4.3. Доверенная вычислительная среда — ДВС. Резидентный компонент безопасности — РКБ

Разрабатываемая модель аппаратной защиты технологии электронного взаимодействия лежит в классе субъектно–объектных (СО) моделей и, развивая существующие СО–модели, направлена на более адекватный учет реальных условий электронного взаимодействия. В известных моделях, основные положения которых рассмотрены в гл. 1, накладываются чрезмерные ограничения на программно–аппаратный комплекс ВС. Даже проверка выполнения подобных ограничений в сложных корпоративных ВС крайне затруднительна на практике. 

В главной своей части требования сводятся к обеспечению изолированности программной среды. Понятие изолированной программной среды  (ИПС) введено в [59], где и дано ее формальное описание. Обобщая, можно сказать, что изолированная программная среда это совокупность (множество) программ, в которой:

·       

·       

·       

·       

Постулируется, что изолированная программная среда должна поддерживать «любую разумную непротиворечивую политику безопасности». Если непротиворечивость политики безопасности еще можно установить, то можно ли точно трактовать термины «любая» и «разумная»? 

Как наиболее современная, СО-модель [59] позволила выявить важнейший факт – для изолированности программной среды недостаточно контролировать доступ пользователя к данным, необходимо контролировать еще и доступ программ к данным, а также процесс порождения одними программами других на основе контролируемых данных. Изолированная программа (в терминологии СО-модели она еще называется корректной) не обязательно является корректной по отношению к преобразованиям данных. Так, программа вычисления хэш-функции сама по себе может быть корректной (изолированной), но применение ее к электронному документу является некорректным, хотя бы в силу того обстоятельства, что однонаправленное преобразование нарушает изоморфизм.

Ограниченность модели ИПС обусловлена также и тем, что она инвариантна к объекту, и в силу этого объекты в ней не различаются. Действительно, проверка изолированности необходимо означает перечислимость объектов, относящихся к программам и данным, что практически невыполнимо в программной среде современных вычислительных машин фон-неймановского типа. В универсальных машинах большинство программ и данных неразличимы: в разных вычислительных процессах и даже на разных этапах одного и того же процесса выполняют разные задачи.

Условие об отсутствии влияния данных на программы заведомо не выполняется в современных языках программирования, в которых возможность создания объектно-ориентированных программ является одной из основных.

Для установления целостности объектов в СО–модели ИПС применяется термин «тождественность», понимаемый как «одинаковость в языке описания». Если же возможностей терминологии не хватает, то используется понятие «семантическая тождественность», очевидно, неадекватное принципиальной точности электронной среды.

Но наиболее существенные ограничения СО–модели ИПС определяются принятыми в ней допущениями: «Генерация ИПС рассматривается в условиях неизменности конфигурации тех компонент системы, которые активизируются до старта процедур контроля целостности объектов …». И далее: «Неизменность данных компонентов обеспечивается внешними по отношению к самой системе методами и средствами. При анализе или синтезе защитных механизмов свойства указанных компонентов являются априорно заданными».

В то же время сами «методы и средства» не конкретизируются, хотя именно разработка подобных «внешних методов и средств» представляет одну из основных трудностей при обеспечении информационной безопасности. Фактически за пределами модели остается важнейшая в защите информации проблема эталона: в разделе 4.1 показано, что защита информации, будь то документ или технология, явно или неявно базируется на сравнении наблюдаемого результата с эталоном. Проблема в том, что решение принимается всегда в условиях только частичной известности одного из сравниваемых объектов — результата и эталона. К тому же и сам компаратор, производящий сравнение, подвержен атакам и может выдавать неверные заключения. 

Отмеченные положения позволяют конкретизировать приоритетные направления усовершенствования модели ИПС с целью более адекватного отображения в СО–модели реальных условий электронного обмена информацией. Предлагаемая усовершенствованная субъект–объектная модель защиты технологии электронного обмена информацией называется далее как модель доверенной вычислительной среды — модель ДВС. Концептуальные отличия модели ДВС от модели ИПС приводятся ниже.

1. Требование неизменности программных средств в модели ИПС заменяется на ограничение их целостности.

Во-первых, неизменность есть, строго говоря, характеристика только цифрового отображения информации, здесь неизменность может быть установлена, например, побитным сравнением двух двоичных последовательностей. Понимая электронную среду существования как множество элементов, взаимодействующих на основе формальных правил обработки, хранения и передачи цифровой информации, надо учитывать, что сами эти элементы реализованы в объектах аналоговой среды. Любой аналоговый объект принципиально вариативен, его параметры не могут быть измерены абсолютно точно, к тому же они изменяются с течением времени.

Ранее установлено, что в электронной среде информация существует в двух формах: в пассивном состоянии (хранение на диске) — в аналоговой; в активном состоянии (передача и преобразование) — в цифровой. По сути вычислительных процессов обе эти формы тесно связаны и не могут существовать одна без другой. Неизменности не бывает в аналоговой среде, среде приблизительности, здесь постоянство устанавливается и обеспечивается всегда с конечной, пусть и достаточно высокой, точностью. Нельзя говорить о неизменности записи на диске, хотя бы потому, что ее физическое размещение меняется с течением времени. Но можно говорить о целостности, понимая, что отображение записи в виде процесса при считывании неизменно.

Во-вторых, состав активизированных в любой интервал времени процессов меняется, хотя бы за счет изменения обрабатываемой информации. Тогда что же означает неизменность среды? Постоянство программных средств, как активизированных, так и хранящихся в памяти? А что тогда делать с файлами документов, состав которых принципиально вариативен? И здесь понятие целостности кажется более предпочтительным по сравнению с неизменностью.

Под целостностью вычислительной среды понимается стабильность в течение рассматриваемого периода в требуемом диапазоне состава объектов и процессов, их параметров и взаимосвязей между собой и параметров функционирования.

Какой состав, какие параметры и взаимосвязи и в течение какого периода — это определяется конкретной задачей исследования. Нельзя ограничиваться только файловой структурой при анализе особенностей защиты различных объектов ВС.

2. Замена требования неизменности на ограничение целостности концептуально сказывается на задачах защиты информации. Неизменность — синоним фиксированности, и требование неизменности логично предполагает статическую модель явления. Кстати, рассмотренное в гл.1 распространенное представление об электронном документе как об информации, зафиксированной на машинном носителе, по существу, есть статическая модель ЭлД. Целостность — следствие динамического характера информации в электронной среде, ее отображения как процесса, интерпретации технологии как информации.

Вычислительная среда меняется во времени, и задача защиты информации — обеспечение изменений в предусмотренном, штатном, режиме. Но тогда задача становится динамической, а динамический характер принципиально требует отслеживания изменений во времени. Если требуется отслеживать целостность среды, то надо знать ее меняющиеся во времени параметры, необходимо приходится «влезать» в среду, измерять, сравнивать ее параметры с эталоном. Для изолированной среды такое требование не является, вообще говоря, обязательным — достаточно никого «не пускать» в среду.

Следовательно, доверенная программная среда принципиально предполагает наличие некого «контролера», отслеживающего ее параметры — компонент безопасности (КБ).

3. Встает вопрос, а где должен находиться компонент безопасности, вне вычислительной среды или «внутри», являться одним из элементов среды? Если — «вне», то обязательно должен быть некий элемент, «разрешающий»  такой контроль и, быть может, даже вмешательство в процесс функционирования среды при фиксации нежелательных режимов. И задача сводится к предыдущему. Наиболее очевидный ответ — компонент безопасности целесообразно встраивать в состав вычислительной системы, это должен быть «присутствующий — resident» объект. Исходя из этого требования, далее будем его называть резидентный компонент безопасности — РКБ.

С практических позиций, включение РКБ в состав вычислительной системы предоставляет широкие возможности для возложения на него и ряда дополнительных, помимо контроля, функций: оповещения, регулирования и управления процессами в вычислительной среде.

4. С одной стороны, РКБ предназначен для защиты электронной среды, а с другой — сам является элементом этой среды и, таким образом, сам нуждается в защите. Теоретически идеальная защита вычислительной среды недостижима, но практически это сводится к тому, что сам РКБ должен обладать намного более высоким индексом защищенности, нежели остальные элементы вычислительной среды.

Ранее установлено, что аппаратная реализация технологических операций, процедур, протоколов изначально обладает более высоким потенциалом защиты, чем программная. Поэтому при практической реализации РКБ должны превалировать аппаратные методы. Из этого, конечно, не следует, что такое направление повышения защищенности средства защиты единственно, что РКБ должны непременно реализовываться аппаратном виде. За все приходится платить, здесь теряется гибкость и адаптируемость. Возможны иные пути, в том числе, редуцирование вычислительных возможностей, например, РКБ с перестраиваемой структурой. А в ряде случаев предпочтительнее чисто программная реализация, например, межсетевые экраны.

5. Понимая, что абсолютно надежных средств защиты не существует, и полагая, что злоумышленник в состоянии преодолеть защиту на любом этапе, разумно стремиться к получению реальных результатов, а не к бесплодным попыткам достичь идеальную цель — к созданию и поддержанию доверенной вычислительной среды, но не к обеспечению ее изолированности.

Фрагмент среды электронного взаимодействия, для которого установлена и поддерживается в течение заданного интервала времени целостность объектов и целостность взаимосвязей между ними, называется доверенной вычислительной средой — ДВС.

6. Электронный документооборот в ВС основан на следующей взаимосвязи субъектов и объектов: оператор — за ПЭВМ в ЛВС — с ОС — используя ППО — и данные — формирует ЭлД — передаваемый в ВС — обрабатываемый в ВС — и хранимый в ВС — исполняемый в ВС.

Это означает, что применяемые РКБ должны участвовать в обеспечении информационной безопасности на следующих этапах реализации технологии электронного обмена данными (задачи 1– 8):

1.     Контроль целостности технического состава ПЭВМ и ЛВС.

2.     Контроль целостности ОС.

3.     Контроль целостности ППО и данных.

4.     Распределение доступов и защита среды при доступе извне среды (межсетевые экраны, антивирус, и др.).

5.     Контроль идентификации/аутентификации (ИА) пользователей.

6.     Аутентификация документа при его создании.

7.     Защита документа при его передаче (шифрование, ЭЦП и т.п).

8.     Аутентификация документа при обработке, хранении и исполнении документа.

Такое разделение задач не противоречат требованиям нормативных документов Гостехкомиссии, а является их необходимым дополнением, тем более, что изложенные в [73] требования характеризуют каждый класс только минимальной совокупностью требований по защите.

<<Назад   Оглавление   Далее>>