Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ПРОЕКТИРОВАНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ ИНФОРМАЦИИ И ДАННЫХ

КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ПРОЕКТИРОВАНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Анализ развития концепций систем обеспечения безопасности информации в информационных системах

Решение проблемы обеспечения безопасности информации в информационных системах в настоящее время приняло регулярный характер и осуществляется на промышленной основе с вложением значительных средств. Тем не менее с течением времени острота проблемы безопасности информации не снижается. В последние года во всех странах предпринимаются большие усилия в области защиты информации. В некоторых странах даже созданы федерации по борьбе с хищениями математического обеспечения и информации в информационно-информационных системах и сетях. Большое число промышленных и иных фирм специализируется на производстве средств защиты, оказании консультационной помощи, проектировании и внедрении механизмов защиты, проведении ревизий и оценке эффективности защиты.

В развитии процессов и систем обеспечения безопасности информации можно выделить несколько этапов.

Центральной идеей первого этапа создания системы безопасности являлось намерение обеспечивать надежную защиту информации механизмами, содержащими в основном технические и программные средства.

Техническими были названы такие средства, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств было принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру информационных систем, или устройства, которые сопрягаются с аппаратурой данных систем по стандартному интерфейсу. Физическими средствами названы такие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т. п.).

Технические средства — понятие более широкое, к ним можно отнести аппаратные, физические и программные средства, а к физическим — и аппаратные.

Программные средства защиты — это программы, специально предназначенные для выполнения функций, связанных с защитой информации.

Указанные средства и составляли основу механизмов системы безопасности на первом этапе (60-е годы прошлого века). При этом господствовало убеждение, что основными средствами системы безопасности информации являются программные, причем считалось, что программы системы безопасности информации будут работать эффективнее, если будут включены в состав общесистемных компонентов программного обеспечения. Поэтому первоначально программные механизмы системы безопасности включались в состав операционных систем или систем управления базами данных. Практика показала, что надежность механизмов защиты такого типа является явно недостаточной.

Следующей попыткой расширения рамок и повышения эффективности обеспечения программной системы безопасности стала организация дифференцированного разграничения доступа пользователей к информации и данным, находящимся в информационной системе. Для этого идентифицировались все пользователи и все элементы защищаемой информации и данных, устанавливалось каким-либо образом соответствие между идентификаторами пользователей и идентификаторами элементов информации и данных и строилась алгоритмическая процедура проверки лояльности каждого запроса пользователя. Испытания и углубленные исследования подобных систем, проведенные в течение нескольких лет, установили несколько путей обхода ее механизмов разграничения доступа.

Уникальной по своему содержанию была система безопасности ресурса (СБР) в операционной системе, разработанной в фирме IBM. Перед разработчиками была поставлена задача реализовать три основные функции защиты:

  • • изоляцию;
  • • контроль доступа;
  • • контроль уровня защиты.

Кроме того, предполагалось, что программная защита будет дополняться комплексом организационных мер под руководством специального должностного лица — офицера безопасности. Всесторонние испытания системы безопасности ресурса показали в ней ряд серьезных недостатков.

В итоге специалисты пришли к выводу, что концепция системы обеспечения безопасности информации, основывающаяся на концентрации механизмов защиты в рамках операционной системы, не отвечает требованиям надежной защиты информации, особенно в автоматизированных системах обработки информации и данных и информационных системах с повышенной секретностью.

Для преодоления указанных недостатков разрабатывались следующие решения:

  • 1) создание в механизмах защиты специального организующего элемента — ядра безопасности;
  • 2) децентрализация механизмов защиты, вплоть до создания элементов, находящихся под управлением пользователей информационной системы и систем автоматизации;
  • 3) расширение арсенала используемых средств обеспечения безопасности информации.

Развитие концепции, основанной на перечисляемых решениях, и составило содержание второго этапа (70-е годы прошлого века). На втором этапе интенсивно развивались средства защиты, особенно технические и криптографические.

Однако, несмотря на все принятые меры, надежная защита информации опять оказалась недостижимой, о чем красноречиво говорили реальные факты злоумышленного доступа к информации. К тому же именно в это время была доказана теория (ее иногда называют теоремой Харрисона) о невозможности решить для общего случая задачу о безопасности произвольной системы защиты при общем задании на доступ.

На этом основании в зарубежной печати все чаще стали появляться высказывания о том, что вообще нет предпосылок для надежного обеспечения безопасности информации.

Таким образом, второй период, начавшись с оптимистических надежд на реализацию надежного механизма обеспечения безопасности информации, закончился унылым пессимизмом о невозможности вообще обеспечить надежную защиту.

Поиски выхода из такого тупикового состояния и составляют основное содержание третьего этапа (с 80-х гг. прошлого века) развития концепций обеспечения безопасности информации. При этом генеральным направлением поисков стало неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось прежде всего в смысле не просто создания соответствующих механизмов защиты, но и в смысле регулярности процесса, осуществляемого на всех этапах жизненного цикла информационной системы при комплексном использовании всех имеющихся средств обеспечения безопасности информации.

При этом все средства, методы и мероприятия, используемые для системы обеспечения безопасности информации, непременно и наиболее рациональным образом объединяются в единый целостный механизм — систему защиты.

В этой системе должны быть по крайней мере четыре защитных пояса:

  • • внешний пояс (периметр), охватывающий всю территорию, на которой расположены сооружения информационной системы и автоматизированной системы обработки;
  • • пояс сооружений, помещений или устройств информационной системы;
  • • пояс компонентов системы (технических средств, программного обеспечения, элементов баз данных);
  • • пояс технологических процессов обработки информации и данных (ввод-вывод, внутренняя обработка и т. п.)

Как пример практической реализации системного подхода к обеспечению безопасности информации является проект системы защиты, разрабатывавшейся фирмой Honeywell Inc. по контракту с министерством обороны США.

В качестве исходных были приняты три следующих положения:

  • 1) система защиты информации разрабатывается и внедряется одновременно с разработкой самой информационной системы и ее автоматизированной системой обработки;
  • 2) реализация функции защиты — преимущественно аппаратная;
  • 3) должно быть строго доказано обеспечение задаваемого уровня защиты.

Специалисты центра системных исследований фирмы Honeywell Inc. заявили, что ими разработан специальный математический аппарат, позволяющий определять степень защищенности информации и имеющий не меньшее значение, чем создание компьютера с высоким уровнем защиты. Этот математический аппарат разработан на основе дальнейшего развития результатов, полученных в процессе разработки средств защиты информации для систем Multics и Scomp, а также при создании фирмой SRI International операционной системы с доказуемой защищенностью данных.

Большое внимание при разработке систем защиты уделяется проблемам защиты программного обеспечения информационной системы и ее системы автоматизации, что обусловлено рядом обстоятельств.

Во-первых, программное обеспечение играет решающую роль в качественной обработке информации.

Во-вторых, программы все больше и больше становятся предметом коммерческой тайны.

В-третьих, программные средства являются одним из наиболее уязвимых компонентов информационных систем.

Особую тревогу вызывает все, что связано с компьютерными вирусами.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>