2014-02-12
1843
СИСТЕМА ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
Платформа анализа. Модель есть отображение качественных характеристик явлений мира объектов, описываемого физическими законами, в количественные показатели виртуального мира, описываемого логическими законами. Физические законы реальны, их действие проявляется непосредственно в форме состояния объектов реального мира. Логические законы виртуальны, их справедливость устанавливается на основе интерпретации количественных показателей, предсказанных моделированием, в качественные характеристики реального состояния объектов в точке прогноза. Но раз есть интерпретация на выходе модели, то обязательно должна быть интерпретация и на входе. Интерпретация на входе модели задается аксиоматикой моделирования — совокупностью взаимно независимых исходных утверждений, постулатов, правил, задающих процесс моделирования. Если аксиоматика, «вход» модели, адекватна физическому миру, то и результаты моделирования соответствуют практике: модель есть однозначное отображение входа на выход, в том смысле, что любое повторение моделирования с неизменными входными данными приведет к точно таким же результатам. В свою очередь, однозначность модели необходимо влечет конечность аксиоматической базы, иначе это означало бы возможность выполнения бесконечного числа независимых правил в течение конечного времени моделирования, что невозможно. Таким образом, бесконечность качественных и количественных характеристик реальных явлений должна отображаться на входе модели в конечную аксиоматическую базу. Процесс перехода от бесконечности к конечности в общем случае принципиально не формализуется, иначе не существовало бы самого понятия бесконечности. Поэтому любая формальная модель необходимо должна включать в свой состав эвристический компонент — выделение конечного подмножества характеристик моделируемого явления и их интерпретацию в аксиоматическом виде. Это положение кажется очевидным, тем не менее, о нем часто забывают, опуская интерпретацию. Как правило, это проявляется в сочетании в модели строгих понятий математики с неформальными терминами, трактуемыми по умолчанию в достаточно широком диапазоне. В сфере информационной безопасности должна существовать иерархическая система моделей различного уровня. При разработке моделей следует исходить из наличия трех кардинально различных сред существования электронного документа: электронной, аналоговой, социальной. Можно наметить следующие уровни системы моделей: информация, документ, отдельные механизмы защиты информации, защита среды существования, защита электронного взаимодействия. Модели информации должны базироваться на возможности количественного подхода к столь многообразному явлению как информация. Только тогда можно применять количественные оценки, только тогда можно говорить о цифровой информации, которая воспринимается неодушевленными объектами, инструментальными средствами вычислительной техники. Модели документа основаны на признании его социальным явлением, существующим только в рамках общественной среды жизнедеятельности человека. Безразлично, традиционный или электронный документ, необходимыми условиями использования его в качестве информационного факта являются предусмотренные основания для возникновения, изменения, прекращения конкретных право отношений между участниками информационного взаимодействия. Только определив ЭлД, можно переходить к моделям отдельных механизмов защиты информации. В пассивном состоянии (хранение) ЭлД — это элемент пространства — объект, предмет. И с этой точки зрения подобен традиционному документу, «написанному» на поверхности«бумаги», ферромагнитной поверхности диска, невидимыми «чернилами»,биполярной ориентацией магнитных доменов. В активном состоянии (обработка и передача) ЭлД — это процесс, развивающийся во времени.
|
|
|
|
|
|
Модели электронной информации. Модели цифровой информации опираются на ставшие уже классикой общеизвестные работы К. Шеннона, показавшего возможность количественного подхода к информации. К каким парадоксам в электронной среде приводит определение информации как сведения или знания показано выше. Сведение, знание — это сугубо индивидуализированные понятия, неотрывные от воспринимающего субъекта: для кого сведение, а для кого — пустой набор слов. Основная идея Шеннона заключается в объективизации понятия информации. Шеннон обезличил информацию, назвал информацией последовательность сигналов, бит и т. п. с заданной на ней вероятностной мерой. Если вспомнить, что специализацией К. Шеннона была криптография (доклад «Математическая теория криптографии» был им сделан 01.09.45 г.), то подобный подход очевиден. Ведь зашифрованная информация, с позиций обычного человека, есть бессмысленный набор знаков, но никак не сведение или факт. Естественно, что «индивидуальность» множества в таком случае оказывается несущественным фактором, имеют место только абстрактные характеристики. Любая последовательность есть упорядоченное множество, тогда неизменность информации означает, что любые преобразования множества сохраняют отношение порядка, являются изоморфными. Далее, используя чисто формальные математические преобразования, Шеннон приходит к понятиям энтропии, количества информации, совершенной секретности и прочим характеристикам, интерпретация которых имеет прикладное значение. Как правило, именно это ставят ему в заслугу, но исходные постулаты несопоставимо глубже. Электронное взаимодействие вышло на массовый уровень, и подавляющее большинство участников не способно адекватно воспринимать постулаты цифрового отображения информации, противоречащие всему их предыдущему жизненному опыту. В свою очередь, это ведет к поверхностному анализу процессов обеспечения информационной безопасности, не затрагивающему их глубинных основ.48
Модели электронного документа. «ДОКУМЕНТ — материальный объект с зафиксированной на нем информацией в виде текста, звукозаписи или изображения,предназначенный для передачи во времени и пространстве в целях хранения и общественного использования».Приведенное определение традиционного (аналогового) документа связывает в единое целое его пространственные (материальный объект), временные (передача, хранение во времени) и социальные (общественное использование) характеристики. Аналоговый документ практически постоянен во времени, поэтому можно говорить о фиксированности АнД. Документ индицируется как сосредоточенный в конечном объеме пространства и бесконечно малом интервале времени. Используемые способы отображения информации в АнД характеризуются жесткой связью с носителем (бумагой), так что допустимо интерпретировать АнД в течение всего жизненного цикла только как материальный объект. Для электронного документа подобная абсолютизация неприемлема. В пассивном состоянии (хранение) ЭлД есть элемент пространства — объект, и с этой точки зрения подобен традиционному документу. В активном состоянии (обработка и передача) ЭлД — процесс, здесь понятие фиксированности документа бессмысленно, процесс принципиально развивается во времени. Процесс в бесконечно малом интервале времени наблюдения не индицируется. В отличие от АнД, для индикации электронного документа как процесса необходим конечный период наблюдения, но достаточен бесконечно малый объема пространства: достаточен физический контакт с источником сигнала, а объем любого контакта практически равен нулю. Но это не означает, что на практике используется единственный контакт, точка индикации ЭлД. Обычно требуется конечное число контактов, как-то распределенных в пространстве, разумеется, их суммарный объем все равно будет практически нулевым. Так как координаты возможных контактов известны лишь приближенно, в лучшем случае, с точностью до технического устройства, то нельзя ограничиться только временной составляющей ЭлД как процесса. Необходимо рассматривать и пространственный аспект ЭлД, ограничивающий зону возможных контактов. При защите информации, в частности, это приводит к задаче защиты электронной среды как совокупности инструментальных средств, хотя последние инвариантны, не зависят от собственно информации. И, наконец, социальный аспект электронного документа, обусловленный его использованием для регулирования общественных отношений между участниками информационного взаимодействия. Документ, в отличие от сообщения, представляет собой социальное явление, существующее только в рамках общественной среды жизнедеятельности человека. Применение ЭлД в документообороте означает его использование в качестве сообщения о возникновении юридического факта — предусмотренного в законе основания для возникновения, изменения, прекращения конкретных правоотношений между участниками взаимодействия. Социальная среда предъявляет требования, отсутствующие в электронной среде, важнейшие из которых: аутентификация участников взаимодействия, доступность пользователю, конфиденциальность сообщения. Причем выполнение этих требований должно не только обеспечиваться «по умолчанию», но и подтверждаться наличием тех или иных, индицируемых в явном виде, статусных атрибутов электронного документа. Аналогично, показания свидетелей некоторого события становятся юридическим фактом и могут быть использованы в судебной практике только при явном подтверждении предписанной законами технологии и процедур сбора, регистрации, верификации, оглашения и т.д. В настоящее время обмен информацией в электронном виде технически и технологически не представляет принципиальных трудностей. На рынке предлагается множество сопоставимых по качеству инструментальных и программных средств, позволяющих реализовать электронное взаимодействие между удаленными пользователями как в режиме «on-line», так и в режиме «off-line». Однако ситуация кардинально меняется, как только выдвигается требование документированности электронного взаимодействия. Необходимо придать юридический статус некоторому виртуальному объекту, не индицируемому органами чувств человека в пассивной фазе (хранение) жизненного цикла, нефиксированному в активной фазе (обработка и передача), меняющемуся в любой из моментов наблюдения. Удовлетворительные модели электронного документа, отражающие отмеченные аспекты, в доступной литературе найти не удалось. На современном этапе развития электронного взаимодействия разработка подобных комплексных моделей является крайне актуальной задачей.
|
|
|
|
|
|
Модели механизмов защиты информации. Приведем аннотационное описание наиболее часто цитируемых моделей, в том числе: дискреционного, мандатного, дискретного доступа;синхронных и асинхронных распределенных систем; трансформации прав доступа; элементарной защиты; гарантированно защищенной системы;модель изолированной программной среды; субъектно-объектная модель; и др. Модель дискреционного доступа. В рамках модели контролируется доступ субъектов к объектам. Для каждой пары субъект-объект устанавливаются операции доступа (READ, WRITE и др.). Контроль доступа осуществляется посредством механизма, который предусматривает возможность санкционированного изменения правил разграничения доступа. Право изменять правила предоставляется выделенным субъектам. В моделях дискретного доступа рассматриваются отдельные механизмы распространения доступа субъектов к объектам.
Модель мандатного управления доступом Белла—Лападула. Формально записана в терминах теории отношений. Описывает механизм доступа к ресурсам системы, при этом для управления доступом используется матрица контроля доступа. В рамках модели рассматриваются простейшие операции доступа субъектов к объектам READ и WRITE, на которые накладываются ограничения. Множества субъектов и объектов упорядочены в соответствии с их уровнем безопасности. Состояние системы изменяется согласно правилам трансформации состояний. Во множестве субъектов могут присутствовать доверенные субъекты, которые не подчиняются ограничениям на операции READ и WRITE. В таком случае модель носит название модели доверенных субъектов.
Модели распределенных систем (синхронные и асинхронные). В рамках модели субъекты выполняются на нескольких устройствах обработки. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE, которые могут быть удаленными, что может вызвать противоречия в модели Белла — Лападула. В рамках асинхронной модели в один момент времени несколько осубъектов могут получить доступ к нескольким объектам. Переход системы из одного состояния в состояние в один момент времени может осуществляться под воздействием более, чем одного субъекта.
Модель безопасности военной системы передачи данных (MMS-модель). Формально записана в терминах теории множеств. Субъекты могут выполнять специализированные операции над объектами сложной структуры. В модели присутствует администратор безопасности для управления доступом к данным и устройством глобальной сети передачи данных. При этом для управления доступом используются матрицы контроля доступа. В рамках модели используются операции доступа субъектов к объектам READ, WRITE,CREATE, DELETE, операции над объектами специфической структуры, а также могут появляться операции, направленные на специфическую обработку информации. Состояние системы изменяется с помощью функции трансформации.
Модель трансформации прав доступа. Формально записана в терминах теории множеств. В рамках модели субъекту в данный момент времени предоставляется только одно право доступа. Для управления доступом применяются функции трансформации прав доступа. Механизм изменения состояния системы основывается на применении функций трансформации состояний.
Схематическая модель. Формально записана в терминах теории множеств и теории предикатов. Для управления доступом используется матрица доступа со строгой типизацией ресурсов. Для изменения прав доступа применяется аппарат копирования меток доступа.
Иерархическая модель. Формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов. Модель безопасных спецификаций. Формально описана в аксиоматике Хоара. Определяет количество информации, необходимое для раскрытия системы защиты в целом. Управление доступом осуществляется на основе классификации пользователей. Понятие механизма изменения состояния не применяется.
Модель информационных потоков. Формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объекта. Изменением состояния является изменение соотношения между объектами и атрибутами.
Вероятностные модели. В модели присутствуют субъекты, объекты и их вероятностные характеристики. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также имеют вероятностные характеристики.
Модель элементарной защиты. Предмет защиты помещен в замкнутую и однородную защищенную оболочку, называемую преградой. Информация со временем начинает устаревать, т.е. цена ее уменьшается. За условие достаточности защиты принимается превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Вводятся вероятность не преодоления преграды нарушителем P сзи, вероятность обхода преграды нарушителем P обх и вероятность преодоления преграды нарушителем за время, меньшее времени жизни информации P хр. Для введенной модели нарушителя показано, что P сзи = min [(1 – P обх), (1 – P хр)], что является иллюстрацией принципа слабейшего звена. Развитие модели учитывает вероятность отказа системы и вероятность обнаружения и блокировки действий нарушителя.
Модель системы безопасности с полным перекрытием. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описана в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, набор барьеров.
Модель гарантированно защищенной системы обработки информации. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступы к которым не могут привести к утечке информации. Все остальные объекты системы являются порожденными пользователями, каждый пользователь принадлежит множеству порожденных им объектов. При условии, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя; что субъекты имеют доступ только общим ресурсам системы и к объектам, порожденным ими, и при отсутствии обходных путей политики безопасности, модель гарантирует невозможность утечки информации и выполнение политики безопасности.
Субъектно-объектная модель. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделено множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект (объекты), т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект — монитор безопасности субъектов (МБС), который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды. Из упомянутых моделей наибольший интерес представляют дискреционные и мандатные механизмы разграничения доступа (как наиболее распространенные), модель гарантированно защищенной системы (в силу гарантированности) и субъектно-объектная модель(рассматривающая не только доступы, но и среду, в которой они совершаются). Предлагаются следующие исходные понятия для моделирования защиты информации. Сущность, под которой понимается любая составляющая компьютерной системы. С убъект — активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий. Объект — пассивная сущность, используемая для хранения и получения информации. Доступ — взаимодействие между объектом и субъектом, в результате которого происходит перенос информации между ними. Взаимодействие происходит при исполнении субъектами операций. Существуют две фундаментальные операции: чтение — перенос информации от объекта к субъекту; запись — перенос информации от субъекта к объекту. Утверждается, что данные операции являются минимально необходимым базисом для описания моделей, описывающих защищенные системы. Уровень безопасности определяется как иерархический атрибут. Каждый составляющий компонент системы ассоциирован с уровнем безопасности. Даже из столь краткого представления моделей очевидным становится, что они базируются на феноменологическом описании процессов и объектов электронной среды. Исходные понятия даются на эвристическом уровне: есть нечто, понимаемое по умолчанию как электронная информация, или как электронный документ, или как операция, или как процесс в электронной среде и т. д. В формальную модель вводятся полу определенные, расплывчатые понятия социальной среды: «сущность», «субъект», «объект», «доступ», «право»,«полномочие», и т. п. При таком представлении интерпретация моделей и результатов не абсолютна (однозначна), а относительна (многозначна) —допускает широкий диапазон толкований, зависящий от квалификации и подготовки пользователя.
А теперь рассмотрим понятие «несанкционированный доступ — НСД» с позиций математика, программиста и юриста. Для математика несанкционированный доступ непонятен в принципе: либо путь (доступ) из одной вершины графа в другую существует, либо нет, и никаких санкций для этого не требуется. Для программиста НСД означает существование алгоритма инициализации протокола доступа, отличающегося от приведенного в руководстве или инструкции пользователю. Для юриста НСД означает запуск предусмотренного стандартного протокола доступа лицом, не имеющим на то административных полномочий. Для простых моделей подобное допустимо, конкретная интерпретация понятий возможна по умолчанию. Но с ростом сложности моделируемого явления адекватность теряется, и правильно истолковать результаты моделирования может только разработчик, зачастую вкладывающий в трактовку понятий свое индивидуальное видение, в корне отличающееся от канонического определения. Аннотированные модели априорно рассчитаны на применение специалистами с квалификацией, позволяющей им более-менее однозначно трактовать тот сленг, на котором описана модель, понять, что же именно модель уточняет. Преимущество компактности описания достигается за счет узости применения, фактически уточняются свойства и требования к отдельным механизмам защиты информации от несанкционированного доступа (НСД) — основному виду угроз информационной безопасности. До начала моделирования специалист уже представляет конечный результат, его цель — только конкретизация количественного измерения результата. Это эффективно на начальных этапах электронного взаимодействия, когда средства защиты и нападения достаточно очевидны.С качественным ростом сложности вычислительных систем, появлением все более и более изощренных методов и способов атак, эффективность подобных моделей падает. «Смешивание» в единой модели качественно отличающихся сторон электронного взаимодействия — требований аналоговой, цифровой и социальной среды существования документа, — допустимо только на примитивном уровне описания. Существующие модели защиты информации имеют экстенсивный характер, что в перспективе должно негативно сказаться на эффективности их применения. Необходима специализация моделей, учитывающая качественное различие свойств и требований к электронному документу при его переходе на этапах жизненного цикла из одной среды существования в другую.
