На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Общие принципы. Системный подход в проектировании систем защиты

В данной главе рассмотрим основные архитектурные принципы постро­ения системы защиты, определим ее состав и назначение основных функ­циональных блоков.
Система защиты компьютерной информации от НСД может рассматри­ваться в двух приложениях:
* защита автономного компьютера;
» защита компьютера в составе сети (в работе рассматриваются вопро­сы защиты компьютера в составе ЛВС).
Очевидно, что задача защиты компьютера как самостоятельного объек­та, предназначенного для хранения и обработки информации, должна решаться в обоих случаях.
Системный подход к проектированию системы защиты компьютерной информации от НСД
До этого каждый из механизмов защиты рассматривался и анализировался по отдельности. Однако на практике все они реализуются в рамках од­ной системы защиты, а потому нельзя не учитывать их взаимное влия­ние. Поэтому уже на начальном этапе проектирования системы защиты необходимо придерживаться системного подхода, в рамках которого ме­ханизмы защиты рассматриваются и проектируются в совокупности.
Таким образом, при проектирования системы необходимо учитывать сле­дующие аспекты:
» разнородных механизмов в единой системе;
» взаимное влияние защитных механизмов;
« оптимальность системы защиты;
» ориентацию на статистику угроз. Каждый из этих аспектов подробно рассмотрен далее.
Комплексирование разнородных механизмов в единой системе
Никакой, даже великолепно реализованный, механизм защиты в отдель­ности не сможет обеспечить качественной защиты в целом. Защита ин­формации требует комплексирования разнородных механизмов в единой системе. Причем при проектировании системы следует анализировать не отдельно взятые механизмы, а решение конкретной задачи обеспечения безопасности всей системой защиты в целом, то есть реализованной со­вокупностью механизмов.
Таким образом, далее будем говорить о требованиях к заданным свой­ствам защищенности, обеспечиваемых совокупностью реализованных защитных механизмов. На наш взгляд, например, целесообразно говорить не о том, что в системе защиты должен быть реализован механизм авто­ризации пользователя при длине пароля не менее определенного числа символов, а о том, что в системе должна быть обеспечена защита входа в систему с определенными характеристиками, а также и о совокупнос­ти механизмов защиты, обеспечивающих надежную авторизацию пользо­вателя. Причем делать это нужно с учетом того, что существуют спосо­бы преодоления данного механизма в отдельности,  например, с
использованием программ-сниферов, программ подбора паролей и др.
Необходимые характеристики могут быть заданы либо количественно, либо качественно. В частности, при качественном задании характерис­тик целесообразно задать угрозы (из существующей статистики и возмож­ные — потенциальные), которым необходимо противодействовать при ре­шении задачи входа в систему.
Взаимное влияние различных механизмов защиты
Другая сторона проблемы заключается в том, что использование одного механизма защиты может существенно изменить требования к реализации другого механизма. То есть, требования к отдельному механизму могут быть существенно снижены за счет расширения функций другого механизма.
Рассмотрим пример. В системе защиты должен быть реализован механизм
гарантированной очистки остаточной информации на жестком диске. Но для просмотра остаточной информации злоумышленнику необходимо за­пустить соответствующую специальную программу, поскольку из обычных
широко используемых приложений доступ к такой информации не полу­чить (приложения не предоставляют подобной возможности). Однако, если в системе корректно реализован и активен важнейший механизм защиты -механизм обеспечения замкнутости программной среды, то данная скры­тая угроза ликвидируется этим механизмом. При этом пользователю раз­решается запускать только санкционированные для него процессы, а зна­чит, пользователь не сможет запустить программу, предоставляющую
возможность доступа к остаточной информации.
Получаем, что требования к очистке внешней памяти при корректной реализации механизма обеспечения замкнутости программной среды могут быть существенно снижены. При этом в качестве замечания отметим, что реализация данного требования весьма ресурсоемка, то есть приводит к существенному увеличению загрузки вычислительного ресурса.
Оптимальность системы защиты
Как отмечено ранее, реализация системы защиты влияет на другие па­раметры защищаемого объекта, прежде всего, на его производительность (загрузку вычислительного ресурса защищаемого компьютера). Это обус­ловливает необходимость выбора оптимальных решений, при этом оп­тимальность должна рассматриваться по совокупности параметров. Спо­соб учета разнородных параметров при проектировании системы защиты уже был нами рассмотрен в первой главе.
Ориентация на статистику угроз
При проектировании системы защиты целесообразно ориентироваться на существующую статистику угроз. При этом ориентироваться нужно только в смысле иллюстрации возможностей того, либо иного механизма защи­ты. Недопустимой является разработка механизмов защиты под конкрет­ную угрозу.
Системный подход предполагает проектирование системы защиты в пред­положении, что существуют потенциальные (неизвестные) угрозы, кото­рые характеризуются скрытыми (неявными) каналами НСД. Поэтому при проектировании системы защиты необходимо рассматривать не конкрет­ные угрозы, а характерные признаки их возникновения и противодей­ствовать не угрозам, а возможным каналам их возникновения.
Принципы системного подхода при проектировании системы защиты
Все вышесказанное в этом разделе позволяет сформулировать принци­пы системного подхода при проектировании системы защиты. Принци­пы эти таковы:
1. Любой механизм защиты должен проектироваться с учетом его влияния на безопасность системы в целом и с учетом функций защиты, реализуемых другими механизмами. То есть должно вы­полняться классическое условие системного проектирования — учи­тываться влияние подсистемы на систему в целом, состоящую из совокупности подсистем.
2. Проектирование системы защиты - - многокритериальная задача. Поэтому при разработке механизма защиты должен учитываться не
только обеспечиваемый им уровень безопасности, но и, по крайней
мере, его влияние на производительность защищаемого объекта.
3. Проектирование системы защиты должно осуществляться в предпо­ложении существования потенциальных (неизвестных) угроз, кото­рые характеризуются скрытыми (неявными) каналами НСД. При этом необходимо рассматривать не конкретные угрозы, а характерные при­знаки их возникновения и противодействовать не угрозам, а возмож­ным каналам их возникновения.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика