрации и установления защищенных соединений при использовании современных методов распределенной обработки информации.
Данный вывод обусловил необходимость постановки и решения НАУЧНОЙ ЗАДАЧИ по разработке комплекса прикладных инженерно-технических методик обоснования требований к межсетевым экранам.
ЦЕЛЬЮ данной работы является уменьшение вероятности НСД при распределенной обработке информации на основе Intranet- и Extranet-технологий в глобальных корпоративных вычислительных сетях за счет применения межсетевых экранов.
ОБЪЕКТОМ ИССЛЕДОВАНИЙ данной работы являются методы распределенной обработки информации на основе Intranet- и Extranet технологий, а ПРЕДМЕТОМ - методы обеспечения сетевой безопасности в глобальных корпоративных вычислительных сетях при межсетевом информационном взаимодействии.
ОСНОВНЫМИ РЕЗУЛЬТАТАМИ исследований являются:
Методика структурно-функционального формирования межсетевого экрана на основе профиля разграничения доступа.
Базовая модель удаленного управления межсетевым экраном в распределенной автоматизированной системе.
Методика обоснования правил фильтрации и управления потоками информации.
Методика обоснования характеристик протокола установления защищенных соединений.
Практические рекомендации по созданию унифицированной технологии построения защищенной виртуальной сети на основе типовой структуры межсетевого экрана.
НАУЧНАЯ НОВИЗНА диссертации заключается в том, что предложено при формировании структуры межсетевых экранов использовать метод структурно-функционального формирования на основе профиля разграничения доступа при межсетевом взаимодействии с последующим обоснованием характеристик экрана на основе метода двухэтапной вариантной оптимизации.
НАУЧНАЯ ЗНАЧИМОСТЬ работы состоит в развитии теории обеспечения информационной безопасности в части разработки методик обоснования структур и характеристик межсетевых экранов для распределенных автоматизированных систем.
ПРАКТИЧЕСКАЯ ЗНАЧИМОСТЬ диссертации заключается в том, что разработанные методики, модели и алгоритмы позволяют уменьшить вероятность НСД в автоматизированных системах за счет учета на этапе обоснования требований к межсетевым экранам особенностей технологий распределенной обработки информации в глобальных корпоративных вычислительных сетях.
СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ. Диссертационная работа состоит из введения, четырех разделов, заключения и списка литературы.
Работа изложена на 148 листах машинописного текста (включая 28 рисунков, 9 таблиц и список литературы из 62 наименований).
ПЕРВАЯ ГЛАВА содержит обоснование роли и места МЭ для обеспечения безопасности распределенной обработки информации на основе Intranet- и Extranet-технологий, анализ современных методов защиты информации, методов, моделей, алгоритмов и существующих программно-аппаратных СЗИ, а также методов обоснования требования к ним. На основе выводов, сделанных по результатам анализа, сформулирована формальная постановка решаемой в диссертации научной задачи.
ВТОРАЯ ГЛАВА посвящена разработке комплекса моделей и прикладных методик обоснования структуры МЭ. В разделе обоснован состав обобщенных функций обеспечения безопасности при распределенной обработке информации и разработана вероятностная модель исходов при их реализации. В основу обоснования структуры МЭ положен метод аппроксимационной схемы многоступенчатой оптимизации вариантов структур. Разработанная базовая модель управления МЭ предусматривает решением двух классов задач управления: оперативных и нормативных задач управления.
В ТРЕТЬЕЙ ГЛАВЕ на основе анализа общих принципов обоснования требований к системам защиты информации уточнен состав системы показателей эффективности обеспечения безопасности распределенной обработки информации. Показано, что для определения значимости показателей целесообразно использовать их декомпозицию на функциональные, оперативные, экономические показатели, а также на показатели надежности и критичности. Разработан обобщенный алгоритм формирования дерева показателей для различных условий реализации МЭ. Полученные результаты исследований позволили разработать методику обоснования правил фильтрации и управления потоками и методику обоснования характеристик протоколов установления защищенных соединений.
В ЧЕТВЕРТОЙ ГЛАВЕ на основе разработанного комплекса
прикладных методик обоснованы практические рекомендации по структуре
типового МЭ, типовым схемам обеспечения безопасности информации для
Extranet- и Intranet-технологий. В разделе также проведен анализ результатов
экспериментальных исследований эффективности применения
обоснованных автором практических рекомендаций по обеспечению безопасности распределенной обработки информации.
Диссертационная работа является итогом научных исследований, проведенных автором в период с 1997 по настоящее время. В работе поставлена и решена актуальная научная задача разработка комплекса прикладных инженерно-технических методик обоснования требований к межсетевым экранам, обеспечивающих уменьшение вероятности НСД к
информации при ее распределенной обработки в автоматизированных системах с использованием Intranet- и Extranet-технологий.
Решение данной задачи позволяет повысить вероятностно-временные характеристики обеспечения безопасность распределенной обработки информации от 15% до 40% в зависимости от используемых технологий и методов обработки, причем суммарный вклад МЭ, с обоснованной структурой и характеристиками, в обеспечение безопасности распределенной обработки информации составляет около 23%.
Достоверность полученных результатов обеспечивалась обоснованным выбором исходных данных, основных допущений и ограничений, использованных при проведении экспериментов, а также применением современного, апробированного математического аппарата моделирования сложных технических систем.
Разработанные в диссертации прикладные методики, модели, методы и алгоритмы обоснования структуры и характеристик МЭ для распределенных АС реализованы:
- при обосновании требований к системам защиты информации
перспективных средств автоматизации деятельности региональных
подразделений Центрального банка Российской Федерации (Акт от
__. № );
- и в учебном процессе в Московском государственном техническом
университете им. Н.Э. Баумана (Акт от . . № ).
Результаты работы использовались при выполнении плановых научно-исследовательских и опытно-конструкторских работах Центрального научно-исследовательского и опытно-конструкторского института робототехники и кибернетики, Секции «Информационная безопасность» Российской инженерной академии и Московского государственного технического университета им. Н.Э. Баумана, на которые получены положительные отзывы Заказчика.
АПРОБАЦИЯ И ПУБЛИКАЦИЯ РЕЗУЛЬТАТОВ РАБОТЫ. Научные результаты, полученные в диссертационной работе докладывались на межведомственных и международных научно-технических конференциях, опубликованы в 10 статьях [32-34, 40-46].
В дальнейшем результаты диссертации целесообразно использовать в специализированных организациях Министерства Обороны Российской Федерации, ФАПСИ, Гостехкомиссии России, системе Банка России и промышленности при организации и проведении исследовательских и проектных работ в области обеспечения безопасности информации в распределенных АС различного назначения.
Технология распределенных сетей общего пользования
Появление разнообразных телекоммуникационных технологий создало в последние 10 - 15 лет продуктивную основу для разработки распределенных АС различной мощности и назначения. В настоящее время разработчики АС пришли к единой концепции интегрированной (гибридной) информационно-вычислительной сети (далее - ИВС). Интегрированная ИВС - это совокупность отдельных физических сетей (подсетей), в качестве которых могут выступать и ЛВС объектов распределенных АС, связанных между собой в общую сеть каналами связи и специальными сопрягающими устройствами [6]. Сопрягающие устройство может соединять две или более отдельных сетей и называется межсетевым устройством или шлюзовой станцией (шлюзом). На Рис. 1.1 приведены примеры топологий интегрированных ИВС.
Наибольший интерес для распределенных АС имеют три типичные топологии интегрированных ИВС: с иерархической структурой; с опорной подсетью; со звездообразными соединителями.
Интеграция подсетей, в основном, осуществляется с учетом идеологии ЭМ ВОС по стандартным межсетевым протоколам, основанных на стандартах ISO [60]. Идеология ЭМ ВОС [24] позволяет оконечному пользователю сети (или его прикладным процессам) получить доступ к ресурсам ИВС значительно легче, чем это было раньше. Вместе с тем концепция открытости создает ряд трудностей в организации процесса защиты информации в ИВС. Ранние стандарты ЭМ ВОС практически не учитывали аспекты защиты информации от НСД. С течением времени требование обеспечения безопасности информации и ресурсов сети стало обязательным при проектировании и реализации большинства современных ИВС. С 1986 года при участии МОС, МККТТ и международной электротехнической комиссии были разработаны и приняты: Архитектура безопасности (АБ) ЭМ ВОС [61, 62], справочник по основам аутентификации [58], а также были пересмотрены рекомендации по построению систем обработки сообщений [59].
Помимо этих документов в настоящее время разрабатывается большое количество международных и национальных стандартов, вводящих свойства
В той или иной степени эти стандарты, а также перспективные концепции защиты информации разрабатываются в соответствии с АБ ЭМ ВОС.
Реализация информационной модели предполагает наличие развитой территориально-распределенной корпоративной сети, образуемой локальными вычислительными сетями структурных подразделений компании или организации (например, удаленными сервисными центрами, филиалами, и т.д.) и объединенными с помощью каналов связи и наличие в этой сети компонентов, образующих внешние информационные связи.
Один из возможных вариантов построения такой сети базируется на технологиях распределенных сетей общего пользования, включая Интернет (Рис. 1.2). При этом внешний информационный контур реализуется через прямое подключение к таким сетям, а внутренний использует подобные сети в качестве транспортной среды, т.е. представляет собой виртуальную корпоративную сеть, построенную на базе сети общего пользования.
Основной структурой, объединяющей обычные сети, стала сеть сетей Интернет. В Интернет сегодня включаются не только классические Интернет-сети, использующие протокол IP, но и многие не IP-сети предоставляют услуги Интернет (например, BITnet, Sprint и др.).
В перспективе следует ожидать более широкого применения Интернет в различных организациях в силу следующих причин:
Возможность использования ее в качестве транспортной среды. Особую роль тут может сыграть тот факт, что накладные расходы на коммуникацию по каналам Интернет очень незначительны.
Расширение возможностей информационной базы. Так, во внешнем контуре подключение к Интернет даст возможности ведения информационно-аналитической работы организации с использованием информационных ресурсов сети Интернет. Во внутреннем контуре внедрение Интернет-технологий позволяет организовывать доступ к общим ресурсам, единые системы электронной почты и т.д.
Использование развитых, отработанных и отлаженных технологий. Использование глобальной сети Интернет позволяет применять стандартное, широко (и часто бесплатно) распространяемое клиентское программное обеспечение.
Однако следует отметить, что для любой государственной организации как субъектов государственных органов власти и управления использование Интернет при всей кажущейся простоте и дешевизне оказывается далеко не оптимальным решением, поскольку при применении ее в качестве основы для корпоративной сети передачи данных возникает ряд проблем, связанных с надежностью, доступностью и безопасностью.
Надежность и доступность — ни один поставщик услуг Интернет не сможет с уверенностью сказать, каким именно образом информация будет передаваться по Интернет и, соответственно, на какую реальную пропускную способность можно рассчитывать. Большое количество пользователей Интернет приводит к тому, что даже скоростные магистральные каналы оказываются перегруженными, а реальная скорость передачи информации - низкой. Кроме того, не существует никаких гарантий работоспособности сети в целом - Интернет представляет собой очень сложную структуру, где доставка информации обеспечивается не только маршрутизаторами, через которые непосредственно проходят данные, но и рядом других служб, которые могут быть расположены в совершенно иных фрагментах сети. Поскольку операторы узлов сети не несут никакой ответственности ни друг перед другом, ни перед пользователями, вероятность сбоев и отказов достаточно велика.
Безопасность - непредсказуемость путей информации между множеством независимых узлов Интернет не только повышает риск того, что данные станут доступными посторонним, но и делает невозможным определение места утечки информации. Другой аспект проблемы безопасности связан с децентрализованностью.
Краткий анализ механизмов защиты информации в распределенных автоматизированных системах
Для защиты серверов сети Интранет необходимо организовать некоторую комбинацию фильтрующих маршрутизаторов, брандмауэров, proxy-серверов и модемов для доступа по телефонным линиям, которые все вместе формируют «шлюз» в корпоративную сеть. Можно использовать эти устройства защиты на предприятии и в тех случаях, когда требуется оградить информацию некоторых подразделений от других подразделений или партнеров, связанных через глобальную сеть, для которой открыты определенные сегменты корпоративной сети.
Многие администраторы предпочитают устанавливать фильтрующие маршрутизаторы перед брандмауэрами уровня приложения и proxy-серверами, чтобы воспользоваться дополнительными возможностями этих технологий. По оценкам компании Check Point Software основными преимуществами фильтрующих маршрутизаторов (перед брандмауэрами прикладного уровня) являются производительность, надежность и простота установки и администрирования. Программные брандмауэры, которые функционируют в операционных системах общего назначения, таких как Unix и Windows NT, предусматривают больше возможностей конфигурации. Следовательно, большее число сотрудников может внести ошибку. Тем не менее, брандмауэры прикладного уровня могут выполнять более сложные проверки надежности и контроля.
Вне зависимости от того, насколько совершенны брандмауэры, они не выполнят своей задачи, если управление доступом будет не очень хорошо продумано. Существуют различные подходы к выработке политики защиты при помощи брандмауэров. Некоторые эксперты советуют администраторам сетей Интранет блокировать доступ из Internet к любой службе или серверу, для которых заранее точно не установлены условия открытого доступа в соответствии с политикой безопасности организации. Другие, учитывая открытый характер среды Internet, утверждают, что надо блокировать удаленный доступ лишь к критически важным серверам баз данных сети Интранет или даже - исключительно при явном нарушении защиты.
Одна из традиционных проблем - недостаточная интеграция брандмауэров с другими сетевыми и компьютерными системами защиты. Ведущие производители брандмауэров решают этот вопрос, устанавливая открытые оболочки управления, в состав которых входят API и языки создания сценариев, которые предназначены для усиления интеграции с инструментальными средствами независимых производителей. Например, Open Platform for Security Enterprise Connectivity компании Check Point Software и Enterprise Security Architecture компании Cisco позволяют обеспечить централизованное управление защитой с консоли управления. Обе компании привлекли на свою сторону немало производителей систем защиты, в том числе поставщиков фильтрующих маршрутизаторов, систем аутентификации, наделения полномочиями, шифрования, обнаружения вторжения, проверки наличия вирусов, анализа событий и генерации отчетов. Если указанные оболочки защиты сети Интранет будут широко использоваться производителями систем защиты, они смогут обеспечить реакцию в режиме реального времени при нарушении защиты (к примеру, при попытке не имеющих полномочий пользователей получить доступ к критически важным Web-серверам) на любом из корпоративных брандмауэров. Затем брандмауэр будет динамически изменять управление доступом, чтобы не пропустить нарушителя. Брандмауэр также мог бы динамически вызывать соответствующие средства защиты, такие как аплеты Java и модули, определяющие наличие вируса, для разрешения этой проблемы. Другими словами, фильтрация и правила, используемые для проверки надежности защиты периметра сети Интранет, могли бы изменяться в реальном времени - в зависимости от происходящих событий.
Учитывая насущность проблемы защиты сетей, использующих протоколы TCP/IP, Гостехкомиссия России 25.06.97 издала руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» [28] (далее - «РД к МЭ») как дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» [27] и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требовании но защите информации» [25] (далее - «РД к АС»).
В «РД к МЭ» межсетевые экраны определяются как «локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из АС. Межсетевой экран обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя, таким образом, разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола».
Обычно МЭ защищают внутреннюю ЛВС организации от «вторжения» из Интернет. Однако они могут использоваться и для защиты от «нападения», например, из корпоративной интрасети, к которой подключена ЛВС. Как и в случае реализации любого другого механизма сетевой защиты, при разработке конкретной политики безопасности, кроме всего прочего, необходимо определить тип трафика TCP/IP, который будет восприниматься МЭ как «авторизованный». Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Выработка политики безопасности позволит выяснить, какие компоненты МЭ необходимы и как их сконфигурировать, чтобы обеспечить заданные ограничения доступа.
Вероятностная модель защиты информации в распределенной автоматизированной системе
Одним из важнейших условий обеспечения безопасности распределенной обработки информации является постоянное совершенствование средств и механизмов контроля доступа, и в первую очередь МЭ. Основной особенностью комплексного подхода к обеспечению безопасности является как можно более полная разработка общеметодологических, организационных и системно-технических вопросов с максимальной типизацией и стандартизацией решений по архитектуре МЭ и технологии его функционирования [4, 16, 52].
Создание типового МЭ и типовой технологии его функционирования возможно при структуризации его основных элементов и технологических процессов функционирования, что, в свою очередь, создает объективные предпосылки для обоснования требований к конкретным МЭ путем генерирования тех типовых решений по структуре МЭ, которые наилучшим образом удовлетворяют конкретным целям, условиям и требованиям объекта. Выбор необходимых элементов МЭ, технологии его функционирования и управления для конкретной распределенной АС нуждается в отладке и привязке к организационному построению этой АС и к условиям ее функционирования.
Обоснование структуры МЭ может осуществляться в различных условиях, причем на различие этих условий определяющее влияние оказывают следующие два параметра: - первый - состояние АС, для которой обосновывается структура МЭ, - второй - уровень затрат, выделяемый на создание МЭ.
По первому параметру можно выделить три различных состояния АС: создается, функционирует и совершенствуется или реорганизуется. Уровень затрат либо ограничен проектным заданием (т.е. затраты на МЭ определены на начальной стадии и ограничены), либо затраты будут определяться в процессе разработки и реализации МЭ и поэтому, с точки зрения обоснования его структуры, являются неограниченными.
На основе модели нарушителя и вероятностной модели, рассмотренных в п. 2.1, разработана методика обоснования требований к МЭ. Обоснование требований к МЭ заключается в том, чтобы для конкретной распределенной АС (или ее проекта) создать оптимальные механизмы предотвращения НСД к информационно-вычислительным ресурсам и механизмы управления ими с использованием средств обеспечения безопасности межсетевого взаимодействия. Предлагаемая автором методическая схема обоснования структуры СКД к ресурсам ИВС вполне вписывается в общую методологию синтеза сложных систем [55].
Первый этап методики посвящен предварительному обследованию автоматизированной системы и необходимости применения в ней МЭ, в процессе которого составляются краткие характеристики системы с точки зрения обеспечения безопасности распределенной обработки информации. На данном этапе выполняется анализ состава и содержания конфиденциальной информации, определяются и описываются объекты защиты (информационно-вычислительные ресурсы, АРМ абонентов ИВС, рабочие станции, сетевые средства вычислительной техники и связи и т.д.) и производится оценка уязвимости информации и потенциальных угроз осуществления НСД. Результатом первого этапа является принятие решения на разработку МЭ.
Вторым этапом методики является формулирование концептуальных положений по построению МЭ. Целью данного этапа является: - обоснование требований по обеспечению безопасности распределенной обработки информации; - обоснование функций и задач МЭ в распределенной АС; - определение принципа разграничения межсетевых информационных потоков, фильтрации информационных потоков и разработка формальной модели безопасности.
Обоснование требований учитывает множество факторов: от целевого назначения распределенной АС до характеристик обрабатываемых данных и режимов эксплуатации технических средств. Обоснование функций и задач МЭ является одной из центральных задач, подлежащих решению в процессе формирования (проектирования) структуры МЭ. Объясняется это тем, что функции являются тем компонентом обеспечения безопасности информации, который позволяет обосновано решить вопрос о создании оптимального МЭ, а задачи - тем компонентом, который обеспечивает выбор рациональных путей осуществления функций обеспечения безопасности распределенной обработки информации. Обоснование функций и задач МЭ производится на основе вероятностной модели исходов, возможных при решении обобщенных функций обеспечения безопасности распределенной обработки информации, предложенной автором в подразделе 2.1. Вопросы определения принципа разграничения межсетевых информационных потоков, фильтрации информационных потоков более подробно будут рассмотрены в подразделе 3.2. Вопросы разработки формальных моделей безопасности для ИВС и распределенных АС достаточно подробно и всесторонне исследованы в работе [50].
Следующим этапом методики является синтез структуры МЭ. В соответствии с общими принципами синтеза структур сложных систем [55] и современными тенденциями и методами обеспечения безопасности распределенной обработки информации (п. 1.2.1) можно разделить на следующие составляющие: - структурно-функциональное формирование МЭ (определение оптимального состава и взаимосвязей элементов МЭ, оптимальное разбиение множества управляемых объектов на отдельные подмножества, обладающие заданными характеристиками связей и т.д.); - синтез системы управления МЭ: - выбор принципов организации управления МЭ (согласование целей элементов МЭ, распределением прав и ответственности, созданием контуров принятия решений по фильтрации потоков информации и т.д.); - оптимальное распределение выполняемых функций между администратором безопасности и программно-аппаратными средствами МЭ; - выбор организационной иерархии МЭ.
Следующий этап - анализ характеристик и определение эффективности МЭ - заключается в обосновании системы показателей эффективности, характеризующих потенциальные и динамические свойства МЭ. Задача обоснования системы показателей эффективности для конкретного МЭ будут рассмотрены в подразделе 3.1 данной диссертационной работы. При определении эффективности МЭ необходимо провести оценку его характеристик и оценку защищенности ресурсов ИВС в условиях решения выбранных функций и задач обеспечения безопасности распределенной обработки информации, а также сравнить полученные оценки защищенности с требуемыми (при этом необходимо учитывать и стоимостные расходы на создание МЭ). Результаты данного этапа являются исходными данными для следующего этапа обоснования структуры МЭ.
В случае неудовлетворительных характеристик МЭ, на этапе обоснования необходимости уточнения и оптимизации структуры МЭ определяются причины недостаточного обеспечения безопасности распределенной обработки информации и осуществляется выбор рационального варианта уточнения задания на синтез структуры МЭ. После этого осуществляется возврат на этап синтеза структуры МЭ.
Последним этапом методики обоснования требований к МЭ является принятие решения на разработку и реализацию МЭ с выбранной структурой.
Таким образом, в данном подразделе автором решена частная научная задача по разработке методики обоснования требований к МЭ для распределенной АС. Предложенная методика обоснования требований к МЭ формализует процесс обоснования структур МЭ для заданной АС и позволяет синтезировать оптимальную структуру МЭ, которая обеспечивает поддержание требуемого уровня защищенности обрабатываемой в распределенной АС информации и удовлетворяет заданным требованиям к реализации функций обеспечения безопасности распределенной обработки информации.
Общие принципы обоснования требований к характеристикам межсетевых экранов
Система показателей эффективности обеспечения безопасности распределенной обработки информации является основой для формирования требований к характеристикам МЭ. В общем случае требования к характеристикам МЭ подразделяются на требования к составу и значениям показателей эффективности обеспечения безопасности распределенной обработки информации и требования к процессу создания МЭ. Общим требованием к МЭ является требование к обеспечению эффективности выполнения функциональной задачи. Общесистемное требование по эффективности выполнения задач обеспечения безопасности распределенной обработки информации декомпозируется в форме номенклатуры показателей эффективности МЭ, которые отражают отдельные свойства МЭ и реализацию этих свойств в конкретных режимах функционирования.
Состав показателей эффективности и характеристик конкретного МЭ, заданный в техническом задании или в тактико-технических требованиях (технических условиях), используется на всех этапах жизненного цикла, начиная от этапа технического обоснования распределенной АС и до ее внедрения в эксплуатацию. Результаты оценок эффективности МЭ представляются заказчику для подтверждения выполнения определенных этапов разработки МЭ.
Процесс формирования требований к показателям эффективности функционирования и характеристикам МЭ представляет собой комплекс процедур определения состава и требуемых значений показателей эффективности обеспечения безопасности распределенной обработки информации для конкретной АС в заданных условиях функционирования, а также выработки рекомендаций по их контролю.
Требования к показателям эффективности и характеристикам МЭ формируются на основе соответствующего фрагмента методики формирования технических требований заказчика к средствам обеспечения безопасности распределенной обработки информации и процедуры формирования состава показателей эффективности и характеристик в техническое задание на разработку МЭ. При этом формирование состава показателей эффективности и характеристик МЭ включает три основные стадии:
1. Задание количественного значения целевой характеристики МЭ.
2. Выбор критериев и метрик показателей эффективности и определение их весовых коэффициентов. Числовые значения весовых коэффициентов на этапе формирования ТТТ к контролю доступа показывают не степень достижения какого-то свойства СКД, а демонстрируют значимость того или иного показателя при создании СКД.
3. Ранжирование критериев и метрик СКД по весовым коэффициентам и проверка соответствия заданной номенклатуры показателей эффективности требованиям к защите ресурсов ИВС от НСД (проверка степени удовлетворения требований к контролю доступа).
В целом процесс формирования дерева показателей эффективности МЭ аналогичен формированию показателей эффективности программных средств и сводится к следующему:
1. Проводится анализ нормативно-технической документации по оценке защищенности информации от НСД, существующей номенклатуры показателей эффективности обеспечения безопасности распределенной обработки информации, разработанных критериев и методик оценки, а также методик контроля значений показателей эффективности на всех этапах жизненного цикла МЭ.
2. Выделяется доминирующий фактор (или доминирующие факторы) обеспечения безопасности распределенной обработки информации в данных условиях функционирования в зависимости от структуры АС и специфики обрабатываемой информации. Как уже отмечалось в п. 3.1.2 выделяются следующие пять базовых характеристик эффективности МЭ: - функциональная пригодность - Rf; - оперативность - R - практичность - Rp; - надежность - Rn; - экономичность - R .
Значению каждой характеристик ставится в соответствие определенный рейтинг создаваемого МЭ (высокий, средний, низкий). Каждому уровню рейтинга соответствует свой уровень сложности МЭ и его определенные функции. Нормативное значение характеристик(и) МЭ задается в числовом выражении.
3. Определяются критерии оценки для каждой характеристики: - Rf (функциональность) - вероятность НСД к ресурсам, обеспечиваемый уровень и класс защищенности и т.д.; - Rn (надежность) - надежность работы МЭ в течении заданного времени, вероятности компрометации и восстановления ключевых параметров и т.д.; - Ro (оперативность) - время установления защищенного сеанса, пропускная способность, время идентификации и аутентификации пользователей и т.д.; - Rp (практичность) - аппаратная сложность, диагностируемость, тестируемость, взаимозаменяемость и т.д.; - Rg (экономичность) - стоимость разработки и эксплуатации МЭ, загрузка ИВС служебными сообщениями и т.д.
На этапе формирования требований к характеристикам МЭ каждый выбранный критерий оценивается весовым коэффициентом К;), где і -порядковый номер показателя эффективности, j - порядковый номер метрики.
4. Выбираются метрики для каждого критерия со своими весовыми коэффициентами М„ь, где п - порядковый номер критерия, а к - порядковый номер метрики.
5. Ранжируется выбранная номенклатура показателей эффективности по рейтинговым уровням характеристик МЭ (высокому, среднему, низкому) в соответствии с суммарными значениями весовых коэффициентов критериев и метрик (Рис. 3.2). Производится сверка удовлетворения требований к характеристикам МЭ по выбранной номенклатуре показателей и установленному заказчиком уровню их значений.
6. Подготовка контрольного варианта состава показателей эффективности и характеристик для конкретного компонента МЭ.
Таким образом, можно сделать вывод. Обобщенный алгоритм формирования состава показателей эффективности МЭ позволяет для заданных условий функционирования распределенной АС и применения разрабатываемого МЭ определить номенклатуру показателей эффективности, а также критерии и метрики их контроля для формирования технического задания (технических условий) на разработку МЭ. При этом для определения значимости показателей целесообразно использовать их декомпозицию на функциональные, оперативные, экономические показатели, а также на показатели надежности и критичности. Рассмотренная номенклатура показателей эффективности обеспечения безопасности распределенной обработки информации не исчерпывает все возможные характеристики МЭ. При обосновании структуры и характеристик МЭ в зависимости от заданных условий применения, специфики защищаемой информации и структуры распределенной АС возможна более глубокая детализация и предъявление требований к характеристикам МЭ.
