Системный анализ. 2009_Ракитов АИ и др_Системный анализ и аналитические исследован. Руководство для профессиональных аналитиков москва 2009 rv удк 001. 51 Ббк72 с 40
Скачать 2.27 Mb.
|
1. Прикладная программа 2. Сетевой клиент рабочей станции 3. Локальная ОС 5 . Транспортный уровень 6. Криптомодуль наложенный 7. Сетевая ОС Рис. 29. Встраивание средств криптозащиты транспортного уровня 435 4. Криптомодуль встроенный Криптографическая защита информации на прикладном уровне (или криптографическая защита прикладного уровня) - такой порядок проектирования, реализации и использования криптографических средств, при котором входная и выходная информация и, возможно, ключевые параметры принадлежат потокам и объектам прикладного уровня. Информация, находящаяся на нижестоящих иерархических уровнях (далее используется термин «нижестоящие уровни») относительно объекта прикладного уровня, представляет собой подобъекты данного объекта (его составные части). Только на прикладном уровне возможна персонализация объекта, т.е. однозначное соответствие созданного объекта породившему его субъекту (субъектом прикладного уровня является, как правило, прикладная программа, управляемая человеком-пользователем). В то же время необходимо отметить, что логическая защита вышестоящего уровня наследуется нижестоящими. Поясним данное свойство примером. Предположим, на прикладном уровне зашифровано поле базы данных. При передаче информации по сети происходит ее преобразование на нижестоящий сетевой уровень. При этом поле будет передано в зашифрованном виде, разобщено на последовательность пакетов, информационное поле каждого из которых также зашифровано, и затем передано по транспортной системе локальной или глобальной телекоммуникационной сети в виде датаграмм с зашифрованным информационным полем. Адрес при этом не будет закрыт, поскольку субъект нижестоящего уровня, который произвел декомпозицию, не имеет информации о функции преобразования объекта. Это показывает, что криптографическая защита объекта прикладного уровня действительна и для всех нижестоящих уровней. Таким образом, при защите информации на прикладном уровне процедуры передачи, разборки на пакеты, маршрутизации и обратной сборки не могут нанести ущерба конфиденциальности информации. Особенностью существования субъектов-программ прикладного уровня, а также порождаемых ими объектов, является отсутствие стандартизованных форматов представления объектов. Более того, молено утверждать, что такая стандартизация возможна лишь для отдельных структурных компонент субъектов и объектов прикладного уровня (например, типизация данных в транслируемых и интерпретируемых языках программирования, форматы результирующего хранения для текстовых редакторов и др.). Субъекты и объекты прикладных систем создаются пользователем, и априорно задать их структуру не представляется возможным. Существует два подхода к реализации криптографических функций на прикладном уровне. Первый подход связан с реализацией функций криптографической защиты в отдельном субъекте- программе (например, после подготовки электронного документа в файле активизируется программа цифровой подписи для подписания данного файла). Данный подход получил также название абонентской зашиты, поскольку активизация программы производится конечным пользователем-абонентом. Мы упоминали об этом подходе, когда рассматривали защищенную электронную почту. Первый подход отличается простотой реализации и применения. Второй подход связан с вызовом функций субъекта непосредственно из программы порождения защищаемых объектов и с внедрением криптографических функций непосредственно в прикладную программу. В связи с этим современные информационные технологии предполагают более широкое использование второго подхода, хотя при этом применяются различные технические решения. Сравним оба подхода в таб. 23. 436 437 Таблица 23 Первый подход Второй подход Сопряжение с прикладной подсистемой На этапе эксплуатации На этапе проектирования и разработки Зависимость от прикладной системы Низкая Высокая Локализация защищаемого объекта Внешняя (относительно защитного модуля и прикладной программы) Внутренняя (защита внутреннего объекта прикладной программы) Операционная зависимость Полная Неполная Несомненно, что предпочтительным для аналитической подсистемы является реализация криптографических функций на прикладном уровне. При этом всегда можно точно оценить, все ли объекты будут криптографически защищены. Процесс внедрения криптографических механизмов в аналитическую подсистему на языке специалистов- криптографов называется встраиванием. Важной задачей является проверка корректности встраивания криптографических функций в аналитическую прикладную систему. Основным показателем корректности встраивания является использование криптографических механизмов в необходимых местах прикладной системы. Надежный замок должен быть врезан в прочную дверь, а не в стену. 12.5. Процесс построения защищенной компьютерной системы для аналитических исследований Для плодотворной работы системного аналитика необходимо создание компьютерного инструментария. В первую очередь необходимо понять цель и рамки проведения ССИ и выбрать для них соответствующие ресурсы. Далее, необходимо определить, какого рода информация будет анализироваться, обрабатываться и храниться, и выбрать необходимый набор аппаратных и программных средств для реализации поставленных задач. Кратко опишем методологию процесса проектирования защищенной корпоративной КС, предназначенной для проведения ССИ. При этом будем опираться на сформулированные выше утверждения, методы и подходы. Изложенный выше понятийный и методический аппарат позволяет заказчику аналитической системы, эксперту-аналитику, который будет потом ее использовать, «говорить на одном языке» с разработчиками архитектур КС, программистами прикладных аналитических систем и специалистами по безопасности, понимать предложенные ими решения, правильно оценивать реальные параметры защищенной системы, самостоятельно и осознанно применять и совершенствовать организационные и организационно- технические меры безопасности. Первоначально, исходя из назначения аналитической КС, определяются существенно важные элементы, связанные с ее архитектурой, с распределенностью КС, с составом аппаратных компонент, с составом и свойствами «программного наполнения» (в первую очередь свойствами операционных сред КС). Выше мы приводили обобщенную пятизвенную архитектуру аналитической КС. В целом ее можно брать за основу при проектировании, делая необходимые уточнения в конкретных случаях. Например, если аналитическая КС замкнута внутри корпорации и не допускает работу удаленных аналитиков, то звено внешних пользователей не нужно реализо-вывать, что удешевляет стоимость системы и упрощает реализацию функций безопасности для КС в целом. Далее формулируется политика безопасности, реализуемая в КС (состоящая, как было указано, в выборе критерия различения потоков легального и несанкционированного доступа). Затем политика безопасности подвергается коррекции, учитывающей распределенность компьютерной системы. Уточненная политика безопасности подвергается содержательному анализу с целью 438 439 определения ее адекватности целевой функции защищаемой аналитической КС. Надо учитывать, что в современных операционных средах уже существуют мониторы безопасности объектов и мониторы безопасности субъектов, а также криптографические системы, реализующие описанные выше методы защиты объектов. Эти средства называют штатными средствами безопасности операционных сред. Следующей стадией является соотнесение скорректированной политики безопасности с возможностями, реализуемыми штатными средствами операционных сред КС. В результате может возникнуть необходимость приобретения или разработки дополнительных средств безопасности, а возможно, все проблемы безопасности будут решены с использованием штатных средств безопасности операционных сред. Важным вопросом является использование криптографических средств, где в первую очередь необходимо ориентироваться на национальные криптографические средства, одобренные и сертифицированные уполномоченными государственными органами. Необходимо также сделать выводы о субъектном наполнении КС - проанализировать используемые в КС программы и определить их разумный минимум для решения поставленных перед аналитиками задач. Совершенно определенно нельзя допускать одновременной работы практических аналитиков и программистов-разработчиков в одном локальном сегменте КС. Это связано с тем, что программисты работают с нестационарными субъектами и, как правило, нарушают корректность используемого программного обеспечения. Также все программное обеспечение, не связанное с прямой функциональностью аналитической КС, должно быть вынесено за ее рамки. Требуется сформулировать технологию управления КС, уточнить структуры и реализовать субъекты управления, определить вопросы выработки и использования ключей для шифрования и электронной циф- ровой подписи, а также сформулировать необходимые организационно-технические меры безопасности. Затем, как правило, необходим этап опытной эксплуатации КС. К этому моменту КС уже содержит операционные среды, прикладное наполнение со свойствами корректности включенных субъектов и «инфраструктуру» (программы и данные) для управления защитой. Цель этапа опытной эксплуатации - убедиться в выполнении целевой функции КС и встроенных в нее защитных механизмов (т.е. решает ли защищенная КС те задачи, для которых была спроектирована). Наконец, прикладное наполнение КС должно быть замкнуто в изолированную программную среду. При этом либо полноценно реализуется монитор безопасности субъектов, разрешающий порождение только разрешенного списка задач, либо создаются различные выделенные подсистемы (например, межсетевым экраном разделяются внутренний и внешний сегмент КС). Политика безопасности может быть гарантирована и другими способами, зависящими от архитектуры, способа применения и целевой функции конкретной КС. Например, хорошей практикой является использование систем терминального доступа, в которых программное наполнение загружается с сервера и поэтому по определению замкнуто и проверено. Результатом работы является КС (в виде документированного проекта, стенда или макета), предназначенная для выполнения предписанных заказчиком системных исследований целевых функций, имеющая запас по производительности и надежности, в которой гарантированно выполнена заданная политика безопасности. 440 441 Научное издание Рахитов Анатолий Ильич Вондяев Дмитрий Александрович Романов Игорь Борисович Егерев Сергей Викторович Щербаков Андрей Юрьевич Системный анализ и аналитические исследования: руководство для профессиональных аналитиков Художественный редактор Брянцев С.Н. Технический редактор Загрядских СВ. Корректор Мотылев С.С. Подписано к печати 26.01.2009 Формат 60 х 90 Vie- Гарнитура Bookman Old Style Печать офсетная. Бумага офсетная 80 г/м 2 Печ. л. 28 Тип. зак. № 760. Тираж 2000 экз. ООО «Альменда» 119019, Москва, ул. Новый Арбат, д.6 E-mail: info@menswork.ru www.menswork.ru Отпечатано в полном соответствии с качеством предоставленных диапозитивов в ООО «Типография «Возрождение» 117105, Москва, Варшавское шоссе, д. 37А, стр. 2 442 443 |