Требования к архитектуре информационных систем для обеспечения безопасности ее функционирования

Методология анализа защищенности информационной системы

При разработке архитектуры и создании инфраструктуры корпо­ративной ИС неизбежно встает вопрос о ее защищенности от угроз. Решение вопроса состоит в подробном анализе таких взаимно пересе­кающихся видов работ, как реализация ИС и аттестация, аудит и об­следование безопасности ИС.

Основой формального описания систем защиты традиционно счи­тается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие области угроз, защищаемой области и системы защиты. Таким образом, модель может быть представлена в виде трех множеств: множество угроз безопасности, множество объектов (ресурсов) защищенной системы, мно­жество механизмов безопасности. Элементы этих множеств находятся между собой в определенных отношениях, собственно и представляющих систему защиты. Для опи­сания системы защиты обычно используется графовая модель. Но формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенным явля­ется использование неформальных классификационных подходов. Для этого применяют категорирование: нарушителей (по целям, квалифи­кации и доступным вычислительным ресурсам); информации (по уров­ням критичности и конфиденциальности); средств защиты (по функ­циональности и гарантированности реализуемых возможностей); эф­фективности и рентабельности средств защиты и т.п.

Идеология открытых систем существенно отразилась на методологических аспектах и направлении развития сложных ИС. Она базируется на строгом соблюдении совокупности профилей, про­токолов и стандартов де-факто и де-юре. Программные и аппаратные компоненты по этой идеологии должны отвечать важнейшим требо­ваниям переносимости и возможности согласованной, совместной ра­боты с другими удаленными компонентами. Это позволяет обеспечить совместимость компонент различных информационных систем, а так­же средств передачи данных.

При создании сложных, распределенных информационных систем, проектировании их архитектуры, инфраструктуры, выборе компонент и связей между ними следует учитывать помимо общих (открытость, масштабируемость, переносимость, мобильность, защита инвестиций и т.п.) ряд специфических концептуальных требований, направленных на обеспечение безопасности функционирования:

• архитектура системы должна быть достаточно гибкой, т.е. долж­на допускать относительно простое, без коренных структурных изме­нений, развитие инфраструктуры и изменение конфигурации исполь­зуемых средств, наращивание функций и ресурсов ИС в соответствии с расширением сфер и задач ее применения;

• должны быть обеспечены безопасность функционирования сис­темы при различных видах угроз и надежная защита данных от оши­бок проектирования, разрушения или потери информации, а также авторизация пользователей, управление рабочей загрузкой, резерви­рованием данных и вычислительных ресурсов, максимально быстрым восстановлением функционирования ИС;

• следует обеспечить комфортный, максимально упрощенный дос­туп пользователей к сервисам и результатам функционирования ИС на основе современных графических средств, мнемосхем и наглядных пользовательских интерфейсов;

• систему должна сопровождать актуализированная, комплектная документация, обеспечивающая квалифицированную эксплуатацию и возможность развития ИС.

Подчеркнем, что системы безопасности, какими бы мощными они ни были, сами по себе не могут гарантировать надежность программ­но-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развивать­ся и противостоять новым угрозам при сохранении таких свойств. как высокая производительность, простота и удобство использова­ния.

С практической точки зрения обеспечения безопасности наиболее важными являются следующие принципы построения архитектуры ИС:

• проектирование ИС на принципах открытых систем, следование признанным стандартам, использование апробированных решений, иерархическая организация ИС с небольшим числом сущностей на каждом уровне — все это способствует прозрачности и хорошей уп­равляемости ИС;

• непрерывность защиты в пространстве и времени, невозможность преодолеть защитные средства, исключение спонтанного или вызван­ного перехода в небезопасное состояние — при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполня­ет свои функции, либо полностью блокирует доступ в систему или ее часть;

• усиление самого слабого звена, минимизация привилегий досту­па, разделение функций обслуживающих сервисов и обязанностей персонала. Предполагается такое распределение ролей и ответствен­ности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по неведению или заказу злоумышленников. Применительно к программно-техническо­му уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Это позво­ляет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов;

• эшелонирование обороны, разнообразие защитных средств, про­стота и управляемость информационной системы и системой ее безо­пасности. Принцип эшелонирования обороны предписывает не пола­гаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — уп­равление доступом, протоколирование и аудит. Эшелонированная обо­рона способна не только не пропустить злоумышленника, но и в не­которых случаях идентифицировать его благодаря протоколированию и аудиту. Принцип разнообразия защитных средств предполагает со­здание различных по своему характеру оборонительных рубежей, что­бы от потенциального злоумышленника требовалось овладение раз­нообразными и, по возможности, несовместимыми между собой на­выками.

• очень важен общий принцип простоты и управляемости ИС в це­лом и защитных средств в особенности. Только в простой и управляе­мой системе можно проверить согласованность конфигурации различ­ных компонентов и осуществлять централизованное администриро­вание. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставля­ющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Интернет, необходимо заблокировать прямой доступ к ним, посколь­ку в противном случае система будет уязвимой, сложной и плохо уп­равляемой.

Анализ безопасности ИС при отсутствии злоумышленных факто­ров базируется на модели взаимодействия основных компонент ИС (рис. 2). В качестве объектов уязвимости рассматриваются:

- динамический вычислительный процесс обработки данных, ав­томатизированной подготовки решений и выработки управляющих воздействий;

- объектный код программ, исполняемых вычислительными сред­ствами в процессе функционирования ИС;

- данные и информация, накопленная в базах данных;

- информация, выдаваемая потребителям и на исполнительные механизмы.

Полное устранение перечисленных угроз принципиально невоз­можно. Задача состоит в выявлении факторов, от которых они зави­сят, в создании методов и средств уменьшения их влияния на безопас­ность ИС, а также в эффективном распределении ресурсов для обес­печения защиты, равнопрочной по отношению ко всем негативным воздействиям.

Рис. 2. Модель анализа безопасности ИС при отсутствии злоумышленных угроз