Реферат: Методические указания по изучению теоретической части Чебоксары 2009 г

ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«ЧУВАШСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

им. И. Н. УЛЬЯНОВА


Технический институт


факультет Дизайна и компьютерных технологий


Кафедра компьютерных технологий


Методы и средства защиты компьютерной информации


Методические указания

по изучению теоретической части


Чебоксары 2009 г.



№

Раздел дисциплины

Основные понятия, определения и соотношения

Страницы учебника [1]

Прим.

1

Роль стандартов и спецификаций. Законодательный уровень ИБ. Обзор российского законодательства в области ИБ. Обзор зарубежного законодательства в области ИБ.

Конфиденциальность, целостность и доступность

Объектно-ориентированный подход

История вопроса

Уровни детализации целей достижения и средств достижения ИБ

Угрозы ИБ

13-22




2

Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт. "Оранжевая книга". Механизмы безопасности. "Оранжевая книга". Классы безопасности. Информационная безопасность распределенных систем. Рекомендации X.800. Сетевые сервисы безопасности. Рекомендации X.800. Сетевые механизмы безопасности Рекомендации X.800. Администрирование средств безопасности.

Оценочные стандарты

Технические спецификации

Оранжевая книга

История

Доверенные системы

Степень доверия

Классы безопасности

Сетевые методы обеспечения ИБ

22-25




3

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий". Основные понятия. Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий". Функциональные требования. Требования доверия безопасности. Гармонизированные критерии Европейских стран. Интерпретация "Оранжевой книги" для сетевых конфигураций

Общие критерия

Задания по безопасности

Профили защиты

Гармонизированные критерии ЕС

Британский стандарт безопасности

25-28




4

Руководящие документы Гостехкомиссии России. Административный уровень информационной безопасности.. Основные понятия. Политика безопасности. Программа безопасности. Синхронизация программы безопасности с жизненным циклом систем. Управление рисками. Основные понятия.

Руководящие документы Гостехкомиссии России.

Классы безопасности




28-36




5

"Общие критерии". История создания и текущий статус "Общих критериев". Основные понятия и идеи "Общих критериев". Основные понятия и идеи "Общей методологии оценки безопасности информационных технологий". Функциональные требования безопасности.. Классификация функциональных требований безопасности. Функциональные требования безопасности.. Классы функциональных требований,. описывающие элементарные сервисы безопасности. "Общие критерии". Функциональные требования безопасности. Классы функциональных требований, описывающие производные сервисы безопасности. Функциональные требования безопасности. Защита данных пользователя. Защита функций безопасности объекта оценки.

Функционалные требования безопасности

Классы функциональных требований

36-64




6

"Общие критерии". Требования доверия безопасности. Основные понятия и классификация требований доверия безопасности. Оценка профилей защиты и заданий по безопасности. Требования доверия к этапу разработки. Требования к этапу получения, представления и анализа результатов разработки. Требования к поставке и эксплуатации, поддержка доверия. Оценочные уровни доверия безопасности. Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности. Общие положения. Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности. Общие предположения безопасности. Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности. Общие угрозы безопасности.

Профили защиты

68-105




7

Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности. Общие элементы политики и цели безопасности. Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности. Общие функциональные требования. Профили защиты, разработанные на основе "Общих критериев". Общие требования к сервисам безопасности. Общие требования доверия безопасности.

Профили защиты, разработанные на основе "Общих критериев". Частные требования к сервисам безопасности. Биометрическая идентификация и аутентификация. Требования к произвольному (дискреционному) управлению доступом. Требования к принудительному (мандатному) управлению доступом. Ролевое управление доступом. Межсетевое экранирование. Системы активного аудита. Анонимизаторы. Выпуск и управление сертификатами. Анализ защищенности. Профили защиты, разработанные на основе "Общих критериев". Частные требования к комбинациям и приложениям сервисов безопасности. Операционные системы.

Профили защиты

105-119




8

Рекомендации семейства X.500. Основные понятия и идеи.Рекомендации семейства X.500. Каркас сертификатов открытых ключей. Рекомендации семейства X.500. Каркас сертификатов атрибутов. Рекомендации семейства X.500. Простая и сильная аутентификация.

Х500

121-128




9

Спецификации Internet-сообщества IPsec. Спецификация Internet-сообщества TLS. Спецификация Internet-сообщества. "Обобщенный прикладной программный интерфейс службы безопасности". Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия". Спецификация Internet-сообщества "Как реагировать на нарушения информационной безопасности". Спецификация Internet-сообщества "Как выбирать поставщика Интернет-услуг ".

Спецификации по безопасности

128-140




10

Британский стандарт BS 7799. Федеральный стандарт США FIPS 140-2 "Требования безопасности для криптографических модулей".

Технические спецификации безопасности

220-242






Учебно-методические литература по дисциплине


Стандарты информационной безопасности: курс лекций: учебное пособие/Второе издание / В.А. Галатенко / М.: ИНТУИТ.РУ «Интеренет-университет Информационных технологий», 2006. 264 с.

Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации Москва, 1992.

Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации Москва, 1992.

Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации Москва, 1992.

Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники Москва, 1992.

Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения Москва, 1992.

Государственный Стандарт Российской Федерации "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" 1994г.

Государственный Стандарт Российской Федерации "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Функция хэширования" 1994г.

Дж. Л. Месси. Введение в современную криптологию. // ТИИЭР, т.76, №5, Май 88 – М, Мир, 1988, с.24-42.

2. У. Диффи. Первые десять лет криптографии с открытым ключом. // ТИИЭР, т.76, №5, Май 88 – М, Мир, 1988, с.54-74.

А. В. Спесивцев и др. Защита информации в персональных компьютерах. – М., Радио и связь. 1992, с.140-149.

В. Жельников. Криптография от папируса до компьютера. – М., ABF, 1996.

Акритас А. Основы компьютерной алгебры с приложениями. М.: Мир, 1994.

Биркгоф Г., Барти Т. Современная прикладная алгебра. М.: Мир, 1976.

Виноградов И.М. Основы теории чисел. М.: Наука, 1980.

Глухое М.М.. Елизаров В.П.. Нечаев А.А. Алгебра. Ч. 1, 2. М., 1990-1991.

Калужнин Л.А. Введение в общую алгебру. М.; Наука, 1973.

Кострикин А.И. Введение в алгебру. М.: Наука, 1977.

Куликов Л.Я. Алгебра и теория чисел. М.: Высшая школа, 1979.

Курош А.Г. Курс высшей алгебры. М.: Наука, 1965.

Скорняков Л.А. Элементы алгебры. М-; Наука, 1980.

Фаддеев Д.К. Лекции по алгебре. М.: Наука, 1984.

Андерсон Дж. Дискретная математика и комбинаторика. М.: Вильямс, 2003. – 960 с.

Новиков Ф.А. Дискретная математика для программистов. – СПб.: Питер, 2004. – 302 с.

Фомичев В.М. Дискретная математика и криптология. – М.: Диалог-МИФИ, 2003. – 400 с.

Харин Ю.С. и др. Математические и компьютерные основы криптологии. - Новое знание, 2003. - 382 c.

Шнайер Б. Прикладная криптография. – М.: Триумф, 2002. – 816 с.

Алферов А.П. и др. Основы криптографии. Учебное пособие. М.: Гелиос, 2001. - 480 c.

Введение в криптографию. /Под ред. В.В.Ященко. – СПб.: Питер, 2001. – 288 с.

Аграновский А., Хади Р. Практическая криптография: алгоритмы и их програм­мирование. Аспекты защиты. - Солон, 2003. - 256 c. + CD ROM.

Бабаш А., Шанкин Г. Криптография. Аспекты защиты. - Солон-Р, 2002. - 512 c.

Бернет С., Пэйн С. Криптография. Официальное руководство RSA Security. - Бином, 2002. - 384 c.

Молдовян Н.А. и др. Криптографии: от примитивов к синтезу алгоритмов. – СПб.: БХВ, 2004. – 448 с.

Молдовян А. и др. Криптография. Скоростные шрифты. - БХВ-СПб, 2002. - 496 c.

Нечаев В.И. Элементы криптографии: Основы теории защиты информации. М., 1999.

Масленников М. Практическая криптография. - BHV-СПб, 2003. - 464 c. + CD ROM

Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. – КУДИЦ-ОБРАЗ, 2001. - 368 c.

Столлингс В. Криптография и защита сетей. Принципы и практика. 2-е изд.. - Вильямс, 2001. - 672 c.

Бернет С., Пэйн С. Криптография. Официальное руководство RSA Security. - Бином, 2002. - 384 c.

Кнут Д. Искусство программирования, т. 2. Получисленые алгоритмы. – М.: Вильямс, 2003. - 832 c.

Вельшенбах М. Криптография на Си и C++ в действии. - Триумф, 2004. - 464 c. + CD ROM

Бурдаев О. и др. Ассемблер в задачах защиты информации. - КУДИЦ-ОБРАЗ, 2002. - 320 c.

Фергюсон Н., Шнайер Б. Практическая криптография. - Вильямс, 2005. - 424 с.

Мао В. Современная криптография. Теория и практика.- Вильямс, 2005. - 768 с.

Молдовян Н.А., Молдовян А.А. Введение в криптосистемы с открытым ключом. Уч.пособие. - BHV-СПб, 2005. - 288 c.



МСЗИ Конспекты
^ Лекция 1 Объектно-ориентированный подход на информационную безопасность О необходимости объектно-ориентированного подхода к информационной безопасности
В настоящее время информационная безопасность является относительно замкнутой дисциплиной, развитие которой не всегда синхронизировано с изменениями в других областях информационных технологий. В частности, в ИБ пока не нашли отражения основные положения объектно-ориентированного подхода, ставшего основой при построении современных информационных систем. Не учитываются в ИБ и достижения в технологии программирования, основанные на накоплении и многократном использовании программистских знаний. На наш взгляд, это очень серьезная проблема, затрудняющая прогресс в области ИБ.

Попытки создания больших систем еще в 60-х годах вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследований в области технологии программирования стали сначала структурированное программирование, затем объектно-ориентированный подход.

Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.

Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты на основе "Общих критериев", речь о которых впереди. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.

Любой разумный метод борьбы со сложностью опирается на принцип "devide et impera" – "разделяй и властвуй". В данном контексте этот принцип означает, что сложная система (информационной безопасности) на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость здесь и далее понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на первом этапе компоненты, и так далее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.

Важнейший вопрос, возникающий при реализации принципа "разделяй и властвуй", – как, собственно говоря, разделять. Упоминавшийся выше структурный подход опирается на алгоритмическую декомпозицию, когда выделяются функциональные элементы системы. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло. Нужен подход "широкого спектра", не имеющий такого концептуального разрыва с анализируемыми системами и применимый на всех этапах разработки и реализации сложных систем. Мы постараемся показать, что объектно-ориентированный подход удовлетворяет таким требованиям.


^ Основные понятия объектно-ориентированного подхода
Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов.

Что же понимается под объектом и каковы другие основополагающие понятия данного подхода?

Прежде всего, введем понятие класса. Класс – это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения.

Объект – это элемент класса, то есть абстракция определенной сущности.

Подчеркнем, что объекты активны, у них есть не только внутренняя структура, но и поведение, которое описывается так называемыми методами объекта. Например, может быть определен класс "пользователь", характеризующий "пользователя вообще", то есть ассоциированные с пользователями данные и их поведение (методы). После этого может быть создан объект "пользователь Иванов" с соответствующей конкретизацией данных и, возможно, методов.

К активности объектов мы еще вернемся.

Следующую группу важнейших понятий объектного подхода составляют инкапсуляция, наследование и полиморфизм.

Основным инструментом борьбы со сложностью в объектно-ориентированном подходе является инкапсуляция – сокрытие реализации объектов (их внутренней структуры и деталей реализации методов) с предоставлением вовне только строго определенных интерфейсов.

Понятие "полиморфизм" может трактоваться как способность объекта принадлежать более чем одному классу. Введение этого понятия отражает необходимость смотреть на объекты под разными углами зрения, выделять при построении абстракций разные аспекты сущностей моделируемой предметной области, не нарушая при этом целостности объекта. (Строго говоря, существуют и другие виды полиморфизма, такие как перегрузка и параметрический полиморфизм, но нас они сейчас не интересуют.)

Наследование означает построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов. Наследование является важным инструментом борьбы с размножением сущностей без необходимости. Общая информация не дублируется, указывается только то, что меняется. При этом класс-потомок помнит о своих "корнях".

Очень важно и то, что наследование и полиморфизм в совокупности наделяют объектно-ориентированную систему способностью к относительно безболезненной эволюции. Средства информационной безопасности приходится постоянно модифицировать и обновлять, и если нельзя сделать так, чтобы это было экономически выгодно, ИБ из инструмента защиты превращается в обузу.

Мы еще вернемся к механизму наследования при рассмотрении ролевого управления доступом. Пополним рассмотренный выше классический набор понятий объектно-ориентированного подхода еще двумя понятиями: грани объекта и уровня детализации.

Объекты реального мира обладают, как правило, несколькими относительно независимыми характеристиками. Применительно к объектной модели будем называть такие характеристики гранями. Мы уже сталкивались с тремя основными гранями ИБ – доступностью, целостностью и конфиденциальностью. Понятие грани позволяет более естественно, чем полиморфизм, смотреть на объекты с разных точек зрения и строить разноплановые абстракции.

Понятие уровня детализации важно не только для визуализации объектов, но и для систематического рассмотрения сложных систем, представленных в иерархическом виде. Само по себе оно очень простое: если очередной уровень иерархии рассматривается с уровнем детализации n > 0, то следующий – с уровнем (n – 1). Объект с уровнем детализации 0 считается атомарным.

Понятие уровня детализации показа позволяет рассматривать иерархии с потенциально бесконечной высотой, варьировать детализацию как объектов в целом, так и их граней.

Весьма распространенной конкретизацией объектно-ориентированного подхода являются компонентные объектные среды, к числу которых принадлежит, например, JavaBeans. Здесь появляется два новых важных понятия: компонент и контейнер.

Неформально компонент можно определить как многократно используемый объект, допускающий обработку в графическом инструментальном окружении и сохранение в долговременной памяти.

Контейнеры могут включать в себя множество компонентов, образуя общий контекст взаимодействия с другими компонентами и с окружением. Контейнеры могут выступать в роли компонентов других контейнеров.

Компонентные объектные среды обладают всеми достоинствами, присущими объектно-ориентированному подходу:

инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый вовне интерфейс;

наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки;

полиморфизм по сути дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными.

Понятия же компонента и контейнера необходимы нам потому, что с их помощью мы можем естественным образом представить защищаемую ИС и сами защитные средства. В частности, контейнер может определять границы контролируемой зоны (задавать так называемый "периметр безопасности").

На этом мы завершаем описание основных понятий объектно-ориентированного подхода.
^ Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
Попытаемся применить объектно-ориентированный подход к вопросам информационной безопасности.

Проблема обеспечения информационной безопасности – комплексная, защищать приходится сложные системы, и сами защитные средства тоже сложны, поэтому нам понадобятся все введенные понятия. Начнем с понятия грани.

Фактически три грани уже были введены: это доступность, целостность и конфиденциальность. Их можно рассматривать относительно независимо, и считается, что если все они обеспечены, то обеспечена и ИБ в целом (то есть субъектам информационных отношений не будет нанесен неприемлемый ущерб).

Таким образом, мы структурировали нашу цель. Теперь нужно структурировать средства ее достижения. Введем следующие грани:

законодательные меры обеспечения информационной безопасности;

административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

процедурные меры (меры безопасности, ориентированные на людей);

программно-технические меры.

В дальнейшей части курса мы поясним подробнее, что понимается под каждой из выделенных граней. Здесь же отметим, что, в принципе, их можно рассматривать и как результат варьирования уровня детализации (по этой причине мы будем употреблять словосочетания "законодательный уровень", "процедурный уровень" и т.п.). Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны (международные конвенции имеют даже более широкую область действия), административные меры – на всех субъектов в пределах организации, процедурные – на отдельных людей (или небольшие категории субъектов), программно-технические – на оборудование и программное обеспечение. При такой трактовке в переходе с уровня на уровень можно усмотреть применение наследования (каждый следующий уровень не отменяет, а дополняет предыдущий), а также полиморфизма (субъекты выступают сразу в нескольких ипостасях – например, как инициаторы административных мер и как обычные пользователи, обязанные этим мерам подчиняться).

Очевидно, для всех выделенных, относительно независимых граней действует принцип инкапсуляции (это и значит, что грани "относительно независимы"). Более того, эти две совокупности граней можно назвать ортогональными, поскольку для фиксированной грани в одной совокупности (например, доступности) грани в другой совокупности должны пробегать все множество возможных значений (нужно рассмотреть законодательные, административные, процедурные и программно-технические меры). Ортогональных совокупностей не должно быть много; думается, двух совокупностей с числом элементов, соответственно, 3 и 4 уже достаточно, так как они дают 12 комбинаций.

Продемонстрируем теперь, как можно рассматривать защищаемую ИС, варьируя уровень детализации.

Пусть интересы субъектов информационных отношений концентрируются вокруг ИС некой организации, располагающей двумя территориально разнесенными производственными площадками, на каждой из которых есть серверы, обслуживающие своих и внешних пользователей, а также пользователи, нуждающиеся во внутренних и внешних сервисах. Одна из площадок оборудована внешним подключением (то есть имеет выход в Internet).

При взгляде с нулевым уровнем детализации мы увидим лишь то, что у организации есть информационная система (см. рис. 2.0).



Рис. 2.0. ИС при рассмотрении с уровнем детализации 0.

Подобная точка зрения может показаться несостоятельной, но это не так. Уже здесь необходимо учесть законы, применимые к организациям, располагающим информационными системами. Возможно, какую-либо информацию нельзя хранить и обрабатывать на компьютерах, если ИС не была аттестована на соответствие определенным требованиям. На административном уровне могут быть декларированы цели, ради которых создавалась ИС, общие правила закупок, внедрения новых компонентов, эксплуатации и т.п. На процедурном уровне нужно определить требования к физической безопасности ИС и пути их выполнения, правила противопожарной безопасности и т.п. На программно-техническом уровне могут быть определены предпочтительные аппаратно-программные платформы и т.п.

По каким критериям проводить декомпозицию ИС – в значительной степени дело вкуса. Будем считать, что на первом уровне детализации делаются видимыми сервисы и пользователи, точнее, разделение на клиентскую и серверную часть (рис. 2.1).



Рис. 2.1. ИС при рассмотрении с уровнем детализации 1.

На этом уровне следует сформулировать требования к сервисам (к самому их наличию, к доступности, целостности и конфиденциальности предоставляемых информационных услуг), изложить способы выполнения этих требований, определить общие правила поведения пользователей, необходимый уровень их предварительной подготовки, методы контроля их поведения, порядок поощрения и наказания и т.п. Могут быть сформулированы требования и предпочтения по отношению к серверным и клиентским платформам.

На втором уровне детализации мы увидим следующее (см. рис. 2.2).



Рис. 2.2. ИС при рассмотрении с уровнем детализации 2.

На этом уровне нас все еще не интересует внутренняя структура ИС организации, равно как и детали Internet. Констатируется только существование связи между этими сетями, наличие в них пользователей, а также предоставляемых и внутренних сервисов. Что это за сервисы, пока неважно.

Находясь на уровне детализации 2, мы должны учитывать законы, применимые к организациям, ИС которых снабжены внешними подключениями. Речь идет о допустимости такого подключения, о его защите, об ответственности пользователей, обращающихся к внешним сервисам, и об ответственности организаций, открывающих свои сервисы для внешнего доступа. Конкретизация аналогичной направленности, с учетом наличия внешнего подключения, должна быть выполнена на административном, процедурном и программно-техническом уровнях.

Обратим внимание на то, что контейнер (в смысле компонентной объектной среды) "ИС организации" задает границы контролируемой зоны, в пределах которых организация проводит определенную политику. Internet живет по другим правилам, которые организация должна принимать, как данность.

Увеличивая уровень детализации, можно разглядеть две разнесенные производственные площадки и каналы связи между ними, распределение сервисов и пользователей по этим площадкам и средства обеспечения безопасности внутренних коммуникаций, специфику отдельных сервисов, разные категории пользователей и т.п. Мы, однако, на этом остановимся.
^ Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
Исходя из основных положений объектно-ориентированного подхода, следует в первую очередь признать устаревшим традиционное деление на активные и пассивные сущности (субъекты и объекты в привычной для дообъектной ИБ терминологии). Подобное деление устарело, по крайней мере, по двум причинам.

Во-первых, в объектном подходе пассивных объектов нет. Можно считать, что все объекты активны одновременно и при необходимости вызывают методы друг друга. Как реализованы эти методы (и, в частности, как организован доступ к переменным и их значениям) – внутреннее дело вызываемого объекта; детали реализации скрыты, инкапсулированы. Вызывающему объекту доступен только предоставляемый интерфейс.

Во-вторых, нельзя сказать, что какие-то программы (методы) выполняются от имени пользователя. Реализации объектов сложны, так что последние нельзя рассматривать всего лишь как инструменты выполнения воли пользователей. Скорее можно считать, что пользователь прямо или (как правило) косвенно, на свой страх и риск, "просит" некоторый объект об определенной информационной услуге. Когда активизируется вызываемый метод, объект действует скорее от имени (во всяком случае, по воле) своего создателя, чем от имени вызвавшего его пользователя. Можно считать, что объекты обладают достаточной "свободой воли", чтобы выполнять действия, о которых пользователь не только не просил, но даже не догадывается об их возможности. Особенно это справедливо в сетевой среде и для программного обеспечения (ПО), полученного через Internet, но может оказаться верным и для коммерческого ПО, закупленного по всем правилам у солидной фирмы.

Для иллюстрации приведем следующий гипотетический пример. Банк, ИС которого имеет соединение с Internet, приобрел за рубежом автоматизированную банковскую систему (АБС). Только спустя некоторое время в банке решили, что внешнее соединение нуждается в защите, и установили межсетевой экран.

Изучение регистрационной информации экрана показало, что время от времени за рубеж отправляются IP-пакеты, содержащие какие-то непонятные данные (наверное, зашифрованные, решили в банке). Стали разбираться, куда же пакеты направляются, и оказалось, что идут они в фирму, разработавшую АБС. Возникло подозрение, что в АБС встроена закладка, чтобы получать информацию о деятельности банка. Связались с фирмой; там очень удивились, поначалу все отрицали, но в конце концов выяснили, что один из программистов не убрал из поставленного в банк варианта отладочную выдачу, которая была организована через сеть (как передача IP-пакетов специфического вида, с явно заданным IP-адресом рабочего места этого программиста). Таким образом, никакого злого умысла не было, однако некоторое время информация о платежах свободно гуляла по сетям.

В дальнейшей части курса, в лекции, посвященной разграничению доступа, мы обсудим, как можно кардинальным образом решить подобные проблемы. Здесь отметим лишь, что при определении допустимости доступа важно не только (и не столько), кто обратился к объекту, но и то, какова семантика действия. Без привлечения семантики нельзя определить так называемые "троянские программы", выполняющие, помимо декларированных, некоторые скрытые (обычно негативные) действия.

По-видимому, следует признать устаревшим и положение о том, что разграничение доступа направлено на защиту от злоумышленников. Приведенный выше пример показывает, что внутренние ошибки распределенных ИС представляют не меньшую опасность, а гарантировать их отсутствие в сложных системах современная технология программирования не позволяет.

В дообъектной ИБ одним из важнейших требований является безопасность повторного использования пассивных сущностей (таких, например, как динамически выделяемые области памяти). Очевидно, подобное требование вступает в конфликт с таким фундаментальным принципом, как инкапсуляция. Объект нельзя очистить внешним образом (заполнить нулями или случайной последовательностью бит), если только он сам не предоставляет соответствующий метод. При наличии такого метода надежность очистки зависит от корректности его реализации и вызова.

Одним из самых прочных стереотипов среди специалистов по ИБ является трактовка операционной системы как доминирующего средства безопасности. На разработку защищенных ОС выделяются значительные средства, зачастую в ущерб остальным направлениям защиты и, следовательно, в ущерб реальной безопасности. В современных ИС, выстроенных в многоуровневой архитектуре клиент/сервер, ОС не контролирует объекты, с которыми работают пользователи, равно как и действия самих пользователей, которые регистрируются и учитываются прикладными средствами. Основной функцией безопасности ОС становится защита возможностей, предоставляемых привилегированным пользователям, от атак пользователей обычных.

Это важно, но безопасность такими мерами не исчерпывается. Далее мы рассмотрим подход к построению программно-технического уровня ИБ в виде совокупности сервисов безопасности.
^ Лекция 2 Угрозы безопасности Основные определения и критерии классификации угроз
Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события:

должно стать известно о средствах использования пробела в защите;

должны быть выпущены соответствующие заплаты;

заплаты должны быть установлены в защищаемой ИС.

Мы уже указывали, что новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат – как можно более оперативно.

Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Слишком много мифов существует в сфере информационных технологий (вспомним все ту же "Проблему 2000"), поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

Подчеркнем, что само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым).

Мы попытаемся взглянуть на предмет с точки зрения типичной (на наш взгляд) организации. Впрочем, многие угрозы (например, пожар) опасны для всех.

Угрозы можно классифицировать по нескольким критериям:

по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

по расположению источника угроз (внутри/вне рассматриваемой ИС).

В качестве основного критерия мы будем использовать первый (по аспекту ИБ), привлекая при необходимости остальные.
^ Наиболее распространенные угрозы доступности
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки админист